Na początku roku mój kolega wyjeżdżał na dwutygodniowy urlop. Wszystko zaplanowane, zarezerwowane, aż nagle w aplikacji Booking.com hotel pisze do niego, że coś jest nie tak z płatnością. Na szczęście kolega jest z tych ostrożniejszych i zorientował się, że coś jest nie tak.
Rosiu, przecież kliknięcie tego dla większości ludzi jest oczywiste! Przyszło w aplikacji, czyli jest ‘legitne’!
Ciężko nie przyznać w takiej sytuacji racji. Spójrzmy jednak na cały temat na spokojnie i skoro nie musimy się zastanawiać, czy to oszustwo, pomyślmy skąd się wzięło?
(1) Hotel dostaje reklamację
Ludzie są wyczuleni na bezczelne phishingi. Jeśli przychodzi do nas mail od obcej osoby, z linkiem albo załącznikiem, co raz więcej osób nie klika. I jeśli chodzi o osoby prywatne, to absolutnie super! Inaczej sprawa ma się jednak, gdy w grę wchodzi sprzedawca usługi. Np. właśnie hotel. Co więcej – w pierwszym mailu nie dostaje żadnego linka. Pierwszy mail to zwykła, ostra w wymowie, reklamacja, punktująca na jak potężne niedogodności rzekomy klient natrafił w hotelu.
Niekulturalna obsługa, pluskwy biegające po podłodze, zatrucia pokarmowe. Nie pracowałem nigdy w hotelu, ale wyobrażam sobie, że takie tematy mocno podnoszą ciśnienie odbiorcy wiadomości. Oczywiście na słowo uwierzyć nie muszą, a gdy poproszą o dowody – dostaną kolejnego maila. Z linkiem do serwisu chmurowego. I oczywiście hasło, bo przecież „chyba nie chcecie, żeby do sieci trafiły zdjęcia tego, na co stać Wasz hotel”?
(2) Następuje infekcja
Hotel musi dbać o dobre imię, więc obsługującemu skrzynkę nie zapala się czerwone światełko. Ba, wręcz jest wdzięczny nadawcy, że o tym pomyślał! Klika więc w link, ściąga plik, nie dziwiąc się temu, że „waży” kilkaset MB. W sumie to nic takiego, skoro są w nim zdjęcia i pewnie filmy. A ponieważ obecnie systemy operacyjne domyślnie nie pokazują rozszerzenia plików, ofiara bierze za dobrą monetę, że rozpakowany plik „all the necessary information” ma logo, świadczące o tym, że to film, czy zdjęcie. Nie widzi, że faktycznie rozszerzenie pliku to scr (wygaszacz ekranu) i kliknięcie w niego od razu prowadzi do infekcji. A czemu jest taki długi? Bo znaczna część systemów bezpieczeństwa nie skanuje tak wielkich plików na wejściu. Zajrzenie w strukturę .scr’a pokazuje, że jego znaczna większość to… zera, sztucznie rozdmuchujące wielkość pliku.
Recepcjonista klika, nic mu się nie pokazuje. Może jest trochę zdziwiony, ale raczej nie wiem, że zainstalował właśnie opisywanego przez moich kolegów z CERT Orange Polska infostealera Vidar.
(3) Nic się nie dzieje
A przynajmniej nic, co byłoby widać. Vidar po cichutku pracuje, do przestępcy trafiają różne dane, w tym loginy i hasła do różnych aplikacji, uruchamianych na zainfekowanym komputerze. Jeśli hotel jest na tyle duży, by korzystać z usług zewnętrznych serwisów rezerwacyjnych, prędzej czy później z komputera będzie korzystał ktoś, kto się na nie loguje. Na to – w przynajmniej w opisywanym przeze mnie przypadku – czekają oszuści. W odpowiedniej chwili, najlepiej wieczorem lub w nocy, gdy na dyżurze jest jeden recepcjonista, który korzystając ze spokoju może się zdrzemnąć, logują się na do serwisu rezerwacyjnego i mając również dostęp do szczegółowych danych przyszłych gości, zaczynają rozsyłać informacje.
(4) „Hotel” atakuje
Hotel już został zaatakowany – choć nikt jeszcze nie jest tego świadom, pora wziąć się za coś, na czym da się zarobić. Oddajmy głos jeszcze raz temu, od którego zaczęło się moje zainteresowanie tym tematem:
Dostałem informację, że coś jest nie tak z moją kartą i potrzebują, żebym powtórzył płatność. Miewałem wcześniej problemy z zagranicznymi płatnościami, jednak spojrzałem na link. Faktycznie, miał „booking” w treści, ale kończył się zupełnie inaczej, w jakiejś dziwnej domenie. Pomyślałem, że muszę się nad tym zastanowić. Kilka godzin później tą samą drogą napisał już – jak zakładam – hotel, z ostrzeżeniem, żeby niczego nie płacić, bo to oszustwo!
Nie lubię chwalić przestępców, ale ten atak naprawdę został nieźle przemyślany. Sytuacja, gdy wiadomości dochodzą przez interfejs serwisu daje +100 do zaufania, a fakt, iż wysyłający powołuje się na szczegóły naszej rezerwacji (włącznie z danymi osobowymi) jeszcze bardziej zmniejsza potencjalną nieufność. Jestem w stanie wyobrazić sobie, że z tego typu ataku źli ludzie mają znaczącą wyższą konwersję, niż ze zwykłych, prostackich phishingów. Ja na pewno spojrzałbym na link, ale ja jestem… inny.
Co robić
Uważać. Przede wszystkim uważać. Najważniejsze do zapamiętania jest to, co miał w głowie mój kolega:
Jeśli masz dokonać jakiejkolwiek aktywności związanej z pieniędzmi, upewnij się, że adres strony jest prawidłowy!
Dobry socjotechnik jest w stanie przekonać nas do wielu rzeczy, ale jeśli wbijemy sobie w głowę sprawdzanie adresu – ograniczymy swoją podatność na tego typu ataki prawie do zera.
Jeśli masz wątpliwości – zadzwoń. Czy to do hotelu, czy do innego usługodawcy, który przyśle Ci podejrzanego maila. Tam też pracują ludzie, a jeśli postawimy się w ich sytuacji, opisanej na początku tekstu, łatwo sobie wyobrazić, że też byśmy kliknęli w taki plik.
No i w razie jakichkolwiek wątpliwości, podejrzanego maila wyślij do CERT Orange Polska mailem, zaś SMS-a prześlij dalej na 508 700 900.
