Co łączy oszustów z policją? Jak dla mnie, najlepiej, gdy są to kajdanki nakładane na ich dłonie i trzask zasuwy w Pomieszczeniu Dla Osób Zatrzymanych. Tymczasem w nowej serii kampanii phishingowych jest to jeden mały obrazek.

W ostatnich dniach obserwujemy znaczący wzrost kampanii phishingowych, ukierunkowanych na wykradanie loginów i haseł do Facebooka. Łączy je jedno – znany od lat motyw z „czymś-strasznym-z-czego-film-udało-się-nagrać”. Tym razem to śmiertelny, drastyczny wypadek drogowy. W dwóch wersjach – zderzenia anonimowych osób (przykład poniżej), bądź śmiertelnego wypadku gwiazdy popularnego (?) telewizyjnego show.

Zszokowana ofiara (phishingu, nie wypadku) ma oczywiście natychmiast kliknąć w link do filmu, by dalej odruchowo zalogować się do portalu społecznościowego. Ponieważ „skoro wygląda jak Facebook – to na pewno Facebook” nie będziemy przecież patrzeć na adres w pasku przeglądarki, prawda? Więc nie zauważymy, że z Facebookiem nie ma nic wspólnego. A potem przejęcie tożsamości, prośby o kod BLIK, postowanie z naszego konta takich samych treści na różnych grupach… Wybór ograniczony w zasadzie tylko kreatywnością przestępcy.

Bezczelność, czy lenistwo?

No ale o tym już było, więc po co piszę na ten temat znowu? Po pierwsze dlatego, że ostrzeżeń nigdy za wiele. Ale też dlatego, że znalazłem ciekawostkę, łączącą wszystkie te strony. Analizując jedną z witryn spojrzałem na listę adresów IP, z którymi się łączy:

Jeśli skróty przy drugim adresie wydają się Wam znajome, to dobrze Wam się wydaje.

AS 198704 to sieć Biura Łączności i Informatyki Komendy Głównej Policji.

Jakim cudem odwołuje się do niej (niejedna) strona oszustów? Po to, by wziąć z niej jeden obrazek. Najlepiej zobaczcie sami – spokojnie, możecie kliknąć 🙂

https://mazowiecka.policja.gov.pl/dokumenty/zalaczniki/288/288-104863.png.

Oszuści są na tyle bezczelni/leniwi (niepotrzebne skreślić, albo oba zostawić, jak wolicie), że nie chce im się nawet wrzucać na swoją stronę obrazka znaku ostrzegającego przed wypadkiem! Wolą zalinkować bezpośrednio do strony mazowieckiej policji!

Ile tego jest?

Dość sporo.

Zdaję sobie sprawę z tego, że po tej publikacji odwołania zapewne znikną. Oszustom będzie nie w smak fakt, że admini znajdując odwołania do tego obrazka (ułatwię sprawę, wszystkie 152 są tutaj) będą mogli praktycznie ze stuprocentową pewnością wykryć i zablokować fałszywą stronę. Z drugiej strony, mam przeczucie graniczące z pewnością, że w którejś z kolejnych serii kampanii pojawi się inny element, wiążący jest wszystkie. Jeśli lubicie przyglądać się takim przekrętom – szybko je znajdziecie.

No i pamiętajcie, że na Facebooka (jeśli już musicie) logujecie się przez Facebooka. Warto poświęcić chwilę, żeby zerknąć na adres strony.

Michał Rosiak

Jakoś tak wyszło, że końcówkę ubiegłego tygodnia spędziłem w Krakowie. Raz na jakiś czas dzięki uprzejmości mojej firmy mam okazję zaglądać na bezpieczniackie konferencje i o ile zawsze wybieram Secure (bo tam najwięcej rozumiem 😉 ), w tym roku dostałem też szansę zrozumieć co nieco podczas organizowanego pod Wawelem Confidence. Tu już tak łatwo nie było, bo to jednak konferencja bardziej hakersko-techniczna, ale – chwała organizatorom – znalazło się parę tematów dla mnie, dzięki czemu mogę podzielić się z Wami spostrzeżeniami, które sobie wynotowałem.

Maciej jakąś kamerę IP? W domu albo w pracy? No to przyjrzyjcie się jej, czy przypadkiem nie wypuszcza obrazu do internetu, a jeśli ma wypuszczać – nie używajcie domyślnego hasła administratora, najlepiej przepuszczajcie sygnał przez niestandardowe porty, no i sprawdźcie, czy przypadkiem Wasze urządzenie nie jest podatne na ataki. Posiadacze dostępnych z internetu kamer IP podczas wykładu Michała Sajdaka zyskali (…by, ale tam byli sami bezpieczniacy 😉 ) wiele siwych włosów, widząc, ile kamer dostępnych jest z sieci bez zbytniego szukania, co można zobaczyć na ekranie i jak do niektórych z nich (również tych za tysiące dolarów) łatwo się włamać (a raczej jak było łatwo, bowiem Michał pokazał nam efekty swoich prac dopiero po tym, gdy producenci załatali luki). Co nie zmienia faktu, że przydzielanie kamerom publicznego IP, nie separowanie sieci nadzoru wideo od WiFi dostępnego np. dla klientów hotelu i różne inne tego typu kwiatki wcale nie są rzadkością…

30-40%. Co to za odsetek? Ano odsetek corocznego wzrostu cyberprzestępstw, przy spadku zwykłej przestępczości na przestrzeni ostatnich kilku lat nawet o 50%. Prezentacja szefa biura do walki z cyberprzestępczością Komendy Głównej Policji (co ciekawe, powstało dopiero 1 grudnia ubiegłego roku). 250 policjantów w całej Polsce w pierwszym kwartale tego roku zajęło się niemal tysiącem spraw (!), notując – o ile dobrze pamiętam, bo tego akurat nie zanotowałem – średnio niemal 2 tzw. realizacje (czyli de facto zatrzymania podejrzanych) dziennie. Kawał wielkiej roboty, a czemu o nich nie słychać w mediach? „Bo my nie jesteśmy od wywiadów, tylko od roboty”. Dlatego też pozwoliłem sobie nie wymieniać tutaj personaliów szefa „cyberglin”, bowiem robił wrażenie, że ostatnie, co go interesuje, to parcie na szkło.

Drugiego dnia konferencji w pamięć wbiła mi się na pewno świetna jak zwykle prezentacja charyzmatycznego Adama Haertle. Świetna i nieco smutna, opowiada bowiem historię naszego polskiego domorosłego „hakiera”, który mimo dwóch lewych rąk do roboty i interesów zarobił na tym interesie całkiem sporo, na szkodę wielu uczciwych ludzi, i chociaż wiadomo, jak się nazywa, jak wygląda, i gdzie mieszka (w Belgii), ze względów proceduralnych… nie ma podstaw do wystawienia nań Europejskiego Nakazu Aresztowania. Ciekawy był też opisany przez mł. inspektora Jana Klimę, szefa krakowskich „cyberglin” przypadek bardzo przemyślanego phishingu, kierowanego do kancelarii prawniczych. Otrzymywały one bowiem dokładnie przygotowane, napisane piękną polszczyzną, zaproszenie do współpracy od polskiej firmy z siedzibą za granicą. Nic podejrzanego, czysty biznes, żadnych linków, załączników, nic. Ludzie kryształowo czyści, jako łza niewieścia. Jak tu z takimi nie współpracować, jasne, że chcemy! Super, to my się bardzo cieszymy, potrzebujemy tylko Waszych danych, żadnych loginów, haseł, nic tajnego, ale żeby wszystko było na miejscu, wypełnijcie proszę ten dokument Word. Ups. O tym, że zanim makro w dokumencie zainstaluje ransomware to najpierw wyssie z Waszych dysków wszystkie dokumenty w formatach Office’owych jakoś tak… zapomnieliśmy Wam powiedzieć.

Lubię takie imprezy, można się sporo dowiedzieć, a czasami jeszcze bardziej się przerazić. Ale przede wszystkim skorzystać – najpierw ja, a potem Wy.

Co łączy oszustów z policją? Jak dla mnie, najlepiej, gdy są to kajdanki nakładane na ich dłonie i trzask zasuwy w Pomieszczeniu Dla Osób Zatrzymanych. Tymczasem w nowej serii kampanii phishingowych jest to jeden mały obrazek.

W ostatnich dniach obserwujemy znaczący wzrost kampanii phishingowych, ukierunkowanych na wykradanie loginów i haseł do Facebooka. Łączy je jedno – znany od lat motyw z „czymś-strasznym-z-czego-film-udało-się-nagrać”. Tym razem to śmiertelny, drastyczny wypadek drogowy. W dwóch wersjach – zderzenia anonimowych osób (przykład poniżej), bądź śmiertelnego wypadku gwiazdy popularnego (?) telewizyjnego show.

Zszokowana ofiara (phishingu, nie wypadku) ma oczywiście natychmiast kliknąć w link do filmu, by dalej odruchowo zalogować się do portalu społecznościowego. Ponieważ „skoro wygląda jak Facebook – to na pewno Facebook” nie będziemy przecież patrzeć na adres w pasku przeglądarki, prawda? Więc nie zauważymy, że z Facebookiem nie ma nic wspólnego. A potem przejęcie tożsamości, prośby o kod BLIK, postowanie z naszego konta takich samych treści na różnych grupach… Wybór ograniczony w zasadzie tylko kreatywnością przestępcy.

Bezczelność, czy lenistwo?

No ale o tym już było, więc po co piszę na ten temat znowu? Po pierwsze dlatego, że ostrzeżeń nigdy za wiele. Ale też dlatego, że znalazłem ciekawostkę, łączącą wszystkie te strony. Analizując jedną z witryn spojrzałem na listę adresów IP, z którymi się łączy:

Jeśli skróty przy drugim adresie wydają się Wam znajome, to dobrze Wam się wydaje.

AS 198704 to sieć Biura Łączności i Informatyki Komendy Głównej Policji.

Jakim cudem odwołuje się do niej (niejedna) strona oszustów? Po to, by wziąć z niej jeden obrazek. Najlepiej zobaczcie sami – spokojnie, możecie kliknąć 🙂

https://mazowiecka.policja.gov.pl/dokumenty/zalaczniki/288/288-104863.png.

Oszuści są na tyle bezczelni/leniwi (niepotrzebne skreślić, albo oba zostawić, jak wolicie), że nie chce im się nawet wrzucać na swoją stronę obrazka znaku ostrzegającego przed wypadkiem! Wolą zalinkować bezpośrednio do strony mazowieckiej policji!

Ile tego jest?

Dość sporo.

Zdaję sobie sprawę z tego, że po tej publikacji odwołania zapewne znikną. Oszustom będzie nie w smak fakt, że admini znajdując odwołania do tego obrazka (ułatwię sprawę, wszystkie 152 są tutaj) będą mogli praktycznie ze stuprocentową pewnością wykryć i zablokować fałszywą stronę. Z drugiej strony, mam przeczucie graniczące z pewnością, że w którejś z kolejnych serii kampanii pojawi się inny element, wiążący jest wszystkie. Jeśli lubicie przyglądać się takim przekrętom – szybko je znajdziecie.

No i pamiętajcie, że na Facebooka (jeśli już musicie) logujecie się przez Facebooka. Warto poświęcić chwilę, żeby zerknąć na adres strony.