Jak część z Was wie, moja codzienna praca polega m.in. na analizowaniu (takim podstawowym, bez przyglądania się kodowi) stron potencjalnie złośliwych. Przy tym zajęciu czasami zdarza się, że poczuję się jak Marcin Najman :) Niby ma być phishing, albo nawet malware, wchodzę na stronę, a tymczasem...
Ludzie, przecież tu nikogo nie ma!?
Jest. Tylko trzeba wiedzieć, jak szukać!
Mobilny phishing nie dla peceta
46 procent odwiedzających stronę CERT Orange Polska robi to z urządzeń mobilnych. To w porównaniu do największych krajowych serwisów, które czasami się tym chwalą to raczej poniżej średniej. Jeśli jednak przyjrzymy się statystykom witryn alert.cert.orange.pl (czyli tej, na którą trafiacie w efekcie kampanii CyberTarczy lub, gdy blokujemy dla Was witrynę phishingową) statystyki różnią się znacząco – przeszło 92 na 100 użytkowników wchodzi z komórek (91,2%) lub tabletów (1,29%)! Przestępcy też o tym wiedzą, dlatego w bardzo wielu przypadkach złośliwa/phishingowa strona w momencie wejścia sprawdza zmienną User-Agent urządzenia, z którego wchodzicie. W efekcie wchodząc z komputera stacjonarnego zobaczycie biały ekran, a nawet absolutnie nie budzącą podejrzeń, rzetelną witrynę!
Po co? Choćby dlatego, że wersja mobilna strony zazwyczaj jest mniej naładowana ozdobnikami, co pozwala na „poprowadzenie za rękę” przyszłej ofiary według założonego socjotechnicznego scenariusza. Na telefonie, widząc zwięzłe komunikaty i wielkie przyciski, na dodatek korzystając zeń w biegu, na szybko – chętniej klikniemy tam, gdzie chce oszust.
Dobry złodziej zawczasu drogę rozpozna
Drugi powód jest zdecydowanie bardziej wyrafinowany. By go wyjaśnić, wprowadzimy pojęcie exploit kitu.
Exploit kit (za Trend Micro) to: rodzaj zbioru cyfrowych narzędzi, używanych przez cyberprzestępców do wykorzystania podatności systemu/aplikacji w celu umieszczenia w docelowym serwisie/na urządzeniu złośliwych treści
Nasza praca w CERT Orange Polska to nie tylko moje przyglądanie się złośliwym stronom. To także – a czasami przede wszystkim – coś, co policjanci nazwaliby działaniami operacyjnymi. Krążenie po sieci za cyfrowym śladem, krok po kroku, aż trafi się serwer „zabezpieczony” loginem Admin i hasłem Admin123! Tak tak – to zdarza się nawet zarabiającym wielką kasę cybeprzestępczym szajkom. A kiedy już uda się tam dostać, może się w nasze ręce wpada exploit kit właśnie. A w nim np. coś takiego:
O co chodzi? Po przedstawieniu się ekipy oszustów i podaniu linka do poświęconej jej grupy na Facebooku (te części zamazałem, oszuści nie muszą wiedzieć, że trafiliśmy na ich serwer) widzimy, iż pokazanie docelowej witryny phishingowej strona warunkuje wcześniejszym sprawdzeniem treści plików anti[nr].php.
A co znajdziemy w takich plikach?
To lista adresów IP i user_agentów (czyli – w skrócie – ciągu znaków, jakimi „przedstawiają się” urządzenia i sieciowe „roboty”, czy usługi). W skrócie – chodzi o to, by w sytuacji, gdy exploit kit rozpozna sieć, kojarzoną z aktywnością takich zespołów jak nasz, boty Google’a, czy Facebooka, czy skanujący sieć pod kątem złośliwych witryn serwis Phishtank – pokazał „zaślepkę”, a nie faktyczną phishingową treść.
Przykład?
To jest zaślepka. Faktycznie wygląda jak rzetelna, poradnikowa strona. Stawiam, że gdzieś w sieci możemy znaleźć jej kopi... tzn. oczywiście oryginał.
A to faktyczna witryna phishingowa - czołówka:
i część treści:
Lepiej dowiedzieć się z bloga...
Tego typu działania to standard w przypadku zaawansowanych grup przestępczych, zarabiających olbrzymie pieniądze na codziennym oszukiwaniu internautów. Jak widzicie, za kurtyną, która teoretycznie powinna szczelnie okrywać ich oszukańcze aktywności (taaaa, jasne - Admin123!) dzieje się dużo ciekawego. Przede wszystkim jednak znaczącą większość tej wiedzy zatrzymujemy dla siebie i wykorzystujemy na co dzień. Staramy się, byście o wyrafinowaniu przestępców mogli dowiadywać się tylko z naszego bloga albo ze strony CERT Orange Polska, a nie zastanawiając się, gdzie podziały się Wasze pieniądze.
Trzymajcie się zdrowo, bądźcie bezpieczni.
Kasia Barys 
Michał Rosiak 
Komentarze
witam czy jesli wykorzystam pakiet wczesniej to pozniej wlaczy sie lejek do 1mb?
OdpowiedzJeżeli Państwa plan taryfowy przewiduje ograniczenie prędkości przesyłu danych, po wykorzystaniu środków przyznanych w ramach Promocji prędkość danych może zostać ograniczona zgodnie z regulaminem oferty z której Państwo korzystają.
OdpowiedzJak by się ktoś zastanawiał kiedy była publikacja tej informacji:
Thu, 25 Mar 2021 22:16:11 +0000
To będzie 23:16 czasu polskiego
OdpowiedzDziękuję ?
OdpowiedzDziękuję bardzo
OdpowiedzA mnie dalej wk… i denerwuje płatna aktywacja „darmowego” pakietu!!! Wrrr!!!…
OdpowiedzJak ma być darmowy, to dajcie karciarzom możliwość aktywacji w aplikacji za 0zł, albo znieście tą żenującą opłatę za SMS-a!!! 😛
„20 groszy tylko nie płacz proszę „ jak w piosence
OdpowiedzGroszy bylo 12. Emitelek to ma proste wyjasnienie, chca wykluczyc „puste” lezaki. Ma to sens jak na moj gust. Wyobraz sobie jak ktos wklada po kolei zalozmy 8 kart 🙂
OdpowiedzAle mnie wtopiłeś! HaHa… Owszem w rodzinie jest kilka kart, gdzie każdy sobie aktywuje pakiet, jak jest w potrzebie. Mam po prostu porównanie do różowych, gdzie jakakolwiek promocja darmowych danych jest NAPRAWDĘ za darmo!, czy to SMS-em, czy w aplikacji – od darmowych to wolę różowych 😉
OdpowiedzEmitelek. Przeciez caly czas czas u fioletowych jest dosc dlugo program „gigabajty+” ale Tobie chyba nie musze tego tlumaczyc. 😉
OdpowiedzTrochę krótki czas na reakcje, nie zdążyłem aktywować. Czy podobne promocje przewidywane są przy okazji wszystkich męczy?
OdpowiedzOwszem 😉
Odpowiedzhttps://www.pepper.pl/promocje/gigabajty-za-gole-zblizaja-nas-pilkarskie-emocje-376451