Bezpieczeństwo

Phishingi na PGE – uważaj, co akceptujesz!

13 maja 2021

Phishingi na PGE – uważaj, co akceptujesz!

Choć do tupetu i bezczelności sieciowych przestępców przez lata zdążyłem się już przyzwyczaić, zdarzają się sytuacje, gdy nóż po raz kolejny sam otwiera mi się w kieszeni. Co ciekawe, phishingowy schemat, który za chwilę opiszę, nie jest nowy. Jednak ewentualna niefrasobliwość ofiary pozwoli przestępcy zabrać jej wszystkie (i jeszcze więcej) pieniądze.

Znowu „drobne” do dopłacenia

Zaczyna się od SMSa, w naszym przypadku podszywającego się pod zaległość w fakturze za energię dla PGE.

Energetyczna spółka w ostatnim czasie jest jednym z ulubionych celów oszustów. Jeśli damy się przekonać, że nie dopłaciliśmy kilku złotych i klikniemy w link w wiadomości, „skracacz” rozwinie się na pełny adres.

Tu wprawne oko dojrzy nie tylko nie mający nic wspólnego z PGE ani jakimikolwiek płatnościami adres (hxxps://thepostowanie[.]xyz). Zobaczycie także to, przed czym od miesięcy ostrzegamy – drobną kwotę do zapłaty. To prostacka socjotechniczna sztuczka, mająca uspokoić nasz mózg. „To przecież drobna kwota, na takie kwoty się nie okrada!”. To prawda – chcą Was okraść na znacznie większą. Ale o tym zaraz. Jeśli przejdziemy do „płatności”, pojawi się kolejna czerwona flaga. Spójrzcie:

Co to jest to „48”? Można się domyślić, że chodzi o numer telefonu, ale z treści stron nic nie wynika. Spodziewałbym się jednak, że to też niedługo ulegnie zmianie. Przestępcy postarają się, żeby wyglądało jeszcze naturalniej. Kolejny krok to już znany standard:

z informacją „dane nabywcy” tam gdzie – jak zakładam – oszuści chcieliby dostać numer telefonu ofiary.

Co mnie zatem tak wyjątkowo zdenerwowało?

Instalują mobilną aplikację banku!

Zazwyczaj przestępcy w kolejnym kroku podstawiają na swojej stronie formularz logowania do banku, wykradając nasz login i hasło. Tu jednak jest inaczej:

Od kiedy do mTransferu potrzebny jest PESEL i nazwisko panieńskie matki? Ano od nigdy – to dane potrzebne, by aktywować aplikację mobilną banku (i dać jej pełne uprawnienia do naszego konta)! Kolejne kroki mogą się udać tylko w przypadku osób, które nigdy nie korzystały z aplikacji mobilnej, dlatego to bardzo ważne, byście w tym aspekcie uświadomili mniej świadome osoby, np. seniorów, którzy nie korzystają z aplikacji na smartfony.

Przestępcy proszą bowiem o podanie dwóch kluczowych kodów. Najpierw PINu, „uwalniającego” blokadę drugiego ciągu cyfr, a po jego wpisaniu – finalnego kodu, aktywującego aplikację mobilną. Po drodze automatyczny konsultant WIELOKROTNIE komunikuje (do znudzenia wręcz), że kody te służą on do aktywacji aplikacji i by nie podawać ich NIKOMU, wpisując na klawiaturze telefonu (!) i w aplikacji! To miało ukrócić praktyki przestępców, ale skoro wciąż atakują m.in. klientów mBanku należałoby założyć, że nawet takie ostrzeżenie nie zawsze działa!

Uważajcie i ostrzeżcie mniej technicznych członków rodziny/znajomych. Ja wiem, że słuchanie IVRów potrafi być ekstremalnie nudne, ale gdy idzie o transakcje finansowe

słuchamy dokładnie i szczegółowo, co do nas mówi automat!

Taka ostrożność wystarczy, by nie zostać oszukanym w opisywanym przeze mnie schemacie.

Kto za tym stoi?

Wiele wskazuje na to, że ataki „na faktury” to kolejny odłam wschodni grup cyberprzestępczych, które wydają się celować w dominację na polskim rynku. Starając się co najmniej iść krok w krok z nimi (czasami udaje się nawet wyprzedzać kryminalistów) sporo widzimy, choćby nie tylko zbieżność modus operandi z atakami „na Allegro”, czy „na OLX”, ale także zbyt bliskie podobieństwa w zakresie używanej infrastruktury. Na poprawę skuteczności może wpłynąć też fakt, iż oszuści zaczęli wysyłać phishingowe SMSy z polskich numerów (wcześniej przychodziły m.in. z niemieckiej numeracji +49).

Utrudnieniem dla zespołów bezpieczeństwa może być też fakt, iż do kradzieży używana jest niestandardowa infrastruktura. Nie mamy do czynienia z klasycznym botnetem, kierowym przez oszusta sprzed peceta. Analiza ruchu sieciowego wskazuje, iż strony przestępców komunikują się z nimi za pośrednictwem protokołu aplikacji Telegram. To rozwiązanie, używane często w społeczeństwach totalitarnych. Utrudnia ono służbom specjalnym dotarcie do nadawców wiadomości, ale także zespołom bezpieczeństwa wyśledzenie cyfrowych napastników. Na szczęście mamy też inne sposoby. Również te, które całkiem niedawno opisywałem.

No i bloga, za pośrednictwem którego możemy ostrzec Was i poprosić, byście przekazali tę wiedzę wszystkim, co do których obawiacie się, że mogliby dać się oszukać. I oczywiście nie sugerujcie się tym, że aktualna kampania jest na PGE – przestępcy mogą za kolejnym razem wybrać zupełnie inną firmę. Chodzi o schemat działania, który naprawdę warto zapamiętać.

 

Udostępnij: Phishingi na PGE – uważaj, co akceptujesz!

Bezpieczeństwo

Uważajcie na „reklamy” udające bank!

6 maja 2021

Uważajcie na „reklamy” udające bank!

Czasami sieciowy przestępcy potrafią działać w sposób wyrafinowany. Innym razem uderzają „na rympał” – bezczelnie i z tupetem takim, że ciężko uwierzyć. Tak właśnie wygląda trwająca w momencie publikacji tego teksty kampania phishingowa adresowana do klientów Banku Ochrony Środowiska i BNP Paribas.

„El” zamiast „i”

Wszystko zaczęło się wczoraj, w środę, gdy nasze systemy wykryły specyficzny ruch w zakresie rejestracji nowych domen internetowych. Mechanizmy, które opisywałem tydzień temu, wypatrzyły serię rejestrowanych witryn, do złudzenia przypominających adresy BOŚ i BNP Paribas. O nietypowej aktywności poinformowaliśmy przede wszystkim zainteresowanych, publikując również tekst na stronie i krótką informację na Twitterze. Podejrzane domeny w przypadku drugiego z banków wykorzystywały starą sztuczkę z podmianą „i” na „el”. Dodatkowo, wszystkie adresy, które do nas trafiły, umiejscowione były w domenie .com – niestandardowej jak na funkcjonujące w Polsce banki.

Szybko okazało się, że była to tylko część aktywności złych ludzi.

Reklama (nie)prawdę Ci powie?

Kilka godzin później koledzy z Prebytes SIRT ostrzegli, że fałszywe strony Banku Ochrony Środowiska zaczynają pojawiać się w płatnych wyszukiwaniach Google, zaś w czwartek na Twitterze CSIRTu Komisji Nadzoru Finansowego pojawiła się informacja, że podobna sytuacja ma miejsce w przypadku BNP Paribas!

Przypadek? Nie sądzę…

Na czym polega taki sposób ataku? Przestępcy wykupują reklamy na słowa kluczowe kojarzące się z bankiem, by w sytuacji, gdy ofiara zamiast adresu strony wpisze nazwę banku w wyszukiwarce, na górze witryny zobaczyła stronę podstawioną przez oszustów. A, że adres będzie opisany jako reklama? Przyznam Wam szczerze, że sam czasami nie zauważam, które treści w wyszukiwarkach są reklamowe…

Nie byłbym oczywiście sobą, gdybym nie przyjrzał się co na podejrzanych witrynach dzieje się dalej.

Tylko na komórki

Na początku oszustom udało się mnie zmylić, bowiem w sytuacji, gdy wpisanie fałszywego adresu okazało się przekierowywać na prawdziwą stronę banku (co zresztą opisywałem w tekście na stronie CERT Orange Polska) doszedłem do wniosku, że mamy do czynienia jedynie z przygotowaniem do nadchodzącej kampanii. Gdy jednak wspominane reklamy zaczęły się pojawiać na szeroką skalę, kuleczka puknęła mnie w głowę, niczym pomysłowego Dobromira i wszedłem na jedną z witryn przy użyciu emulatora urządzenia mobilnego.

Bingo!

Po wpisaniu loginu ban… tzn. przestępcy proszą o wpisanie HASŁA. Ciekawe, czy dlatego wielkimi literami, żeby brzmiało bardziej przekonująco?

A na koniec… Cóż, nie wiem co na koniec. Biorąc pod uwagę, że poniższy obrazek

widniał, a kółeczko kręciło się, przez kilka minut, stawiam, że przestępcy sprawdzali w locie wpisany login i hasł. Dopiero, gdyby okazały się prawdziwe, pojawiłyby się kolejne monity, w których za pośrednictwem socjotechnicznych sztuczek namawialiby mnie do oddania im moich pieniędzy. Oczywiście nie wpisałem prawdziwego hasła (choćby dlatego, że nie mam konta w żadnym z tych banków). Ciekawe, czy oszustom podobały się „pozdrowienia”, które przesłałem im zamiast hasła? Nie mogłem się powstrzymać 🙂

Co robić?

Będę powtarzał DO ZNUDZENIA:

Logując się do banku przy użyciu podanego linku zawsze dokładnie sprawdzaj adres strony. Jeśli cokolwiek budzi Twój niepokój – nie wpisuj loginu ani hasła!

Najlepiej zadzwoń wtedy do banku i poinformuj o podejrzanej witrynie (bądź potwierdź, że to prawdziwa).

Uważajcie na siebie. W takich akcjach łupem przestępców padają nawet oszczędności całego życia. Oni nie mają skrupułów ani sumienia.

Udostępnij: Uważajcie na „reklamy” udające bank!

Bezpieczeństwo

Sztuczna inteligencja w walce z phishingiem

29 kwietnia 2021

Sztuczna inteligencja w walce z phishingiem

Wiecie, że gdyby nie sztuczna inteligencja, to nasze liczby sięgające nawet setek tysięcy zatrzymanych prób phishingu byłyby chyba niemożliwe do osiągnięcia? Przy liczbach nowych domen „odbijających” się codziennie od naszych serwerów DNS nasi „cyfrowi pracownicy” są nieocenioną pomocą.

W okularach widać lepiej

Pracuję już w naszym „cybersec” tak długo, że pamiętam początki naszego Security Operations Center. Gdy 11 lat temu (!) uruchomiliśmy monitoring zagrożeń w trybie 24/7/365 nagle okazało się, że czyhających w niej zagrożeń jest wyjątkowo dużo. Oczywiście nie chodzi o to, że przestępcy zaczęli Was atakować w ramach „uczczenia” startu SOC. Po prostu, niczym krótkowidz założywszy okulary, zaczęliśmy nagle dużo więcej widzieć!

„Zaprzęgnięcie” do pracy sztucznej inteligencji i uczenia maszynowego było kolejnym, oczywistym etapem rozwoju. Wiem, zabrzmiało to jak straszna oficjałka 🙂 Ale naprawdę liczba generowanych codziennie witryn/domen phishingowych jest olbrzymia. Tak bardzo, że nawet zatrudnienie wyłącznie do tego stu osób nie pozwoliłoby na „przerobienie” nawet 10 procent ruchu. O jakich liczbach mówimy?

Dziennie na części ruchu serwera DNS, z którego korzysta nasze rozwiązanie, obserwujemy 8-10 mld zdarzeń związanych z DNS, wstępnie agregowanych do 70 mln.

W kolejnym kroku robi się z tego 6 mln unikalnych domen, a ostatecznie 2-3 mln takich, których wcześniej na naszym serwerze nie widzieliśmy. Do tego dochodzi jeszcze blisko 25 mln informacji o nowych certyfikatach dla stron https. To – po korelacji z innymi danymi – też może być istotną informacją. Sami przyznacie, że to poziom niewyobrażalny do analizy przez człowieka.

Ostatecznie na koniec dnia do „ręcznej” weryfikacji trafia ok. 100-150 domen. Czyli między 0,00014 a 0,00021% zagregowanych domen. Bez wsparcia maszynowego – nie do przesiania.

Jak my to robimy?

Tutaj w zasadzie muszę, niczym Naczelnik Mieczysław z „Kilera”, rzec:

„Wiem… Ale nie powiem!”.

Tzn. trochę powiem :), ale szczegóły naszego autorskiego rozwiązania są poufne. Poza tym sam nie jestem wystarczająco mądry, by zrozumieć je na tyle, bym potrafił wytłumaczyć je Wam 🙂 Generalnie nasze sondy obserwujące ruch na jednym z serwerów DNS Orange Polska dokładnie przyglądają się wszystkim wpadającym nań zapytaniom. Czy dana domena pojawia się po raz pierwszy, kiedy została zarejestrowana, gdzie, pod jaki adres IP się odwołuje. Wreszcie – last, but not least – jaką ma nazwę. Zbierając te wszystkie dane sztuczna inteligencja przydziela każdej domenie punktację. Jeśli punkty przekraczają ustalony poziom – domena spada z „sitka” na kolejny etap analizy.

Dodatkowo, gdy strona dotrze już do analizy przez człowieka („przesianymi” witrynami phishingowymi zajmuję się np. ja), finalna decyzja – czy mamy do czynienia z wynikiem prawdziwie, czy fałszywie pozytywnym – wpływa na to, jak algorytmy będą traktować kolejne podobne witryny. Pojęcie uczenia maszynowego nie jest li tylko buzzwordem. Nasze rozwiązanie uczy się i z czasem staje się coraz dokładniejsze.

W sumie, korzystając z AI i innych źródeł, tygodniowo blokujemy 2-2,5 tysiąca domen.

Szybsi – pomaga sztuczna inteligencja

Pewnie macie na końcu języka pytanie: „Czy zdarzają się pomyłki?”. Oczywiście, że tak, nawet Skynet się mylił (oj, skojarzenia to przekleństwo 😉 ). Zdarza się to jednak naprawdę rzadko. To dlatego, że algorytm blokuje tylko witryny, które w sposób absolutnie oczywisty są phishingowe/malware’owe (np. na bazie ich wyglądu). To około połowa zablokowanych stron. W przypadku jakichkolwiek wątpliwości ostateczną decyzję podejmuje człowiek. Czy to jeden z naszych dzielnych operatorów SOC na I linii, czy też III linia, czyli wyżej podpisany albo któryś z moich kolegów. Co ciekawe, trafiają się oszuści z wyjątkowym tupetem! Potrafią, pisząc z adresu w domenie @protonmail.com, zażądać odblokowania konkretnej strony. Jeden nawet w ciągu kilku dni z tego samego adresu poprosił o zdjęcie blokady z trzech, bezdyskusyjnie phishingowych. Czasami w przypadku dużych wątpliwości uruchamiamy nawet „inteligencję białkową” 🙂 i wtedy dzwonię do firmy, która wydaje się być właścicielem witryny, by potwierdzić, czy to aby na pewno nie ich.

Gdyby jednak nie wsparcie naszego działającego w mgnieniu oka cyfrowego przyjaciela, na pewno nie byłoby tak łatwo. Nie byłoby mowy o zablokowaniu phishingowej witryny kilkanaście minut po jej powstaniu! Albo uniemożliwieniu (dzięki informacji o wystawieniu certyfikatu) wejścia na strony z SMSowych phishingów czasem nawet zanim wiadomość dotrze do pierwszej ofiary. Pozostaje tylko mieć nadzieję, że nie ma takich ambicji jak filmowy Skynet 😉

Zdjęcie z www.vpnsrus.com na licencji CC BY 2.0

Udostępnij: Sztuczna inteligencja w walce z phishingiem

Bezpieczeństwo

Oszustwa „na szczepionki” za 3, 2, 1…

22 kwietnia 2021

Oszustwa „na szczepionki” za 3, 2, 1…

Otwierają szczepienia przeciwko Covid-19 dla wszystkich? Każdy Polak w wieku 18+ będzie mógł „zaklepać” sobie termin? No to szykujmy się nie tylko na odporność populacyjną, ale też na zalew mailowych i SMS-owych oszustw „na szczepionki”. A – jak wskazuje doświadczenie – zyskać odporność na sieciowe ściemy jest niestety dużo trudniej.

Aaaaa szczepionki bez kolejki

Cyberprzestępcy wiedzą, co się dzieje na świecie. Różne rzeczy można o nich powiedzieć, ale jeśli chodzi o trendy, zawsze są na czasie. Otwarcie szczepień dla wszystkich to dla nich idealna okazja. Dlatego gotów jestem postawić spore (choć faktycznie nie wszystkie) pieniądze, że lada dzień do Polaków zaczną przychodzić intrygujące SMS-y…

Czego mogą dotyczyć? Mobilnej aplikacji, pomagającej wyszukać punkty szczepień. Sprawdzenia, kiedy czeka nas szczepienie (po wpisaniu np. PESELU, imienia i nazwiska). Możliwości ominięcia kolejki (po wpisaniu danych osobowych lub ściągnięciu „specjalnej” mobilnej aplikacji). Nie zdziwiłbym się nawet propozycji odpłatnego zaszczepienia, tu akurat dałbym sobie rękę przy samym ramieniu uciąć, że znalazłoby się sporo chętnych. A co łączy te wszystkie (póki co hipotetyczne) tematy? Oczywiście to, że żaden nie będzie prawdziwy.

Łapiemy się na phishingi

Niestety zarówno ogrom phishingowych kampanii, jak i nasze statystyki, wskazują, że wciąż zbyt łatwo łapiemy się na sieciowe oszustwa. Skoro wielu internautów wierzy i instaluje fałszywe aplikacje Inpostu, czy DHL (trwa zakrojona na bardzo szeroką skalę kampania, rozsiewająca bankera Flubot), dlaczego nie mieliby uwierzyć dobrze skrojonej socjotechnicznej bajeczce, gdy może iść o zdrowie, albo i nawet o życie? Olbrzymia liczba blokowanych przez nas phishingowych domen i to, jakich sztuczek próbują oszuści, by oszukać internautów (i operatorów) świadczy o tym, że ten biznes naprawdę piekielnie się opłaca. Naprawdę, skoro raz-dwa w tygodniu na pierwszą linię CERT (a ostatecznie do mnie) trafia mail z prośbą o „odblokowanie tej strony OLX, bo chcę odebrać płatność”, z ewidentnie fałszywym linkiem, to czy na „okazyjne” szczepionki byłoby mniej chętnych? Jak dla mnie – brzmi retorycznie.

Na co uważać?

W dzisiejszych czasach? Na każdego SMS-a z linkiem… Serio, nie mam statystyk, ale jak się zastanawiam nad procentem wiadomości „nie-fałszywych” z linkami to stawiałbym na kilka procent. Może pięć? Tak naprawdę każdy nieoczywisty SMS z łączem hipertekstowym powinniśmy traktować jako niezaufany.

Rejestrujcie się wyłącznie przy użyciu sposobów opisanych na stronie https://www.gov.pl/web/szczepimysie/rejestracja. Jeśli wykorzystujecie w tym celu SMS-y, używajcie wyłącznie numerów podanych na powyższej stronie i pamiętaj, że to z nich dostaniesz informację zwrotną.

Szczepionki to zło? Uwaga na fake newsy!

I – last but not least – nie ufaj plotkom. Szereg rozpowszechnianych w sieci informacji o rzekomej szkodliwości szczepionek i odradzających szczepień to nie tylko głupota, ale także potencjalny element wojny informacyjnej. W ciągu ostatnich lat researcherzy wielokrotnie dowodzili, że pojawiające się w mediach społecznościowych informacje mające potencjał polaryzowania społeczeństwa były tak naprawdę indukowane przez farmy trolli/botów, a ich celem było sianie zaniepokojenia. O ile scamu SMS-owego na wielką skalę jeszcze nie spotkałem, fake newsy niestety są w sieci już od jakiegoś czasu.

Nie bądź ofiarą przestępców, nie bądź pożywką dla fake newsów. A przede wszystkim – bądź zdrowy. Powrót do życia, które będzie można nazwać normalnym, wydaje się być w zasięgu wzroku. Szczepcie się.

Zdjęcie Marco Verch na licencji CC BY 2.0

Udostępnij: Oszustwa „na szczepionki” za 3, 2, 1…

Bezpieczeństwo

Ładowarka przyniosła śmierć

15 kwietnia 2021

Ładowarka przyniosła śmierć

Ładowarka jak z horroru? Wiem – tytuł clickbaitowy aż zęby bolą. Jednak bardzo chciałem Was do tego tekstu przyciągnąć. Bo – kurczę – tyle piszemy o cyberzagrożeniach, że czasami zapominamy o tych najprostszych, najbardziej pospolitych, które czają się na styku świata rzeczywistego z internetowym.

Być może niektórzy z Was wiedzą, o czym napiszę. Pomysł podsunęła mi we wtorek Kasia Barys, a ja – choć sam wcześniej prześlizgnąłem się tylko po prasowym nagłówku – doszedłem do wniosku, że warto jak cholera. Tym bardziej, że temat jest na styku dwóch kwestii, o których piszę na blogu – bezpieczeństwa (choć tym razem nie stricte internetowego) i gadżetów.

Ładowarka do wanny?

Jako rodzicowi trójki synów (w tym dwóch starszych przywiązanych – jak większość młodzieży lat 20. XXI wieku do smartfonów) włosy stanęły mi dęba, gdy zobaczyłem taki nagłówek (cały artykuł znajdziecie tutaj).

Kto nigdy nie wchodzi do łazienki z telefonem, niech pierwszy rzuci kamieniem. A biorąc pod uwagę coraz częstszą wodoodporność dzisiejszych nie tylko topowych terminali – pewnie niektórym do wanny/pod prysznic też się zdarza (nie, nie rzucę). Gdzieś jednak – jako rodzice, ale też jako edukatorzy (również dorosłych) popełniliśmy błąd. Tak zapędziliśmy się w wypunktowywaniu sieciowych zagrożeń, że umknęły nam absolutne podstawy. Czy komuś z Was przyszłoby kiedyś do głowy, by ładować telefon siedząc w wannie? Swoją drogą, jakiemu projektantowi przyszedł do głowy pomysł na gniazdko tak blisko wanny (!!!), że sięgnęła do niej ładowarka (czy raczej podpięty do niej kabel)?!

Nie mieszajcie prądu i wody

Co powinniśmy winić za tragiczną śmierć nastolatki? FOMO, presję rówieśniczą na to, by ciągle być w sieci? Pandemię koronawirusa, która sprawiła, że interakcje międzyludzkie nas wszystkich przeniosły się do internetu? Którakolwiek z powyższych odpowiedzi miałaby się okazać prawdziwa – to nie jest coś, co moglibyśmy (niestety) zmienić. Warto jednak pamiętać o tym, że w obecnym stanie technologii nie musimy biegać wszędzie z ładowarką!

Ja pamiętam jeszcze pierwsze telefony komórkowe, które pół dnia pracowały, a drugie pół były podpięte do prądu. Teraz nawet średniej klasy smartfony wspierają bowiem którąś z wersji technologii QuickCharge (niektórzy producenci używają swoich autorskich technologii). Pozwala ona w najbardziej wydajnej wersji nawet na naładowanie baterii do 100 procent w ciągu pół godziny! Przyznam Wam, że mnie zdarza się już nawet nie podpinać telefonu w nocy (a to bardziej ekologiczne, zdrowsze dla Ziemi). Siadam rano przy komputerze, kładę smartfon na płytce ładowarki indukcyjnej i po krótkim czasie urządzenie jest już „nakarmione”.

Nie mieszajcie wody i urządzeń pod napięciem. Technologie przez lata skoczyły do przodu jak szalone, ale to akurat się nie zmieniło. A jeśli jesteście rodzicami, opowiedzcie tę historię swoim dzieciom. To nie jest scenariusz holywoodzkiego filmu „klasy D”. To – niestety – zdarzyło się naprawdę.

Udostępnij: Ładowarka przyniosła śmierć

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej