Jak polski zespół bezpieczeństwa wyłączył dzisiaj mBank części internautów

dodał 17 lutego 2020 o 18:17 w kategorii Wpadki  z tagami:
Jak polski zespół bezpieczeństwa wyłączył dzisiaj mBank części internautów

(źródło: Nomadic Lass)

Wpadki się zdarzają. Wypadki także. Nawet najlepszym. Nie wiemy jeszcze kto, ale ktoś, kto od dość dawna skutecznie dba o bezpieczeństwo polskiego internetu, wyłączył mBank użytkownikom usługi OpenDNS. Taka mała awaria.

Blokowanie stron przestępców nie jest proste. Nie mamy (na szczęście) jednego światowego rejestru stron zakazanych. Nie tak działa internet. Mamy jednak wiele mniejszych rejestrów stron z różnego powodu złych. W jednym z nich strona transakcyjna mBanku pojawiła się dzisiaj jako zdecydowanie zła, a OpenDNS (dostawca darmowej usługi DNS, z której korzysta wielu użytkowników) automatycznie takie witryny blokuje. Jak do tego doszło?

Nietypowe zgłoszenie

Odezwał się do nas dzisiaj Czytelnik, który nie mógł dokończyć zakupów na Allegro. Napisał tak:

Kupuję na Allegro, a po przekierowaniu na mtransfer pojawia się błąd. Firefox wykrył potencjalne zagrożenie bezpieczeństwa i nie wczytał „mtransfer.mbank.pl”, ponieważ strona wymaga bezpiecznego połączenia.

host mtransfer.mbank.pl
mtransfer.mbank.pl has address 146.112.61.108
mtransfer.mbank.pl has IPv6 address ::ffff:146.112.61.108

to chyba nie adres IP mBanku?
Certyfikat też chyba nie ten?

Certyfikat zdecydowanie nie ten

Wyjaśnienie

Kilkadziesiąt minut później inny Czytelnik podesłał nam linka, który problem w dość prosty sposób wyjaśnił. Oto przedmiotowy link:

https://www.phishtank.com/phish_detail.php?phish_id=6405790

a to zrzut ekranu Phishtanka:

mbank na Phishtanku

Phishtank to serwis umożliwiający zgłaszanie złośliwych witryn. Każdy może taką witrynę zgłosić, a inni użytkownicy mogą głosować, czy witryna jest dobra, czy zła. Tu kilku użytkowników zagłosowało, że jest zła. I nikt nie zagłosował, że jest dobra. Aż tylu niezadowolonych klientów chyba mBank nie ma… Jak zatem do tego doszło?

Mamy tu do czynienia prawdopodobnie z czterema problemami.

Problem pierwszy – linki wrzucają automaty. Nie sposób ręcznie obrobić całego zła, które pojawia się w internecie, więc wiele osób napisało automaty publikujące linki na Phishtanku, by proces eliminacji złośliwych witryn przyspieszyć. Często takie automaty mają też białe listy stron, których nie wrzucają – bo automaty lubią się mylić. To nie zawsze jednak pomaga.

Problem drugi – Phishtank śledzi przekierowania. Jeśli wrzucimy mu stronę xxxyyyzzz.com, a strona bota Phishtanka, który ją odwiedzi, przekieruje na mBank.pl, to Phishtank odczyta adres witryny docelowej i go opublikuje jako kandydata do oceny. Tak mogło być w tym przypadku.

Problem trzeci – złe witryny mają krótki czas życia. Często od postawienia, przez oszustwa, do zamknięcia mijają 1-2 godziny. Trzeba zatem takie strony blokować jak najszybciej. Niestety liczenie na to, że użytkownicy Phishtanka ręcznie potwierdzą każdą złośliwą stronę się nie sprawdza. Z tego powodu część użytkowników korzysta w tym celu z fałszywych kont, które automatycznie potwierdzają zgłoszenia. W tym wypadku zgłaszało konto fishkiss, a potwierdziły marcostal, janzmazur40, KacperRP, Miranda, Jan666 i grunwald. Jeśli spojrzycie w historię zgłoszeń i potwierdzeń, to zobaczycie, że z reguły pracują w takim zestawie…

Problem czwarty – aby skutecznie chronić użytkowników, wiele serwisów automatycznie blokuje strony potwierdzone jako złośliwe na Phishtanku – i tak działa także OpenDNS.

Wystarczy zatem te kilka niedoskonałości systemu walki ze złodziejami, jeden sprytny złodziej, który boty Phishtanka przekieruje na strony banków i katastrofa gotowa.

Podsumowanie

Ktokolwiek stoi za systemem zgłoszeń, robi świetną robotę (pozdrawiamy, pewnie się znamy!) – zgłosił do tej pory kilkadziesiąt złośliwych witryn i pewnie dzięki temu uratował niejednego internautę.

Zgłoszenia użytkownika fishkiss

Niestety dzisiaj uratował na kilka godzin część polskich internautów przed internetowymi zakupami. Jak temu zapobiegać? Phishtank mógłby inaczej kategoryzować przekierowania, a OpenDNS mógłby wprowadzić białe listy – ale nie są to raczej realistyczne marzenia. mBankowi pozostaje wypracować dobre kanały komunikacji z Cisco, zarządzającym OpenDNS, a klientom, którzy chcą dokończyć zakupy, zmienić na chwilę dostawcę DNS.

PS. Mechanizmy opisywane powyżej znamy aż za dobrze – kto nigdy strony klienta nie zablokował, niech pierwszy rzuci pakietem ;)