Bezpieczeństwo

„Cześć, pomożesz mi wysłać phishing?”

11 maja 2023

„Cześć, pomożesz mi wysłać phishing?”

Dostaliście może ostatnio phishing SMS o rzekomej konieczności dopłaty do paczki? Nasze systemy wyłapują tego w ostatnich dniach mnóstwo, wyjątkowo dużo zgłoszeń od Was trafia też na naszą „zgłaszarkę” 508 700 900. Skąd przestępcy biorą numery do wysyłania dziesiątek tysięcy phishingowych SMSów? Z przejętych kont Orange Flex.

Niezły się temat trafił na urodziny Flexa, co? Phishing „na Flexa” zaobserwowaliśmy już tydzień temu, jednak wtedy – co opisywałem na stronie CERT Orange Polska – był to „próbny balon”. SMS-ów nie było wiele, a gdy podczas analizy doszedłem do momentu, gdy miałem wpisać kod potwierdzający logowanie, nie doczekałem się go. Niemniej jednak strony docelowe z tego phishingu oczywiście zablokowaliśmy, dzięki czemu bardzo wiele osób uniknęło mimowolnego współudziału w rozsyłaniu phishingu (i związanych z tym kosztów).

Phishing na Flexa, ale przez stronę

Najpierw na telefon ofiary przychodził SMS. W pierwszej fali zaobserwowaliśmy kilka wariantów:

Orange Flex : Twój numer „Orange Flex” jest zablokowany, aby go ponownie aktywować, kliknij link:
Drogi kliencie wygrywasz iphone 14 pro max od Orange, sprawdź szczegóły tutaj:
Gratulacje wygrałeś 2000 zł od orange

We wszystkich przypadkach link wyglądał tak samo – hxxps://v[.]ht/orange-flex. Później przestępcy skupili się na pierwszej wersji. Ma to sens, biorąc pod uwagę to, co było ich celem. Myślę (mam taką nadzieję!), że konieczność zalogowania się na swoje konto Flex po to, by odebrać „wygraną” spowodowałaby u większej niż zwykle części internautów wahanie, czy aby na pewno ma to sens?

Ja akurat z Flexa nie korzystam (jaki jest najlepszy plan na świecie? służbowy oczywiście! 🙂 ), ale wiem, że na stronie mogę się zalogować co najwyżej do czatu – wszystkie aktywności związane z planem dzieją się natomiast w aplikacji.

Po wpisaniu loginu i hasła, bądź numeru telefonu, pojawiał się jeszcze monit o wpisanie kodu z SMS-a:

i koniec. Tzn. tydzień temu byłby to koniec.

Po co wysyłać samemu, skoro można „kimś”?

Okazało się bowiem, że niebawem SMS-y autoryzacyjne zaczęły przychodzić. W jednym z dwóch scenariuszy, czyli wtedy, gdy ofiara wybrała opcję z numerem telefonu. Domyślacie się o co chodzi? Przestępcy podesłali phishing „na Flexa”, zalogować się jednak próbowali do serwisu Mój Orange.

Gdy im się udało, zmieniali adres e-mail na swój (lub wpisywali swój, przy logowaniu numerem telefonu). Następnie, mając pełną kontrolę nad kontem… zamawiali doń usługę eSIM! A potem, po zainstalowaniu wirtualnej „simki” rozpoczynali wolumenową wysyłkę wiadomości, które miały im już przynieść faktyczny zarobek. Trzeba przyznać, że pomysł całkiem sprytny. Tak samo – choć to akurat oczywiste – jak to, że źli ludzie zainstalowali się poza Polską, gdzie trudniej ich dopaść naszym organom ścigania. Tym razem jednak nie za wschodnią granicą, a w jednym z krajów Unii Europejskiej.

A jak to się stało, że w ogóle udało im się przejąć jakieś konta? Stawiam na korzystanie przez ofiary z WiFi „nie-Orange’owego”. CyberTarcza ochroni Wasz telefon w sieci Orange, ale jeśli podepniecie go do nie-naszej sieci bezprzewodowej, tam niestety nie pomożemy 🙁

Co robić?

Jak zawsze – myśleć za każdym razem, gdy wpisujemy gdzieś nasze loginy i hasła. Sprawdzać adres w pasku przeglądarki, szczegółowo przeczytać treść strony i jeśli trafimy na cokolwiek podejrzanego/nielogicznego – absolutnie nie podawać naszych danych.

A jeśli macie wątpliwości, możecie też napisać do nas – mailem na cert.opl@orange.com, bądź przesłać dalej podejrzanego SMS-a na nr 508 700 900.

Udostępnij: „Cześć, pomożesz mi wysłać phishing?”

Bezpieczeństwo

Mniej krwi w boju, czyli dobry phishing

30 marca 2023

Mniej krwi w boju, czyli dobry phishing

Wiecie, czym jest phishing? To hasło, odmieniane przez każdy przypadek, weszło chyba na stałe do naszego codziennego słownika. Z mailami, czy SMS-ami, mającymi przekonać nas do kliknięcia w link i/lub wpisania w dziwne miejsce naszych wrażliwych, miał do czynienia niemal każdy. A co, gdy Wam powiem, że phishing może być czymś… dobrym?

Czasami zdarza mi się prowadzić szkolenia, czy prelekcje, dotyczące sieciowych zagrożeń. Nierzadko prezentując wektory ataku, argumentuję – dając za przykład Orange Polska – że po to, by zrobić nam krzywdę, nie trzeba dostać się do komputera prezesa Juliena. Wystarczy przekonać do przekazania atakującemu loginu i hasła dowolnego z kilkunastu tysięcy pracowników naszej firmy! Co zatem zrobić, by nikt nie popełnił błędu?

Nauczyć kogo się da

Niestety zarówno statystyki, jak i fakty, dowodzą, że nawet w niewielkiej grupie testowej znajdzie się przynajmniej jedna osoba, która „rozpędzi” się. I poniewczasie dotrze do niej, że jednak w to miejsce nie trzeba było klikać. Po raz kolejny niestety – nie wierzę w to, że grupę „niefrasobliwych” da się zmniejszyć do zera. Można jednak raz na jakiś czas próbować… oszukać wszystkich. Wymarzony efekt będzie tak, że większość nauczy się zasady ograniczonego zaufania. A ci – hmmm – oporni? Pozostaje liczyć, że do nich phishing akurat nie dotrze (albo nauczą się następnym razem).

Przyznacie, że jeśli ktoś ma nas oszukać, to najlepiej, by byli to ludzie z firmowego bezpieczeństwa? Rola „bezpieczniaka” to nie tylko polowanie na phishingi, analiza malware, czy testowanie urządzeń (np. modemów), które trafiają do sieci sprzedaży firmy (to tylko kilka przykładów z tego, co robią moi koledzy z CERT Orange Polska i również ja). Są wśród nas też tacy, którzy patrzą na świat cyber-zagrożeń okiem przestępców. Jedni zapuszczają korzenie w darknecie. Monitorują podejrzane aktywności i szukają, czy ktoś nie chce zrobić krzywdy naszej firmie. Inni kombinują nad pomysłem socjotechnicznej sztuczki tak dobrej, by oszukać jak najwięcej kolegów i koleżanek z pracy.

Phishing pod kontrolą

Dlaczego akurat przyszedł mi do głowy pomysł na taki tekst? Bo u nas taka akcja miała miejsce w ostatni poniedziałek. Tym razem temat związany był z nadchodzącymi świętami Wielkiej Nocy. Jeden z poprzednich kontrolowanych phishingów był np. oparty o motyw sezonu urlopowego (zgadnijcie, kiedy był wysyłany? 😉 ). Wyniki? Mogę się podzielić jednym. Znaleźli się tacy, którzy się złapali.

Czy to znaczy, że coś jest z nimi „nie tak”? Absolutnie nie. Z kolegami z CERT Orange Polska wychodzimy z założenia, że jeśli ktoś dał się złapać na phishing, to dlatego, że nie zdołaliśmy go wyedukować. Jeszcze nie zdołaliśmy! Dlatego nikt nie zna dnia ani godziny, gdy znów dostanie maila. W całej naszej idei kontrolowanych phishingów ważne z punktu widzenia ofiary jest jednak to, że jedyną osobą, która dowie się o „wpadce” jest ona sama. Zdarzy się, że poda dane logowania? Przejdzie na stronę wyjaśniającą, że padła ofiarą phishingu, dostanie informację o obowiązku zmiany hasła i sugestię zapisania się na szkolenie. Jeśli ktoś ma zawstydzić niefrasobliwą osobę, będzie to co najwyżej ona sama. I nie ukrywam, że taką mam nadzieję, że ci, którym tym razem się nie udało, postawią sobie za punkt honoru, by przy następnej próbie już się nie dać oszukać.

Im więcej potu na ćwiczeniach…

…tym mniej krwi w boju. Powiedzenie Seal Team DevGru najlepiej opisuje sens tego typu ćwiczeń i oczekiwane efekty. Liczenie na to, że przestępcy odpuszczą, byłoby skrajną naiwnością. Wiara w to, że jeśli kogoś zaatakują to innych, nie nas – podobnie. Choć czy to efekt ataku (i fakt, że daliśmy się oszukać), czy też socjotechniczna sztuczka, użyta w konkretnej kampanii, mogą nas frustrować, irytować – nie ma co się wkurzać. Złodziej nie będzie etyczny, nie będzie się zastanawiał, czy jest wystarczająco empatyczny, a motyw, którego użyje, nie sprawi nam przykrości. Mówimy o ludziach, którzy potrafią bez mrugnięcia okiem dla okupu zaszyfrować systemy informatyczne szpitali!

Jeśli zdarzy Ci się, że Twoja firma, lub wynajęci przez nią zewnętrzni eksperci, przeprowadzą taki atak, a Ty dasz się oszukać – nie obrażaj się. Wyciągnij wnioski i następnym razem po prostu się nie daj.

Udostępnij: Mniej krwi w boju, czyli dobry phishing

Bezpieczeństwo

Phishing gotowy, wybierz firmę

2 marca 2023

Phishing gotowy, wybierz firmę

Nasz rzecznik to jednak złoty człowiek jest! To nie wazelina. Po prostu Wojtek za każdym razem, gdy trafi na coś podejrzanego, podsyła do mnie. Dzięki temu jest bezpieczniejszy, a mi czasami wpadnie naprawdę fajny phishing do opisania.

Pamiętacie jeszcze czasy przed pandemią Covid-19? Ja niektórych z ich aspektów nawet nie mam ochoty pamiętać, np. tych, gdy fanaberią była praca zdalna, lub współpraca online. To akurat zmiana na lepsze, nikogo nie powinno więc dziwić, gdy przychodzi do niego taki mail:

Wojtka jednak zdziwiło – i bardzo dobrze!

Spojrzeliście na adres nadawcy? Jeśli czytacie bloga regularnie to na pewno tak! Wojtek też i to właśnie zapaliło mu w głowie czerwoną lampkę z hasłem „phishing”. Gdyby nadawca miał adres w naszej domenie pocztowej – być może niedoszła ofiara by kliknęła. A może właśnie też nie, bo najpierw przyszłoby jej do głowy sprawdzić dokąd prowadzi link? A ten nie prowadzi do witryn Microsoftu, tylko do domeny

hxxps://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link[.]translate.goog

Co jest z nią nie tak? Kilka rzeczy. Po pierwsze nie ma nic wspólnego z MS Teams (o tym już było). Po drugie – zaczyna się od ciągu losowych znaków. To tak zwany DGA, domain generation algorythm. Tego typu subdomeny to jeden z istotnych deskryptorów witryny phishingowej. No i domena główna. Z czymś wam się kojarzy?

Co tu jest do tłumaczenia?

Tak, to domena Google Translate. A odpowiadając na pytanie ze śródtytułu – oczywiście nic. To sprytny pomysł oszustów na ominięcie systemów bezpieczeństwa. Tłumacz Google to ogólnodostępny serwis o wysokiej reputacji, więc część systemów nie będzie jej brać pod uwagę jako phishingu. Nasza CyberTarcza jest sprytniejsza, bowiem nie zakłóca dostępności całego serwisu, pozwalając na odcięcie dostępu do konkretnej złośliwej ścieżki.

Wchodząc jednak na główną stronę, zobaczymy to:

Jeśli więc trafi do nas taka domena, a nie znamy szczegółowego URLa, powyższe można zinterpretować jako fakt, że w tym przypadku phishing jest już przeszłością, kampania przestępców jest już zakończona, a witryny blokować nie trzeba.

Witam wszystkich na Wykopie, aż dziwne, że tak... - RadekKotarski - Wykop.pl

Gdzie ten phishing?

Żeby paść ofiarą ataku trzeba bowiem mieć dokładny link. W przypadku Wojtka wyglądał jak poniżej (zmieniłem tylko maila, na CERTowego).

hxxps://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link.translate[.]goog/alldomain.html?_x_tr_hp=bafybeidklx&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#cert.opl@orange.com

Po jego wpisaniu pojawia się coś takiego (oczywiście nie w sieci Orange Polska – tu działa CyberTarcza):

Paska Google Translate oczywiście ukryć się nie da, ale jeśli adresat jest skupiony na głównej treści, zazwyczaj po prostu go nie zauważy. To się da wyjaśnić pewnymi mechanizmami psychologicznymi.

Cóż jednak w tym phishingu jest wyjątkowo ciekawego? Spróbujmy zmienić adres mailowy ofiary:

A czy innego operatora komórkowego też da się zaatakować? 😉

To może w Gazeta.pl?

O, tutaj nie. Zwróćcie jednak uwagę, że w wyskakującym okienku pojawiło się logo serwisu docelowego. Czy to znaczy, że oszuści zrobili tylko połowę roboty? Niekoniecznie – to favicona ze strony głównej, zaciągana automatycznie. Po prostu akurat serwis gazeta.pl nie był celem tej konkretnej kampanii.

Co robić?

Jak zawsze – nie wierzyć! Czy też bardziej, jak uczą na kursie na prawo jazdy, stosować Zasadę Ograniczonego Zaufania. Po prostu zapamiętaj raz na zawsze (a ja i tak będę to do znudzenia powtarzał):

Jeśli logujesz się do jakiegokolwiek serwisu, upewnij się, czy adres w oknie przeglądarki jest prawdziwy!

No i czytaj całą stronę. Naprawdę całą. Wtedy obecność belki Tłumacza Google, gdy masz niby korzystać przykładowo ze strony Orange zaniepokoi Cię do tego stopnia, że nie wpiszesz tam swoich danych! A podejrzanego maila wyślesz do nas – na adres cert.opl@orange.com.

Udostępnij: Phishing gotowy, wybierz firmę

Bezpieczeństwo

Uchodźcy z Ukrainy celem phishingu!

19 maja 2022

Uchodźcy z Ukrainy celem phishingu!

Cyberoszuści nie oszczędzają nikogo. Ich celem stali się uchodźcy z Ukrainy, których chcą ograbić nie tylko z danych, ale i pieniędzy.

W ciągu tygodnia przez nasze systemy bezpieczeństwa przewijają się nawet dziesiątki milionów domen, z których kilka tysięcy trafia do bazy zablokowanych. Mechanizmy CyberTarczy sprawdzają się bardzo dobrze, czasami jednak podejrzane domeny trafiają na tzw. 3. linię. Czyli m.in. do mnie. Strona hxxps://help-compensation-ua[.]xyz znalazła się tam – jak zakładam – z tego względu, że operatorzy SOC nie mieli pewności, czy jest prawdziwa, jednak domena XYZ wystarczająco wzbudziła ich niepokój.

Tajemnicze centrum kompensacyjne

Centrum Kompensacyjne Zwrotu Niewypłaconych Małych Kosztów (to luźne tłumaczenie tytułu strony z ukraińskiego, jeśli ktoś potrafi przetłumaczyć dokładnie to zapraszam do komentarzy). Aż się prosi, żeby sprawdzić, czy mi też coś wypłacą?

Stwierdziłem więc dla celów testu, iż nazywam się Tester Testowy, wpisałem losowe sześć cyfry „karty płatniczej” i czekałem co się stanie. Pojawiła się informacja o „przeszukiwaniu bazy”, z mnóstwem przewijających się tajemniczych numerów i powoli rosnącą kwotą mojej „kompensacji”. Na koniec okazało się, że coś dla mnie mają!

76 tysięcy hrywien to ponad 11 tysięcy złotych! Przyda się. Tylko mam nadzieję, że do rozmowy online z „dyżurnym prawnikiem organizacji”, która jeszcze mnie czeka, mój rosyjski wystarczy…

Proszę wypełnić ankietę

Jest, zgłosiła się prawniczka! Wygląd budzi zaufanie, poważny język, to nie może (aha…) być oszustwo!

O, ciekawe, mają część moich danych! Swoją drogą podejrzewam, że mógłbym poprosić o przywiezienie mi tych pieniędzy na białym jednorożców, a automatyczny skrypt odpowiedziałby dokładnie to samo… Proszą jeszcze o wypełnienie ankiety? W sumie czemu by nie?

Dane wpisane, klikam „powrót”, wracam do rozmowy z automat… prawniczką 😉 i wreszcie jest! Wreszcie wiadomo o co chodzi!

Zapłać 186 UAH za usługę prawniczą!

Jeśli jesteście stałymi czytelnikami bloga, wiecie, że taki link zwykle prowadzi do fałszywej bramki płatności, gdzie logujemy się, podając dane naszego konta bankowego, lub wszystkie informacje o karcie płatniczej! W tym przypadku oszustom coś się nie udało, bowiem po kliknięciu pokazuje się błąd serwera. Stawiam jednak bitco… no dobra, póki co dolary przeciwko orzechom, że niestety szybko to naprawią. W sieci Orange Polska stronę oczywiście blokuje CyberTarcza.

Uchodźcy z Ukrainy, nie wierzcie takim stronom!

Nie mam oczywiście wiedzy, jak wygląda wypłata „socjali” w Ukrainie, ale tym razem dam sobie uciąć prawą rękę, że nie przy użyciu stron w domenie .xyz. Takie ataki mogą – i będą – się powtarzać! Wystarczyły krótkie poszukiwania, by odnaleźć przeszło 100 podobnych witryn, które będą – lub już to robią – uczestniczyć w atakach.

Не довіряйте дивним сайтам, які пропонують вам гроші. Вводьте номери платіжних карт ТІЛЬКИ на сайтах магазинів або на знайомих вам сайтах. Вводьте логін та пароль банку ТІЛЬКИ на сайті банку!

Udostępnij: Uchodźcy z Ukrainy celem phishingu!

Bezpieczeństwo

Hasło do banku – gdzie je wpisujesz?

17 lutego 2022

Hasło do banku – gdzie je wpisujesz?

Hasło do banku. Dziś będzie chyba krótko, ale treściwie, na temat, który w zasadzie nieprzerwanie leży mi na sercu. Przyglądając się bowiem kolejnym phishing kitom, raz na jakiś czas tuningowanym przez oszustów, zastanawiam się… kto u licha wpisuje na dziwnej stronie tyle swoich danych?

Gwoli jasności – będę ostatnim, który „pojedzie po internautach”. Kilka lat temu, jeszcze gdy nikt nie myślał o pandemii, na konferencji Confidence Adam Haertle powiedział (w skrócie): „Bezpieczniaku, to nie user, który dał się złapać na phishing, jest idiotą. To ty nim jesteś! Bo nie użyłeś swojej wiedzy, by go uświadomić”. Od tamtego czasu to jeden z motywów pchających mnie do działania. Dlatego też powstaje ten tekst. Nie zmienia to jednak faktu, że często nie mogę wyjść z szoku dlaczego są ludzie, w których takie okna, na stronie której adres nie ma nic wspólnego z bankiem, nie budzą niepokoju:

Co jeszcze podajesz, gdy wpiszesz hasło do banku?

Hasło do banku – i co jeszcze?

Przypomnijcie sobie, kiedy ostatnio wprowadzaliście hasło do banku. I co więcej było wtedy potrzebne? Bazując na moim doświadczeniu (i kontach w dwóch bankach) przy logowaniu w przeglądarce login i hasło, zaś przy aplikacji mobilnej – PIN lub odcisk palca. Wszystko jasne. A kiedy ostatnio używaliście PESELu lub panieńskiego nazwiska mamy? Ew. PINu do aplikacji mobilnej przy korzystaniu z przeglądarki na komputerze?

Konfigurując aplikację mobilną!

No właśnie! Co trzeba zrobić, żebyśmy zapamiętali, że tak wrażliwych danych jak te przytoczone powyżej nie podaje się przy płatności? Nie wiem, jak jest we wszystkich bankach (będę wdzięczny za informacje w komentarzach), ale w tym w którym korzystam z aplikacji mobilnej, w trakcie jej aktywacji słyszę bodaj pięciokrotnie informację do czego służy kod! Czego mam z nim nie robić, gdzie nie wpisywać i co robić, jeśli ktoś mnie o niego prosi. Zastanawiam się, czy tak wielu ludzi wtedy „odlatuje” myślami?

Błagam. Jeśli wykonujecie jakąkolwiek transakcję finansową online, bądźcie wyjątkowo uważni! Niczym za kierownicą, stosujcie zasadę ograniczonego zaufania. A jeśli cokolwiek budzi Wasz niepokój – odstąpcie od transakcji! Możecie stracić wszystkie pieniądze, a nawet więcej. Jasne, przestępcy będą używać wielu sztuczek, żeby przekonać Was do wpisania tych danych. Macie wątpliwości? Zadzwońcie do banku. Albo napiszcie do nas na cert.opl@orange.com. Nie ryzykujcie.

Udostępnij: Hasło do banku – gdzie je wpisujesz?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej