Złodzieje wiedzą co robią. Ci „offline’owi” czatują – jak mniemam – w sklepach i innych miejscach, gdzie gromadzą się ludzie. Ci nowocześni natomiast, grasujący w sieci, wysyłają w bój kolejne kampanie phishingowe. A w nich najpopularniejszy w ostatnich miesiącach ładunek – bankowy trojan Flubot.

Ci, którzy czytają Bloga regularnie, pamiętają, że Flubot zawitał doń nie pierwszy raz. O tym wyjątkowym paskudztwie pisałem już pięć miesięcy temu. Co się zmieniło? Niestety to, że oszuści ciągle nad nim pracują, usprawniając zarówno samą aplikację, jak i sposoby jej komunikacji ze swoimi serwerami. Uaktualniają też sposoby dotarcia do ofiar, nazywane „w branży” wektorami ataku. Tym razem ewidentnie ustawiając je pod nadchodzące święta.

To nie jest przesyłka!

Jak to „pod święta”? A czego najczęściej spodziewamy się, gdy zbliża się Boże Narodzenie? Oczywiście przesyłek:

ewentualnie życzeń od najbliższych. A jeśli nie zdążyliśmy odebrać telefonu, to nagrają się na pocztę głosową.

Brzmi niegroźnie? Brzmi może tak, ale ryzyko jest spore. Jak się domyślacie, w obu przypadkach pod linkiem ukrywa się Flubot właśnie. Po jego zainstalowaniu wystawimy się na cel i lada moment stracimy dane logowania do banku. Czemu? Bowiem złośliwa aplikacja generuje tzw. nakładki na strony i aplikacje najpopularniejszych polskich banków. W zasadzie nie tylko polskich, bowiem na celowniku oszustów są internauci z przeszło 20 krajów z całego świata (to poniekąd istotne, ale o tym za chwilę). Jak działa taka nakładka? My w momencie logowania jesteśmy pewni, że logujemy się do banku, podczas, gdy wpisywane dane trafiają prosto do oszustów. Jeśli przelewy, czy dodanie zaufanego odbiorcy, autoryzujemy kodem SMS – mamy problem, bowiem przy zainstalowanej złośliwej aplikacji, której daliśmy wiele uprawnień, wiadomości tekstowe również trafiają bezpośrednio do przestępców.

Czemu istotne jest, że przestępcy działają nie tylko w Polsce? Ze względu na sposób, w jaki rozpowszechniany jest Flubot. Jedną z jego aktywności jest bowiem wykradzenie książki telefonicznej ofiary. Po co? Po to, by wysłać ją innej, losowej ofierze, a ona – dopiero ona – wysyła kolejne SMSy naszym znajomym. Czemu tak? Bo jeśli przykładowo SMS „od DHL” trafiłby do Wojtka Jabczyńskiego, wysłany z mojego numeru, to Wojtek zadzwoniłby do mnie i spytał, czy mi odbiło. Jeśli wyśle go ktoś obcy – możemy uznać, że po prostu z takiego numeru korzysta nasz oddział firmy kurierskiej. A jeśli akurat do nas trafi książka telefoniczna ofiary z Wlk. Brytanii, USA, czy Nowej Zelandii? Jak duże mogą być koszty? Cóż, rekordziści wysyłali (bez swojej wiedzy rzecz jasna) nawet kilkadziesiąt tysięcy wiadomości do kolejnych ofiar. To może już być kawał rachunku…

Flubot – co robić?

Jak działa nowy Flubot? To już wersja 4.9 tego wyrafinowanego złośliwego narzędzia, więc parę zmian w swojej historii przeszła. Jeśli chcecie przyjrzeć się bardziej technicznej analizie, znajdziecie ją na stronie CERT Orange Polska. Tam też znajdziecie najnowsze przykłady tekstów fałszywych SMSów.

A jak uniknąć infekcji? Jak zawsze, przede wszystkim UWAŻAĆ. Dokładnie czytajcie przychodzące SMSy, szczególnie jeśli wydają się być choć trochę podejrzane. Tego typu wiadomości nie dostajemy wiele, poświęcenie minutę na szczegółowe przyjrzenie się treści – a przede wszystkim linkom – nie powinno być stanowić problemu. Pamiętajcie, że żadna firma nie prosi Was o zainstalowanie aplikacji spoza Sklepu Play. Jeśli obawiacie się, czy nie zostaliście zainfekowani – zajrzyjcie z telefonu na stronę CyberTarczy. Chyba, że pamiętacie, że zainstalowaliście coś, co podszywało się pod aplikację DHL lub Voicemail z zewnętrznego źródła – wtedy na pewno jesteście zainfekowani. Wtedy rada jest już tylko jedna – doprowadzenie telefonu do stanu fabrycznego.

CyberTarcza to pojęcie, które wrosło już w cyberbezpieczniacki krajobraz naszego kraju. Podstawowa funkcjonalność sieci Orange Polska, informująca m.in. naszych klientów o infekcjach złośliwym oprogramowaniem, to rozwiązanie zarówno znane w kraju, jak i doceniane na świecie. Do tej pory rozszerzone dane o zagrożeniach docierały do Was, gdy korzystaliście z komputerów. Niebawem możecie dostać taką informację jako SMS.

Pewnie nasuwa Wam się kilka pytań, więc spróbuję od razu na nie odpowiedzieć:

Dlaczego to robimy?

Coraz częściej spotykamy się z zagrożeniami dla urządzeń/systemów mobilnych. Można oczywiście poprzestać na powiadomieniach na komputerach, z informacją, że dotyczą urządzenia mobilnego w Waszej sieci domowej. Z tym, że taki monit – to już wiemy z doświadczenia – można przegapić. Poza tym wtedy często trzeba się zastanowić o jakie urządzenie chodzi. Dostając informację specjalnie dla nas, na zainfekowane urządzenie – wiemy od razu.

Czemu akurat SMS?

Na urządzeniach stacjonarnych używamy kwarantanny – w momencie rozpoczęcia tzw. kampanii CyberTarczy każda próba wejścia na dowolną stronę oznacza przekierowanie na witrynę informującą o zagrożeniu. W przypadku urządzenia mobilnego nie byłby to tak dobry pomysł. Na komputerze prędzej niż później otworzymy przeglądarkę, żeby sprawdzić, co się dzieje. Na telefonie „odpięcie” od internetu może oznaczać brak powiadomień z wielu, używanych przez nas aplikacji, czego możemy nie zauważyć przez spory czas.

Kto przyśle SMS?

To bardzo ważne pytanie. Kluczowe w sytuacji, gdy dzień w dzień musimy mierzyć się z phishingiem SMS właśnie.

Nadawcą wiadomości z CyberTarczy
zawsze będzie CERT Orange.

Dzięki rozwiązaniom technicznym możemy (i tak robimy) zablokować wszelkie SMS wchodzące do naszej sieci, używające tego nadpisu. Dzięki temu jedynie CyberTarcza będzie mogła nadawać wiadomości, używając tej nazwy. Na wszelki wypadek zablokowaliśmy też wszystkie podobne nadpisy, które przyszły nam do głowy.

Co będzie w SMS?

Jak mogliście zobaczyć na obrazku na początku: Wasz numer telefonu, nazwa zagrożenia i specjalny link, pod którym znajdziecie resztę informacji.

https://alert.cert.orange.pl/S/[ciąg_znaków]

Dlaczego mam wchodzić na link z SMS?

Fakt. Nie bez kozery uparcie i konsekwentnie edukujemy, by tego nie robić. No ale to CyberTarcza, a informacja musi do Was jakoś dotrzeć. Więc poza opisanym wcześniej nadpisem, każdy link, wysyłany do Was SMS będzie miał formę jak powyżej, z indywidualnym dla każdego z Was ciągiem znaków. Pamiętajcie też, że nie będziemy Wam kazać instalować niczego spoza Sklepu Google Play. Jeśli dane zagrożenie będzie wymagało instalacji specjalistycznego oprogramowania, link będzie prowadził do Sklepu Play.

Wszedłem na podaną stronę, co robić?

Polecam, by zastosować się do podanych na niej informacji. Jeśli trafiło do Ciebie ostrzeżenie, związane z zagrożeniem mobilnym, oznacza, że sprawa jest poważna. CyberTarcza chroni Cię, gdy jesteś w sieci Orange Polska, ale każde połączenie np. przez zewnętrzne WiFi może wystawić Cię na ryzyko! Zaczynamy od ostrzeżeń o Flubocie. To naprawdę podły szkodnik, który może narazić Cię zarówno na wysokie rachunki za SMS, jak i pomóc przestępcom wyczyścić Twoje bankowe konto!

Czy są wśród nas ludzie tacy sta… tzn. z takim doświadczeniem życiowym jak ja :), którzy pamiętają, gdy na początku istnienia internetu zachłysnęliśmy się tym, że choć płacimy zań pieniądze, wszystko co znajdziemy, wydaje się być darmowe? Teraz czasy się zmieniły, internet zmonetyzował, ale wciąż wielu z nas szuka w sieci sposobów na… Hmm, nazwijmy to „ominięciem płatności”. A oszustom w to graj.

SMS, czyli niby małe pieniądze

Nieco ponad 28 lat temu, 3 grudnia 1992 pracujący w Vodafone Neil Papworth wysłał swoim kolegom bożonarodzeniowe życzenia SMSem. Wiele wody w – hmmm, Tamizie? – upłynęło, a SMS wciąż trzyma się mocno, choć internetowe komunikatory i coraz śmielej poczynający sobie standard RCS mocno go podgryzają. Fakt, iż SMS jeszcze żyje, wyjątkowo natomiast podoba się oszustom. Jeśli uda im się bez naszej wiedzy (albo z wiarą, że nie dzieje się nic złego) wysłać „nieco więcej” SMSów z naszego konta, rachunki mogą sięgnąć nawet czterocyfrowych. Jakim cudem? Socjotechniką, jak zawsze. Nierzadko nawet bez udziału złośliwego oprogramowania.

Spójrzmy na przykład na stronę hxxp://unlockme247.com

Kto by nie chciał za darmo dostępu do całego cyfrowego multimedialnego dobra? Tym bardziej w czasach pandemii, #stayathome i w ogóle? Przecież mamy to wszystko na odległość kliknięcia, wystarczy puknąć w „Confirm”! A wtedy…

Nie, nie zainstaluje się malware. Nie stanie się nic podejrzanego (a przynajmniej tak mamy myśleć). Jeśli otworzymy witrynę z komputera, zobaczymy biały ekran, bądź przekierowanie na coś mało/w ogóle nie podejrzanego. Celem oszustów są bowiem ci, którzy wchodzą na ich witrynę z urządzeń mobilnych. Zaimplementowanie mechanizmu rozpoznawania urządzenia źródłowego z poziomu strony nie jest żadnym problemem. A gdy spróbujemy potwierdzić z telefonu, zobaczymy coś takiego:

To SMS z rzekomym kodem weryfikacji, wysyłany… nie nie – nie tylko na numer na Tajwanie. Jest ich +/- 20, na testowanych przez nas serwisach były to głównie numery z Wlk. Brytanii (dzięki za Brexit, to lada chwila nie będą tanie rzeczy) i z Tajwanu.

„A teraz odpowiedz na kilka pytań”

Opisywanej powyżej witryny nie testowałem dokładnie, ale w przypadku innej po „wysłaniu” (używałem telefonu bez karty SIM, podłączonego tylko przez WiFi) serii SMSów na ekranie pokazały się pytania. Najpierw o system operacyjny telefonu, potem sposób połączenia (dane/WiFi). W sumie pięć pytań zamkniętych, każda odpowiedź potwierdzana SMSami na te same numery. 100 SMSów to już jest jakiś koszt dla nas, a dla oszustów zysk.

Jaki? Choć nie są to wiadomości Premium, ale nawet te zwykłe, wysyłane na numery zagraniczne, w grę mogą wchodzić podobne pieniądze. Przy Tajwanie i UK może to oznaczać koszt rzędu kilkuset złotych za serię SMSów. Oszust zarabia natomiast na podziale zysków (revenue share) z operatorem, u którego terminuje rozmowy/SMSy (stąd określenie nadużycia mianem IRSF – International Revenue Share Fraud). Zysk na jednym SMSie to średnio 5 eurocentów, ale działa efekt skali. Przy 100 tysiącach naciągniętych na 100 wiadomości każdy robi się z tego pół miliona euro. Co więcej, niektóre smartfony automatycznie przerabiają na MMSa wiadomości wysyłane pod wiele adresów. Terminowanie najkrótszego MMSa to już od 0,18€ dla oszusta, niemal czterokrotnie więcej, niż przy SMSie.

Skąd to się bierze?

Wystarczy wyszukać sieci haseł w stylu „free robux”, czy „watch Netflix for free”. Wodą na młyn oszustów jest wspólna cecha wielu internautów, o której pisałem na początku tekstu: szukanie sposobów na dostęp do treści, za które normalnie trzeba zapłacić pieniądze, czy dostęp do streamów transmisji sportowych. Swoje sieci zarzucają także na dzieci i młodzież, podsuwając „kody” na darmowe pieniądze do mobilnej gry, czy skórki do postaci. Na koniec procesu nie dostajemy oczywiście żadnego kodu dostępu, bądź jesteśmy przekierowywani na witryny z rozwiązaniami, które okazują się darmowe.

Co można z tym zrobić? Z założenia nie ufać szemranym witrynom, proponującym za darmo coś, co normalnie jest płatne. Z własnego doświadczenia wiem, że kody dostępów do serwisów VOD rozdają albo te serwisy, albo duże firmy (np. dostawcy internetu, jak Orange Polska 🙂 ). Moi koledzy z CERT Orange Polska pracują nad tym, by ograniczyć wpływ tego typu kampanii na naszych klientów, ale w tym przypadku akurat nie będę się dzielić szczegółami – naszego bloga może przecież czytać każdy!

Nie dajcie się złapać na takie prostackie chwyty. Nie traktujcie mojego clickbaitowego tytuł przesadnie poważnie 🙂

Wiem, wiem – bardziej spodziewalibyście się takiego tytułu od Wojtka albo Piotrka, co? No i rzecz jasna nie teraz, tylko na przełomie lat, po świętach albo Sylwestrze. Przyznam się Wam szczerze, że od dawna nie obserwuję statystyk wysłanych w sieci SMSów. Tak jak wielu, jestem zdania, że ta licząca sobie już 28 lat (!) forma komunikacji jest już nieco archaiczna. Sam używam przede wszystkim komunikatorów internetowych. Po SMS sięgam zazwyczaj w… roamingu, bo wtedy są „w cenie” i nie trzeba zużywać tranmisji danych. Istnieje jednak pewna grupa społeczna, która krótkie wiadomości tekstowe upodobała sobie wyjątkowo. Wręcz przeżywają one u niej renesans już niemal od roku. Jaka grupa? Cyberprzestępcy, rzecz jasna.

Fałszywy SMS łapiemy jak najszybciej

Gdybyśmy za każdy SMS… Dobra, nie będę przesadzał z tekstami o „jednym groszu” (czy złotówce 🙂 ), bo akurat w sieci Orange Polska przestępcy nie mają tak różowo. Przez ostatni rok w CERT Orange Polska mocno pracowaliśmy nad szybką reakcją na tego typu zagrożenia, w efekcie czego do Was – jako klientów naszych usług – nie dociera tego paskudztwa przesadnie wiele. Dzięki naszym systemom bezpieczeństwa, sztucznej inteligencji/uczeniu maszynowemu, a także częstym zgłoszeniom od internautów, jesteśmy w stanie zablokować domeny, powiązane z kampanią, a nierzadko także nadawcę, już po kilku wysłanych przezeń testowych wiadomościach.

O czym piszą przestępcy? Standardowo usiłują nas przekonać na „dopłatę” do paczki, czasami chcą „potwierdzić tożsamość”, gdy wypisujemy się z usługi, na którą nigdy nie byliśmy zapisani, w przeddzień Tłustego Czwartku dość zabawnie (ciekawe, czy przypadkiem?) wysyłali SMSy o dopłacie „za nadwagę” (paczki rzecz jasna), zdarzają się wiadomości, podszywające się pod Izbę Skarbową, a ostatnio pod zapłatę podatku (czas PITów nadszedł).

Co robić?

Przede wszystkim, jak zawsze – uważać. I czytać wszystko, co do Was przychodzi. O ile w sieci Orange Polska nie dostaniecie od złych ludzi wiadomości z nadpisem CERT OPL, Orange, czy CyberTarcza (to nadpisy zastrzeżone) to już np. nazwa firmy kurierskiej może się pojawić. A jeśli dostawaliście już wiadomości o paczkach od „Kurier_X” (nie będę przytaczał żadnej istniejącej firmy) to jeśli przestępcy użyją tej samej nazwy, wiadomość od nich pokaże się pod tymi prawdziwymi i może zmylić potencjalną ofiarę.

Czytajcie każdy SMS, którego nie przysłał Wam nikt znajomy. Z założenia nie ufajcie linkom. Jeśli uprzecie się i klikniecie w adres w wiadomości – sprawdźcie dokładnie adres. Ja jednak nie ufałbym przekierowaniom do serwisów płatności klikanym na telefonie. Jeśli macie wątpliwości, zadzwońcie do domniemanego nadawcy (korzystając z telefonu na oficjalnej stronie), a jeśli jakimś cudem okaże się, że faktycznie macie coś zapłacić, poproście o link w mailu.

Praca w CERT Orange Polska łączy się z co najmniej kilkoma wyjątkowymi rzeczami 🙂 Jedną z nich jest bez wątpienia możliwość praktycznie bezpośredniego dostępu do informacji o tym, co przestępcy usiłują robić w sieci Orange Polska. I o ile ostatnio faktycznie ilościowo zrobiło się nieco spokojniej, o tyle warto zwrócić uwagę na dwa szczególnie popularne ostatnio wśród przestępców typu ataków.

„Faktura” wiecznie żywa

Rozpoczęta w poniedziałek nie do końca udanym mailem seria „faktura od Orange” z dnia na dzień wygląda coraz lepiej (choć na szczęście jeśli zwracacie uwagę na przychodzące do Was maile, przypominające oficjalne, powinniście się zorientować). Niezależnie od tego, jak bardzo źli ludzie się postarają, pamiętajcie o tym, że nasze faktury zawierają strefę bezpieczeństwa. Jeśli dokument, który otrzymaliście rzekomo od nas, nie zawiera Waszego imienia i nazwiska oraz numeru klienta – skasujcie go bez klikania, a najlepiej, jeśli wcześniej wyślecie go jako załącznik na adres cert.opl@orange.com. Tu akurat przestępcy mają łatwo – treść naszego dokumentu z fakturą wystarczy po prostu skopiować. Warto pamiętać, by w każdym mailu (nieważne, czy od Orange Polska), patrzeć na adres nadawcy, nazwę i rozszerzenie załącznika. Chwila uwagi może oszczędzić nam mnóstwo czasu.

Seks i zakłopotanie

Sex sells. Tak samo jak seks zazwyczaj „sprzeda” nawet najpośledniejszej jakości tfu-rczość, tak możemy być pewni, że oparcie niezbyt wyrafinowanego phishingu o obszar erotyczny może przynieść przestępcy całkiem niezły efekt. W ostatnich tygodniach dość regularnie obserwujemy kolejne ataki oparte o schemat, który można by określić mianem „hybrydowego”: najpierw informacja o zapisaniu nas do serwisu z anonsami (i drogimi SMSami Premium, wysyłanymi każdego dnia), następnie wędka w postaci możliwości wypisania się (pod warunkiem, że zrobimy to bardzo szybko), no i – na koniec – konieczność „potwierdzenia tożsamości” przelewem na drobną kwotę. Jeśli pierwszy SMS z różnych powodów wprawił nas  w zakłopotanie, zazwyczaj będziemy chcieli szybko usunąć ślady… czegoś, czego nie zrobiliśmy. W efekcie nie zauważymy, że domniemana bramka płatności, której mamy użyć, jest fałszywa. Zorientujemy się dopiero, gdy na koncie bankowym pokaże się nam okrągłe ZERO.

Co robić?

To, co zawsze. Nie robić nic na szybko, wyrobić w sobie wewnętrzną ostrożność przy tego typu mailach. Zawsze warto poświęcić nawet minutę czasu, jeśli ma nam potem oszczędzić wielo(tygo)dniowych nerwów. Tym bardziej teraz, gdy zaczęły się już wakacje i w klimatach wypoczynkowych opuszczamy naszą „mentalną gardę”. Przestępcy właśnie na to czekają.