Czasami sieciowy przestępcy potrafią działać w sposób wyrafinowany. Innym razem uderzają „na rympał” – bezczelnie i z tupetem takim, że ciężko uwierzyć. Tak właśnie wygląda trwająca w momencie publikacji tego teksty kampania phishingowa adresowana do klientów Banku Ochrony Środowiska i BNP Paribas.

„El” zamiast „i”

Wszystko zaczęło się wczoraj, w środę, gdy nasze systemy wykryły specyficzny ruch w zakresie rejestracji nowych domen internetowych. Mechanizmy, które opisywałem tydzień temu, wypatrzyły serię rejestrowanych witryn, do złudzenia przypominających adresy BOŚ i BNP Paribas. O nietypowej aktywności poinformowaliśmy przede wszystkim zainteresowanych, publikując również tekst na stronie i krótką informację na Twitterze. Podejrzane domeny w przypadku drugiego z banków wykorzystywały starą sztuczkę z podmianą „i” na „el”. Dodatkowo, wszystkie adresy, które do nas trafiły, umiejscowione były w domenie .com – niestandardowej jak na funkcjonujące w Polsce banki.

Szybko okazało się, że była to tylko część aktywności złych ludzi.

Reklama (nie)prawdę Ci powie?

Uważajcie na złośliwe reklamy w wynikach wyszukiwania Google. Kierują one na strony phishing @BOS__Bank.#phishing #BOŚBank pic.twitter.com/HxJ1FvDQZF

— PREBYTES SIRT (@Prebytes_SIRT) May 5, 2021

Kilka godzin później koledzy z Prebytes SIRT ostrzegli, że fałszywe strony Banku Ochrony Środowiska zaczynają pojawiać się w płatnych wyszukiwaniach Google, zaś w czwartek na Twitterze CSIRTu Komisji Nadzoru Finansowego pojawiła się informacja, że podobna sytuacja ma miejsce w przypadku BNP Paribas!

Przypadek? Nie sądzę…

Na czym polega taki sposób ataku? Przestępcy wykupują reklamy na słowa kluczowe kojarzące się z bankiem, by w sytuacji, gdy ofiara zamiast adresu strony wpisze nazwę banku w wyszukiwarce, na górze witryny zobaczyła stronę podstawioną przez oszustów. A, że adres będzie opisany jako reklama? Przyznam Wam szczerze, że sam czasami nie zauważam, które treści w wyszukiwarkach są reklamowe…

Nie byłbym oczywiście sobą, gdybym nie przyjrzał się co na podejrzanych witrynach dzieje się dalej.

Tylko na komórki

Na początku oszustom udało się mnie zmylić, bowiem w sytuacji, gdy wpisanie fałszywego adresu okazało się przekierowywać na prawdziwą stronę banku (co zresztą opisywałem w tekście na stronie CERT Orange Polska) doszedłem do wniosku, że mamy do czynienia jedynie z przygotowaniem do nadchodzącej kampanii. Gdy jednak wspominane reklamy zaczęły się pojawiać na szeroką skalę, kuleczka puknęła mnie w głowę, niczym pomysłowego Dobromira i wszedłem na jedną z witryn przy użyciu emulatora urządzenia mobilnego.

Bingo!

Po wpisaniu loginu ban… tzn. przestępcy proszą o wpisanie HASŁA. Ciekawe, czy dlatego wielkimi literami, żeby brzmiało bardziej przekonująco?

A na koniec… Cóż, nie wiem co na koniec. Biorąc pod uwagę, że poniższy obrazek

widniał, a kółeczko kręciło się, przez kilka minut, stawiam, że przestępcy sprawdzali w locie wpisany login i hasł. Dopiero, gdyby okazały się prawdziwe, pojawiłyby się kolejne monity, w których za pośrednictwem socjotechnicznych sztuczek namawialiby mnie do oddania im moich pieniędzy. Oczywiście nie wpisałem prawdziwego hasła (choćby dlatego, że nie mam konta w żadnym z tych banków). Ciekawe, czy oszustom podobały się „pozdrowienia”, które przesłałem im zamiast hasła? Nie mogłem się powstrzymać 🙂

Co robić?

Będę powtarzał DO ZNUDZENIA:

Logując się do banku przy użyciu podanego linku zawsze dokładnie sprawdzaj adres strony. Jeśli cokolwiek budzi Twój niepokój – nie wpisuj loginu ani hasła!

Najlepiej zadzwoń wtedy do banku i poinformuj o podejrzanej witrynie (bądź potwierdź, że to prawdziwa).

Uważajcie na siebie. W takich akcjach łupem przestępców padają nawet oszczędności całego życia. Oni nie mają skrupułów ani sumienia.

Jakiś czas temu wspominałam o tym, że pracownicy Ministerstwa Administracji i Cyfryzacji komunikują się, dzięki naszemu rozwiązaniu UCaaS. To rozwiązanie działające w modelu Cloud Computing. Dziś mam kolejną dobrą wiadomość. UCaaS wspiera komunikację w Banku Ochrony Środowiska. I można uznać to wdrożenie za udane przetarcie szlaku wykorzystywania w szerszym zakresie modelu Cloude’owego przez banki.

Rozwiązanie objęło swym zasięgiem niebagatelną liczbę, 1836 pracowników.

Jak mówi Adam Grzebieluch, wiceprezes BOŚ – „Do najważniejszych korzyści płynących z wdrożenia zaliczam uzyskanie możliwości silniejszego skupienia się naszego bankowego IT na realizacji i wspieraniu typowo bankowych, core’owych rozwiązań. Uwalniamy nasze kompetencje i zasoby dotychczas zablokowane przy wsparciu mało innowacyjnych, z naszego punktu widzenia, działań i infrastruktury. Druga korzyść, związana z przekazaniem na zewnątrz opieki nad siecią i urządzeniami telekomunikacyjnymi, to zmiana w budżecie IT relacji OPEX do CAPEX. W perspektywie 2–3 lat zakładamy kilkudziesięcioprocentowy spadek wysokości OPEX w obszarze usług telekomunikacyjnych”.

Istotnym aspektem tego wdrożenia jest przede wszystkim fakt, że bank zdecydował się na Cloud Computing. Osobiście, uważam, że w tym kontekście to jedno z rewolucyjnych w branży wdrożeń IT w ostatnich latach.

Co o tym modelu i bezpieczeństwu danych „w chmurze” sądzi Adam Grzebieluch?

„Z punktu widzenia banku model Cloud Computing jest dopuszczalny, jak każdy inny, o ile odpowiada na konkretne i praktyczne – a nie formalne – wymogi dotyczące bezpieczeństwa, poufności, niezawodności. Wykorzystanie modelu chmurowego w opcji hostingu z dokładnym przypisaniem lokalizacji do maszyn w dużej mierze wyczerpuje problem. Świadomość, że centrum danych znajduje się w Polsce, w znanej nam lokalizacji i jest obsługiwane przez gracza, dla którego polski rynek jest najważniejszy, to dla nas w tym konkretnym przypadku informacja istotniejsza i cenniejsza niż ta o realizowanych standardach bezpieczeństwa. To drugie to standard, bez którego nie siadamy do wspólnych rozmów, ponieważ to kwestia strategicznego poziomu prawdopodobieństwa realizacji i rozwoju usługi” – wyjaśnia Adam Grzebieluch.

Więcej o wdrożeniu można dowiedzieć się na naszej stronie w zakładce „W praktyce”.  Hmmm… czyżby „chmura” stała się faktem?