Bezpieczeństwo

Zaślepki, czy tylko dla „godnych” oczu

25 marca 2021

Zaślepki, czy tylko dla „godnych” oczu

Jak część z Was wie, moja codzienna praca polega m.in. na analizowaniu (takim podstawowym, bez przyglądania się kodowi) stron potencjalnie złośliwych. Przy tym zajęciu czasami zdarza się, że poczuję się jak Marcin Najman 🙂 Niby ma być phishing, albo nawet malware, wchodzę na stronę, a tymczasem…

Ludzie, przecież tu nikogo nie ma!?

Jest. Tylko trzeba wiedzieć, jak szukać!

Mobilny phishing nie dla peceta

46 procent odwiedzających stronę CERT Orange Polska robi to z urządzeń mobilnych. To w porównaniu do największych krajowych serwisów, które czasami się tym chwalą to raczej poniżej średniej. Jeśli jednak przyjrzymy się statystykom witryn alert.cert.orange.pl (czyli tej, na którą trafiacie w efekcie kampanii CyberTarczy lub, gdy blokujemy dla Was witrynę phishingową) statystyki różnią się znacząco – przeszło 92 na 100 użytkowników wchodzi z komórek (91,2%) lub tabletów (1,29%)! Przestępcy też o tym wiedzą, dlatego w bardzo wielu przypadkach złośliwa/phishingowa strona w momencie wejścia sprawdza zmienną User-Agent urządzenia, z którego wchodzicie. W efekcie wchodząc z komputera stacjonarnego zobaczycie biały ekran, a nawet absolutnie nie budzącą podejrzeń, rzetelną witrynę!

Po co? Choćby dlatego, że wersja mobilna strony zazwyczaj jest mniej naładowana ozdobnikami, co pozwala na „poprowadzenie za rękę” przyszłej ofiary według założonego socjotechnicznego scenariusza. Na telefonie, widząc zwięzłe komunikaty i wielkie przyciski, na dodatek korzystając zeń w biegu, na szybko – chętniej klikniemy tam, gdzie chce oszust.

Dobry złodziej zawczasu drogę rozpozna

Drugi powód jest zdecydowanie bardziej wyrafinowany. By go wyjaśnić, wprowadzimy pojęcie exploit kitu.

Exploit kit (za Trend Micro) to: rodzaj zbioru cyfrowych narzędzi, używanych przez cyberprzestępców do wykorzystania podatności systemu/aplikacji w celu umieszczenia w docelowym serwisie/na urządzeniu złośliwych treści

Nasza praca w CERT Orange Polska to nie tylko moje przyglądanie się złośliwym stronom. To także – a czasami przede wszystkim – coś, co policjanci nazwaliby działaniami operacyjnymi. Krążenie po sieci za cyfrowym śladem, krok po kroku, aż trafi się serwer „zabezpieczony” loginem Admin i hasłem Admin123! Tak tak – to zdarza się nawet zarabiającym wielką kasę cybeprzestępczym szajkom. A kiedy już uda się tam dostać, może się w nasze ręce wpada exploit kit właśnie. A w nim np. coś takiego:

O co chodzi? Po przedstawieniu się ekipy oszustów i podaniu linka do poświęconej jej grupy na Facebooku (te części zamazałem, oszuści nie muszą wiedzieć, że trafiliśmy na ich serwer) widzimy, iż pokazanie docelowej witryny phishingowej strona warunkuje wcześniejszym sprawdzeniem treści plików anti[nr].php.

A co znajdziemy w takich plikach?

To lista adresów IP i user_agentów (czyli – w skrócie – ciągu znaków, jakimi „przedstawiają się” urządzenia i sieciowe „roboty”, czy usługi). W skrócie – chodzi o to, by w sytuacji, gdy exploit kit rozpozna sieć, kojarzoną z aktywnością takich zespołów jak nasz, boty Google’a, czy Facebooka, czy skanujący sieć pod kątem złośliwych witryn serwis Phishtank – pokazał „zaślepkę”, a nie faktyczną phishingową treść.

Przykład?

To jest zaślepka. Faktycznie wygląda jak rzetelna, poradnikowa strona. Stawiam, że gdzieś w sieci możemy znaleźć jej kopi… tzn. oczywiście oryginał.

A to faktyczna witryna phishingowa – czołówka:

i część treści:

Lepiej dowiedzieć się z bloga…

Tego typu działania to standard w przypadku zaawansowanych grup przestępczych, zarabiających olbrzymie pieniądze na codziennym oszukiwaniu internautów. Jak widzicie, za kurtyną, która teoretycznie powinna szczelnie okrywać ich oszukańcze aktywności (taaaa, jasne – Admin123!) dzieje się dużo ciekawego. Przede wszystkim jednak znaczącą większość tej wiedzy zatrzymujemy dla siebie i wykorzystujemy na co dzień. Staramy się, byście o wyrafinowaniu przestępców mogli dowiadywać się tylko z naszego bloga albo ze strony CERT Orange Polska, a nie zastanawiając się, gdzie podziały się Wasze pieniądze.

Trzymajcie się zdrowo, bądźcie bezpieczni.

Udostępnij: Zaślepki, czy tylko dla „godnych” oczu

Bezpieczeństwo

Jak Wojtek (nie) został Illuminatą

18 lutego 2021

Jak Wojtek (nie) został Illuminatą

„Michał, zobacz co dostałem! Co mam z tym zrobić? Skontaktowałbyś się?” – Wojtek Jabczyński całkiem nieźle udawał emocje, podsyłając mi screen z maila, który chwilę wcześniej do niego trafił. Jakby nie patrzeć – propozycja jest kusząca. Nagroda pieniężna 700 tysięcy dolarów, wymarzony dom w dowolnym miejscu świata, 15 tys. dolarów tygodniowo (!) na koncie. No i członkostwo w legendarnym tajnym stowarzyszeniu, istniejącym od XVIII wieku.

No właśnie. Tajnym. Od kiedy Illuminati zaczęli wysyłać maile, szukając nowych członków?

Damy Ci wszystko, chcemy… właśnie, czego chcemy?

Mail, który trafił do Wojtka (to nie pierwszy przypadek, który opisuję 🙂 ), to tzw. nigeryjski scam – nieco „stuningowany” – znany też w wersji oszustwa „na celebrytę”. Jestem się w stanie założyć o każde pieniądze, że co najmniej 95% z Was słyszało, bądź osobiście spotkało się z „wyjątkową propozycją udziału w inwestycji”. Ewentualnie też od spadkiem nieznanego Wam do tej pory… nigeryjskiego krewnego. Sam dostałem kiedyś DM na Twitterze od dżentelmena. Informował mnie o rzekomej śmierci pana o nazwisku Rosiak i skomplikowanym, potrójnym bodaj, nigeryjskim imieniu. Miliony dolarów, czekające na mnie? Niewidziany wujek z Czarnego Lądu? Cóż – nie sądzę…

Gdzie jest oszustwo? Phishing wysłany do Wojtka jest z grupy tych subtelnych, wyrafinowanych. Tu nikt nie prosi o pieniądze na początku, zarzuca jedynie socjotechniczną wędkę, licząc, że rybka złapie się na haczyk. Wchodząc w interakcję z Peterem ofiara prędzej, czy później dowiedziałaby się, że owszem, oferowane jest jej członkostwo w stowarzyszeniu, ale… Cóż, ale najpierw musi zapłacić wpisowe, później pewnie składkę, potem jeszcze jakieś pieniądze. Gdy zorientuje się, że coś zaczyna być nie tak – „sekretarz Illuminatów” przestanie odpowiadać na maile.

Tzw. nigeryjski scam jest bardziej toporny, a sprawcy szybko zmierzają „do brzegu”. Zazwyczaj już w pierwszym mailu warunkują odbiór spadku wsparciem w opłatach bankowych, czy innych tego typu aktywnościach. Jeśli dobrze prowadzona „wkrętka” padnie na podatny grunt, ofiara może się zorientować, że coś jest nie tak, gdy z jej konta znikną dziesiątki tysięcy złotych.

Nigeryjski scam na podryw albo celebrytę

A jak się oszukuje „na celebrytę”? Kilkanaście dni temu nawet mainstreamowe media (m.in. Onet) pisały o mieszkance Piaseczna, która dała się okraść na bardzo duże pieniądze, będąc pewna, że płaci na… operację Clinta Eastwooda. Umiejętnie prowadzona przez osobę podającą się za syna aktora zorientowała się, że coś jest nie tak, gdy stan jej konta zmalał o… 600 tysięcy złotych!

Idealnym źródłem dla oszustów są oczywiście wszelkie serwisy randkowe. To miejsca, w których socjotechnika wyjątkowo się sprawdza. Mam tam do czynienia z osobami sprofilowanymi na konkretne aktywności – poszukujących miłości lub seksu. W obu przypadkach mamy do czynienia z jednym z podstawowych potrzeb wg. piramidy Maslowa. Takie osoby, widzące swój cel w zasięgu wzroku, bardzo łatwo oszukać i wyciągnąć naprawdę duże pieniądze. Kilka lat temu na konferencji Confidence słyszałem historię o zakochanym Polaku, który wpłacił kilkadziesiąt tysięcy dolarów… okupu za rzekomo porwaną ukochaną!

Co ciekawe, ofiarami oszustów nie są tylko kobiety. Miałem całkiem niedawno w swoim życiu taki okres, gdy korzystałem z tego rodzaju witryn. Dziwnym trafem zakochała się we mnie stacjonująca w Polsce żołnierka US Army. Uwierzyłem podobnie jak Wojtek w Illuminati 🙂

Udostępnij: Jak Wojtek (nie) został Illuminatą

Bezpieczeństwo

Fałszywe bramki płatności – jak to działa?

4 lutego 2021

Fałszywe bramki płatności – jak to działa?

Fałszywe bramki płatności… To zmora ostatnich kilkunastu miesięcy, z intensyfikacją aktywności przestępców na początku pandemii. Wtedy na telefony polskich internautów zaczęły gremialnie przychodzić SMS z sugestiami, by dopłacić kilka złotych za dezynfekcję paczki. Później oszuści wpadali jeszcze na szereg innych pomysłów, każdy prowadzący do tego, by przekonać ofiarę do: kliknięcia; otwarcia strony; nie zwrócenia uwagi, że choć przypomina panel operatora płatności, to ma zupełnie inny adres. Wszystko po to, by przejąć login i hasło ofiary, a następnie okraść ją ze wszystkich pieniędzy.

Jak to wygląda?

Tego się nie da robić w jedną osobę. Kluczem są fałszywe bramki płatności. Taką bramkę może obsługiwać jeden człowiek, ten sam, który wcześniej przygotuje i wyśle phishingowe SMSy. Nie musi znać się na kodowaniu – podaż „lewych” bramek na rynku jest naprawdę spora. Wyglądają identycznie jak te prawdziwe, jedyną różnicą jest oczywiście adres. Podobnie po wyborze banku, ofiara widzi kopię 1:1 witryny swojego banku.

Ze skradzionymi pieniędzmi trzeba coś jednak zrobić. Najlepiej szybko, żeby ofiara się nie zorientowała, że coś jest nie tak. Jeśli nasza socjotechnika jest wyjątkowo dobra, trzeba się liczyć z tym, że kolejne dane do panelu obsługi bramki mogą wpływać bardzo szybko.

Miałem okazję zajrzeć „za kulisy”, do panelu administracyjnego i dowiedzieć się jak wyglądają fałszywe bramki płatności. Wygląda to naprawdę profesjonalnie i czytelnie. Imię i nazwisko, mail, numer telefonu (to wszystko podawane przy rejestracji rzekomej płatności) i oczywiście to, co interesuje przestępcę najbardziej – login i hasło. A także, jeśli ofiara dała się nabrać, ostatnia kluczowa rzecz do przelewu. Kod SMS. Dodatkowo jest też miejsce na uwagi operatora. Ostatni ciekawy punkt to panel, pozwalający na bieżąco generować kolejne phishingowe witryny. Dzięki temu operator ma wszystko pod ręką, może reagować, gdy widzi, że pojedyncze strony są blokowane. Może teżwysyłać SMSy w wielu małych paczkach, utrudniając życie zespołom bezpieczeństwa.

Ile się na tym zarabia?

Wspominałem o tym, że jedna osoba nie ogarnie – potocznie mówiąc –tego wszystkiego. Jeśli oszust chce zmaksymalizować zysk, musi mieć „słupa” z kontem w każdym obsługiwanym banku, a często też innych, którzy częściowo przeprane pieniądze wpłacają na konta kryptowalutowe. W międzyczasie jak najwięcej ruchu finansowego generowane jest off-line – w grę wchodzą gotówka, bankomaty, a nawet nieznane przez wielu młodych… przekazy pieniężne na poczcie!

Przestępcy lubią sobie pomagać, ale rzecz jasna nie za darmo. Bardziej lubią korzystać z pomysłowości konkurencji, uzależniając opłatę za wynajem własnej bramki od wygenerowanych dochodów. Na dość zbójecki procent, życząc sobie nawet do 1/3 zysków, ale nie mniej niż 1000 złotych.

Wydaje się jednak, że na pokrycie wszystkich kosztów wystarczy jeden dobry „strzał”. Sami spójrzcie na stan swojego konta i zastanówcie się, na jakim poziomie może się wahać średni zysk z jednego udanego „strzału”. W sytuacji, gdy – jak opowiadał na konferencji Adam Haertle z Zaufanej Trzeciej Strony – konwersja przy kampaniach ransomware to +/- 16,5%, nawet jeśli do kampanii „bankowych” obniżymy rokowania o połowę, pozostaje 8%. 8 osób na 100, czy raczej – biorąc pod uwagę liczby SMSów wysyłanych w takich kampaniach – 8000 na 100 tys. Jeśli komuś nieuczciwa praca nie przeszkadza to nawet przy 0,8 proc. jest po co się schylić.

Ba – pojawiają się nawet kampanie (choć póki to spotkałem się tylko z takimi, gdzie wykradano numery kart), gdzie w ramach rzekomego (chyba za często używam tego słowa) potwierdzenia ofiara miała wpisać… stan konta! No tak – po co poświęcać czas na „marne kilka tysięcy” skoro można zająć się kontem z pięcio- czy sześciocyfrowym stanem?

Co robić?

Na końcu zawsze musi być morał. Jak w bajkach Krasickiego 🙂 Jeśli mielibyście zapamiętać z tego tekstu jedną rzecz, niech to będzie:

SPRAWDZAJCIE ADRES W PASKU PRZEGLĄDARKI!

To wystarczy, by napsuć krwi oszustom. To w zasadzie stuprocentowo skuteczny sposób na uniknięcie ataków takich, jak te opisywane powyżej. Jeśli jeszcze dołożycie „nie instaluj aplikacji spoza Sklepu Play” poradzicie sobie jeszcze z paroma innymi ryzykami. Nawet jeśli cierpimy na olbrzymi niedobór czasu akurat sytuacje, w których idzie o nasze pieniądze nie powinny być tymi, na których rzeczony czas oszczędzamy.

Dodatkowo, jeśli aplikacja Waszego banku może służyć jako drugi czynnik uwierzytelnienia przy transakcjach (tj. wykonując przelew musicie otworzyć aplikację, by go zaakceptować), zróbcie to. Kod SMS możecie wpisać przypadkiem na fałszywej stronie – używając aplikacji akceptujecie transakcję wyłącznie tam. Trzeba jednak pamiętać, by przed akceptacją PRZECZYTAĆ, czego dotyczy. Przestępcy, usiłując przekonać nas do „przelewu” tak naprawdę wykradają SMSa, by zatwierdzić konto „słupa” jako zaufane, by potem, bez naszej wiedzy, przelać nań wszystkie nasze pieniądze.

To naprawdę jest diabelnie dochodowy biznes. Statystycznie w gronie Twoich znajomych jest jeden na 10, może na 20, który też kliknąłby w taką bramkę, nie spojrzawszy na pasek adresu. I choć ostatnio, po serii aresztowań tzw. „bramkarzy” tego typu kampanie nieco się uspokoiły, nie ma sensu się oszukiwać – w kolejce czekają kolejni, wietrząc łatwy zarobek. Nie warto uszczęśliwiać oszustów. Opowiedz swoim bliskim i dalszym znajomym, jak wyglądają takie ataki – może ocalisz ich przed feralną i bardzo kosztowną wpadką?

Bądźcie bezpieczni.

Udostępnij: Fałszywe bramki płatności – jak to działa?

Bezpieczeństwo

(nieudany) Cyberatak na Wojtka!

17 grudnia 2020

(nieudany) Cyberatak na Wojtka!

Dziś bohaterem Czwartku z Bezpieczeństwem będzie Rzecznik himself, że tak sobie ze staroangielska pozwolę, ale jakoś tak mi pasowało 🙂 Bohaterem pozytywnym – żeby nie było. Takim przykładem, że warto czytać o bezpieczeństwie.

Zaczęło się od maila. Jestem sobie w stanie wyobrazić licznych, którzy w coś takiego akurat klikną, bo atak faktycznie jest całkiem nieźle przygotowany:

Wszystko ładnie wystylizowane, żadnych błędów stylistycznych (no, może ten „Password” z wielkiej mógłby dać co ostrożniejszym do myślenia). Tym niemniej żadnego bełkotu, bez przesady z użyciem nazwy/marki, całkiem sensowna treść. No i ta zachęta, że wystarczy tylko kliknąć, by zachować stare hasło!

Nie klikajcie w takie linki!

Tzn. w sumie kliknąć w wielu przypadkach można, przynajmniej raz. To nie są ataki wstrzykujące malware tylko ukierunkowane na wykradnięcie loginu i hasła. Ja jednak na wszelki wypadek udawałem Wojtka na maszynie wirtualnej, bo kto wie, co wymyślili tym razem? A wymyślili całkiem ładny panelik, który bez problemu można byłoby wziąć za nasz, firmowy:

Żadnych niepotrzebnych informacji, tylko panel logowania. Gdyby Wojtek nigdy nie logował się do naszej poczty przez interfejs webowy mógłby się nawet dać oszukać. Ba, jestem w stanie poświęcić mały palec u prawej dłoni, że skuteczność takiego ataku w firmie mogłaby przekroczyć 10%. A to nie jest dobra informacja.

Co się stanie, gdy wpiszemy hasło?

Nie bój się Wojtek, nie znam Twojego hasła, a wpisałem takie, które na pewno Twoje nie jest 🙂 Mam przeczucie graniczące z pewnością, że po wpisaniu prawdziwego też zobaczylibyśmy powyższy komunikat, ale przestępcy mieliby już otwarte drzwi do naszej firmowej sieci.

Co robić?

Zawsze na końcu zadaję takie pytanie, bo chciałbym, by te moje wpisy były jak bajki Krasickiego – z morałem 🙂 Przede wszystkim nie klikać bez zastanowienia w podane linki. Szczególnie takie, które sugerują nam aktywności związane z kontem e-mailowym, czy w ogóle danymi wrażliwymi. Jeśli mamy wątpliwości, a mail udaje wysyłany przez nasze firmowe IT – najlepiej zadzwonić albo do działu IT albo do bezpieczeństwa. To ostatnie zrobił Wojtek, pisząc do mnie 🙂 I bardzo dobrze – bo po pierwsze wie, co w takich sytuacjach robić, po drugie zaś – ma mnie niejako pod ręką. Załóżcie po prostu, że loginy i hasła wpisujemy, gdy my tak chcemy, a nie wtedy, gdy ktoś nam to sugeruje. Nawet jeśli przesadzimy z ostrożnością – zawsze to lepsze, niż przesadzić w drugą stronę.

Udostępnij: (nieudany) Cyberatak na Wojtka!

Bezpieczeństwo

#Krótko Uważajcie przy zakupach na ostatnią chwilę

10 grudnia 2020

#Krótko Uważajcie przy zakupach na ostatnią chwilę

Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

  • Sprawdzajcie adres strony, na którą wchodzicie
    • bankowych przede wszystkim…
  • Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
  • Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
  • Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
    • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
  • A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Udostępnij: #Krótko Uważajcie przy zakupach na ostatnią chwilę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej