Bezpieczeństwo

(nieudany) Cyberatak na Wojtka!

17 grudnia 2020

(nieudany) Cyberatak na Wojtka!

Dziś bohaterem Czwartku z Bezpieczeństwem będzie Rzecznik himself, że tak sobie ze staroangielska pozwolę, ale jakoś tak mi pasowało 🙂 Bohaterem pozytywnym – żeby nie było. Takim przykładem, że warto czytać o bezpieczeństwie.

Zaczęło się od maila. Jestem sobie w stanie wyobrazić licznych, którzy w coś takiego akurat klikną, bo atak faktycznie jest całkiem nieźle przygotowany:

Wszystko ładnie wystylizowane, żadnych błędów stylistycznych (no, może ten „Password” z wielkiej mógłby dać co ostrożniejszym do myślenia). Tym niemniej żadnego bełkotu, bez przesady z użyciem nazwy/marki, całkiem sensowna treść. No i ta zachęta, że wystarczy tylko kliknąć, by zachować stare hasło!

Nie klikajcie w takie linki!

Tzn. w sumie kliknąć w wielu przypadkach można, przynajmniej raz. To nie są ataki wstrzykujące malware tylko ukierunkowane na wykradnięcie loginu i hasła. Ja jednak na wszelki wypadek udawałem Wojtka na maszynie wirtualnej, bo kto wie, co wymyślili tym razem? A wymyślili całkiem ładny panelik, który bez problemu można byłoby wziąć za nasz, firmowy:

Żadnych niepotrzebnych informacji, tylko panel logowania. Gdyby Wojtek nigdy nie logował się do naszej poczty przez interfejs webowy mógłby się nawet dać oszukać. Ba, jestem w stanie poświęcić mały palec u prawej dłoni, że skuteczność takiego ataku w firmie mogłaby przekroczyć 10%. A to nie jest dobra informacja.

Co się stanie, gdy wpiszemy hasło?

Nie bój się Wojtek, nie znam Twojego hasła, a wpisałem takie, które na pewno Twoje nie jest 🙂 Mam przeczucie graniczące z pewnością, że po wpisaniu prawdziwego też zobaczylibyśmy powyższy komunikat, ale przestępcy mieliby już otwarte drzwi do naszej firmowej sieci.

Co robić?

Zawsze na końcu zadaję takie pytanie, bo chciałbym, by te moje wpisy były jak bajki Krasickiego – z morałem 🙂 Przede wszystkim nie klikać bez zastanowienia w podane linki. Szczególnie takie, które sugerują nam aktywności związane z kontem e-mailowym, czy w ogóle danymi wrażliwymi. Jeśli mamy wątpliwości, a mail udaje wysyłany przez nasze firmowe IT – najlepiej zadzwonić albo do działu IT albo do bezpieczeństwa. To ostatnie zrobił Wojtek, pisząc do mnie 🙂 I bardzo dobrze – bo po pierwsze wie, co w takich sytuacjach robić, po drugie zaś – ma mnie niejako pod ręką. Załóżcie po prostu, że loginy i hasła wpisujemy, gdy my tak chcemy, a nie wtedy, gdy ktoś nam to sugeruje. Nawet jeśli przesadzimy z ostrożnością – zawsze to lepsze, niż przesadzić w drugą stronę.

Udostępnij: (nieudany) Cyberatak na Wojtka!

Bezpieczeństwo

#Krótko Uważajcie przy zakupach na ostatnią chwilę

10 grudnia 2020

#Krótko Uważajcie przy zakupach na ostatnią chwilę

Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

  • Sprawdzajcie adres strony, na którą wchodzicie
    • bankowych przede wszystkim…
  • Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
  • Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
  • Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
    • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
  • A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Udostępnij: #Krótko Uważajcie przy zakupach na ostatnią chwilę

Bezpieczeństwo

Kupujesz przez OLX? Uważaj na oszustwa!

12 listopada 2020

Kupujesz przez OLX? Uważaj na oszustwa!

Przestępcy nie są idiotami. Powtarzam to na tych łamach regularnie, ale to naprawdę ważne. Pamiętajcie, że nie możemy pozwolić sobie na lekceważenie ludzi, którzy chcą nas okraść. Lepiej być gotowym i zakładać, że wiedzą co robią. Lepiej, niż obudzić się z ręką w… smartfonie, pełnym powiadomień o znikających z naszego konta pieniądzach. Tym bardziej, że – czego dowiodę za chwilę – źli ludzie potrafią się dostosować do zmieniających się płynnie realiów.

Zamiast SMSa

Phishing to tak naprawdę drugi etap ataku. Przestępcy chcą nas przekonać do wejścia na spreparowaną przez nich witrynę, czy też do otwarcia załączonego przez nich pliku. Najpierw muszą nam jednak link, czy załącznik dostarczyć. A w tym celu używają wiadomości mailowych. One w tej sytuacji pełnią rolę tego, co w bezpieczeństwie określamy mianem wektora ataku.

Co jednak, gdy z SMSami nie wychodzi tak, jak byśmy chcieli? Gdy narzędzia analityczne wskazują, że do Orange Polska chyba mało co dochodzi, bo konwersja z naszych ataków jest bliska zeru? My z phishingowymi SMSami od jakiegoś czasu radzimy sobie całkiem nieźle, nierzadko zatrzymując kampanie, zanim zdążą się rozkręcić (i blokując strony docelowe rzecz jasna). Więc trzeba wymyślić alternatywę. No to wymyślili.

Na początku chciałem powiedzieć, że to całkiem sprytny pomysł, ale w sumie nie mam pewności. Po pierwsze dlatego, że w SMSie oszust może wykorzystać tzw. nadpis (nazwa, pokazująca się jako nadawca wiadomości), by informacje od niego pojawiały się w tym samym wątku, co prawdziwe. Przy komunikatorze nie dość, że po prostu pojawia się obcy numer, to na dodatek przy pierwszej wiadomości od „obcego” pojawia się wyraźna informacja, że to numer, którego nie mamy w książce, dając możliwość zablokowania, bądź zgłoszenia podejrzanego nadawcy.

Taki OLX, tylko nieprawdziwy

Groźny wydaje się być jednak schemat ataku. Informacja ze screenshotami trafiła do nas od jednego z internautów i wydaje się, iż wymazane na obrazku personalia to dane właśnie tego internauty.

Schemat mógłby wskazywać na to, że przestępca wypatruje w serwisie OLX osób, sprzedających przedmioty o opłacalnej do oszustwa wartości, kontaktując się z nimi jako domniemany kupiec, dołączając link do rzekomej strony OLX. Gdy potwierdzimy chęć odbioru pieniędzy…

…okazuje się, że „Bank Polski” (przestępca pewnie chciał przekazać, że chodzi o skorzystanie z usług polskich banków) nie jest obsługiwany. Pozostaje nam zatem tylko podanie numeru karty, i…

I wiadomo co. Błyskawiczne wyczerpanie jej limitu.

Co zrobić?

Na Waszym miejscu spodziewałbym się, że tego typu ataków może być w nadchodzącym czasie sporo. W ostatnich tygodniu liczba zarejestrowanych domen, podszywających się od OLX, które wyłapaliśmy, o ile dobrze pamiętam, przekroczyła 100. Przede wszystkim więc uważajcie na adresy stron, do których się logujecie. No i pamiętajcie o zasadzie ograniczonego zaufania przy jakichkolwiek transakcjach, związanych z finansami. Nie bez przyczyn serwisu aukcyjne/ogłoszeniowe mają swoje systemy wiadomości. Jeśli rozmawiacie z kupcem wewnątrz serwisu/aplikacji, wszystko jest zapisywane i możecie wyciągnąć konsekwencje albo od nieuczciwego kupca, albo od serwisu.

Nie dajcie się oszukać.

Udostępnij: Kupujesz przez OLX? Uważaj na oszustwa!

Bezpieczeństwo

„Petycje”, czyli przekręt

5 listopada 2020

„Petycje”, czyli przekręt

Przestępcy nie są idiotami. Naprawdę. Wielu z nas odruchowo chciałoby przypisywać negatywnym postaciom złe cechy – to pomaga w instynktownym ustawieniu ich na odpowiedniej „półce” w naszym umyśle. Fakty pokazują jednak coś zupełnie innego. Często bardzo wyrafinowane złośliwe oprogramowanie, nierzadko naprawdę sprytne socjotechniczne sztuczki. To nie są cechy amatorów. Tak samo jak fakt, że potrafią błyskawicznie dostosować swoje kampanie do tego, co akurat dzieje się na świecie, czy w kraju. Na przykład do ostatnich demonstracji w polskich miastach.

„Petycje” polskie, a IP z Rosji

To już standard, że gdy dzieją się wydarzenia w jakiś sposób wpływające na naszą psychikę, przestępcy szybko reagują. Domeny z różnymi wersjami zwrotów „kobiety”, „petycje”, „piekło” zaczęły być rejestrowane w niedzielę 1.11 wieczorem.

  • pieklo-kobiet.eu
  • podpisz-petycje.eu
  • kobiety.podpisz-petycje.eu
  • pieklokobiet.podpisz-petycje.eu

Wśród nich, chyba przypadkiem, znalazły się też fb.podpisz-petycje.eu i facebook.podpisz-petycje.eu.

Spójrzmy na odpowiedni wpis w serwisie WhoIS domeny .eu (co ciekawe, to chyba jedyna domena wyższego rzędu, gdzie nie można chować się za RODO, trzeba podać nazwę firmy i/lub adres e-mail):

Stawiam bitcoiny przeciwko orzechom, że adres e-mail został założony na tę akcję. Strona założona 3.11, za pośrednictwem serwisu NameCheap (2,98 USD za rok), z delegacją na serwery DNS w strefie adresowej Federacji Rosyjskiej. Seems leg… No nie, nie żartujmy. Brzydko pachnie z daleka, tym bardziej, ze wchodząc na dowolną z witryn przechodzimy od razu na panel logowania Facebooka. Oczywiście pod adresem witryny, nie mający nic wspólnego z faktycznym FB, a dane logowania trafiają do przestępców. No było już o tym, wielokrotnie.

Skąd to się bierze?

Można by spytać, jak w śródtytule, bo przecież trzeba być naprawdę mocno… hmmm, niedoedukowanym, żeby po prostu wejść na stronę z randomowym adresem i wpisać swój login i hasło do FB!

Taaaak… Ale kto oparłby się tak słodkim yorkom? Przecież trzeba im pomóc!

W przypadku akurat serii tych kampanii jak można się było domyślić „wędką” były rzekome petycje.

Pamiętajcie – jeśli w kraju, czy na świecie, dzieje się coś, co wywołuje duże społeczne emocje, przestępcy o tym wiedzą. Czy ci, którzy chcą nas okraść, czy ci, którzy chcą zasiać wśród nas niepokój. Na Waszym miejscu uważałbym lada moment na informacje o „przekrętach” podczas wyborów w USA, czy awanturach w tamtejszych miastach. Natura nie znosi próżni, a oszuści też chcą zarobić.

Udostępnij: „Petycje”, czyli przekręt

Bezpieczeństwo

Oszuści potrafią spartolić phishing. Warto dostrzegać ich błędy.

29 października 2020

Oszuści potrafią spartolić phishing. Warto dostrzegać ich błędy.

Bywają phishingi świetne. Socjotechniczne perełki, na które złapie się praktycznie każdy. Jednak gros takich ataków to sytuacje pełne migających nam przed oczami czerwonych lampek. Zobaczcie na przykładzie jak wyglądają i pokażcie ten tekst komu możecie. Internauci wciąż łatwo padają ofiarą sieciowych oszustw. Poniżej dla Was analiza jednego z phishingów. Z jednej strony – idealny materiał do tego, by pokazać, na co trzeba uważać, gdzie oszuści robią błędy, które – gdy już wiemy na co patrzeć – stają się oczywiste. Ale pamiętajcie, by nie lekceważyć wroga. Oni nie są głupi, uczą się iza każdą kampanią mogą być coraz lepsi.

Zaczyna się od maila

Mail to ulubiony wektor ataku phishingowego. Najłatwiejszy do przeprowadzenia socjotechnicznych sztuczek, tym bardziej, gdy mail przychodzi od znanej firmy, a w wiadomości pojawia się… nasze imię i nazwisko.

Tak właśnie było. Pani Natalia dostała maila na swój adres, ze swoimi faktycznymi personaliami. To akurat cwane zagranie, może wzbudzić zaufanie, a nie zaniepokojenie. Skąd oszust wziął dane Pani Natalii? Zazwyczaj nie jest to trudne. Zastanówcie się sami, w jak wielu miejscach w sieci wpisaliście swoje imię, nazwisko i mail? Ano właśnie… Jednak już nawet na tym pierwszym obrazku widzimy czerwoną lampkę #1. Co nią jest? Ano adres nadawcy. Mail

[info@xewerta.com]

nie ma nic wspólnego z domniemanym nadawcą, czyli Allegro. No ale załóżmy, że gdy oczy zobaczyły hasło „iPhone!” – przestały patrzeć się w inną stronę. Co prawda go nie zamawialiśmy (lampka #2), no ale skoro już jest? To może jednak kliknę, przecież to tylko pakiet trzeba potwierdzić. A po kliknięciu przechodzimy na stronę

hxxps://www.loudmatch.com (i dalej szczegółowy URL, wpisywanie którego tutaj nie ma sensu).

To nie jest strona Allegro (lampka #3).

Pięć z… trzech pytań

I od razu pojawia się więcej pytań, jeśli tylko przez chwilę pochylimy się nad treścią. Jaka weryfikacja, skoro paczka miała już być gotowa do dostarczenia? (lampka #4) Po co pytają mnie o imię (w kolejnym pytaniu również adres mailowy) skoro to dla mnie miała być ta nagroda? (lampka #5). Dlaczego polska firma używa zwrotu, który w języku polskim jest niegramatyczny  „Czy to jest twoje imię Natalia [nazwisko]” (i pisze „twoje” z małej litery)? (lampka #6).

No i skąd się wzięło… piąte z trzech pytań? (lampka #7)

Dobra, to skoro już przebrnęliśmy przez weryfikację, czy mogę potwierdzić tę paczkę z ajfo…

Ej, ale przecież miał być iPhone! Nie telewizor, po co mi jakiś voucher? (lampka #8), Co znaczy „odkryć nagrodę”, przecież to już miała być paczka gotowa do dostarczenia? (lampka #9). Na szczęście jednak po „losowaniu” z czterech nagród faktycznie dostaliśmy iPhone’a!

(tak można by się czepnąć zwrotu „Twój numer (…) jest”, ale odpuśćmy, bierzmy w końcu tę nagrodę!)

To w końcu wygrałem, czy dopiero mam szansę?

Ale jak to… szansa? Przecież to miała być gotowa paczka, do potwierdzenia tylko. I co, znowu mam podać gdzieś moje dane? (lampka #10) A w ogóle to czemu ta strona już nie jest w stylistyce Allegro, a adres jest zupełnie inny? (lampka #11).

Jeśli wpadłby Wam do głowy pomysł: „Dobra, to może jednak wyklikam i dostanę tego iPhone’a” – jednak odradzam. A to dlatego, że na górze ostatniej strony znajdziecie (drobnym druczkiem, ja powiększyłem) to:

To już ostatnia, 12. ostrzegawcza lampka. Phishing, który opisuję, ma tak naprawdę jeden… plus. Czy może inaczej – nie ma kluczowego MINUSA. Tu nikt nie wbije się Wam na konto i nie ukradnie oszczędności życia. W zasadzie to nikt Wam tu niczego nie kradnie. To Wy sami kupujecie niepotrzebną usługę za 284 PLN miesięcznie. Tyle dobrego, że możecie łatwo (tak, wystarczy skontaktować się z obsługą klienta serwisu, do którego dostęp kupiliście) zrezygnować z kolejnych płatności. My oczywiście stronę prowadzącą do tej finalnej zablokowaliśmy.

Czytajcie treści stron, szczególnie wtedy, gdy wydają się być wyjątkowymi okazjami. Zauważajcie wielkie, świecące Wam prosto w oczy czerwone lampki. A linka do tego tekstu prześlijcie wszystkim, co do których macie obawy, że też mogą ich nie zauważyć.

Bądźcie bezpieczni, #zostanciewdomu. I zaglądajcie regularnie na Twittera CERT Orange Polska i naszą stronę – tam piszę na bieżąco, nie tylko w czwartki 😉

Udostępnij: Oszuści potrafią spartolić phishing. Warto dostrzegać ich błędy.

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej