Nie, nie piszę do was e-maili z adresu [email protected]

dodał 10 stycznia 2021 o 23:15 w kategorii Socjo  z tagami:
Nie, nie piszę do was e-maili z adresu adam@zaufanatrzeciastrona.com

(źródło: Nomadic Lass)

Próby podszywania się pod różne osoby związane ze sceną bezpieczeństwa obserwuję od dawna, jednak w ostatnich dniach się mocno nasiliły, a ich autor stara się nadać wiarygodności oszustwu. Czas napisać do niego kilka słów.

Zaczęło się chyba od pogróżek kierowanych do użytkowników Cebulki – ktoś posługujący się moim nazwiskiem i zawierającym je adresem e-mail informował, że „widział ich na mieście”. Potem były alarmy bombowe ze skrzynek na WP czy innych serwisach, również zakładanych w moim imieniu przez przedstawicieli fanklubu (wariantów było chyba z 15). Pojawiły się także prośby o materiały z konferencji TAPT sygnowane moim podpisem (wyjątkowo zabawne, pisane per „Pan” do osób, z którymi „na ty” jestem od 15 lat). Dzisiaj jednak przyszła najzabawniejsza wiadomość – choć pierwsza wysłana z jakiejś „porządnej” domeny.

Daj kod bramki, bo mam chory komputer

E-maile podszywające się pode mnie wysyłane są obecnie w dwóch wariantach – „formalnym” i „osobistym”. Formalny wygląda tak:

Serdeczna prośba o przekazanie zabezpieczonego kodu źródłowego

Szanowni Państwo, 
Z tej strony Adam Haertle, redaktor naczelny Zaufanej Trzeciej Strony. 
Zwracam się z serdeczną prośbą o przekazanie kodu źródłowego fałszywego panelu Dotpay i PayU, razem z informacją o adresie IP serwera na którym kod został zabezpieczony, oraz domenach zainstalowanych w bazie danych panelu. 
Informator poinformował mnie, które charakterystyczne fragmenty w kodzie mogą stanowić istotną przesłankę. Analiza poszczególnych fragmentów kodu pozwoli na powiązanie sprawców kampanii z ich prawdziwą tożsamością. Chodzi o osoby wciąż przebywające na wolności, postawione najwyżej w strukturze grupy. 
Nie mogę na razie zdradzić szczegółów, ale to naprawdę przełom w sprawie. Przypominam, że obowiązuje nas ścisła tajemnica prasowa. Nie mogę ujawnić danych mojego informatora, jak również stopnia jego zaangażowania w przestępstwa. Oczywiście zrobię to, kiedy tylko Sąd na wniosek Prokuratury zwolni mnie z tajemnicy prasowej. 
Ta wiadomość ma status TLP: RED, do wyłącznej wiadomości odbiorcy. Proszę o nierozpowszechnianie tej wiadomości w jakikolwiek sposób. Jeśli informacja dotrze do sprawców, z pewnością opuszczą terytorium RP. Mają do tego wszelkie możliwości finansowe i logistyczne. 
Jeśli sami Państwo nie posiadają takich informacji, lecz znają Państwo kogoś kto zabezpieczył i posiada kod źródłowy fałszywego panelu Dotpay i PayU, proszę o informację w jaki sposób mogę się z nim skontaktować. Jednakże proszę nie informować bezpośrednio tej osoby. Wysłałem Państwu tę wiadomość, ponieważ darzę Państwa ogromnym zaufaniem. Nie o wszystkich mogę powiedzieć to samo. 
Z góry dziękuję i pozdrawiam, 
Adam Haertle

Z kolei wariant osobisty brzmi tak:

[tu imię odbiorcy],
Jak nastrój przed jutrem? Dałbyś radę jeszcze dzisiaj podesłać mi kod źródłowy fałszywego panelu Dotpay i PayU, ten który zabezpieczyliście? Informator dostarczył mi naprawdę solidny materiał.
W panelu są fragmenty kodu, które można powiązać z pewną tożsamością w otwartej sieci. Wygląda to naprawdę wiarygodnie, wszystko pasuje do układanki.
Jeśli ta przesłanka się potwierdzi, to mamy namierzone osoby na samym szczycie grupy. Nadal przebywają na terenie RP.
[Imię], nie informuj nikogo o tym. Wysłałem Ci tę wiadomość, ponieważ darzę Cię ogromnym zaufaniem. Nie o wszystkich mogę powiedzieć to samo.
Jeśli dasz radę podesłać mi ten kod to będę bardzo wdzięczny.

Adam

Wariant formalny rozesłany został do wielu zespołów CERT oraz do popularnych serwisów blogowych poświęconych bezpieczeństwu. Z kolei wariant osobisty trafił do wielu osób z branży na ich konta osobiste.

Co ciekawe, w przeciwieństwie do poprzednich analogicznych ataków, tym razem sprawca pofatygował się bardziej i zamiast założyć kolejną skrzynkę [email protected] (lub moją ulubioną [email protected]) kupił domenę zaufanatrzeciastrona.com i pisze z [email protected]. Domena została zarejestrowana w Namecheap miesiąc temu i jedyne, co na razie robi, to obsługuje pocztę. Jak macie dobry kontakt w Namecheap, to wiecie, za co będę wdzięczny. Nie, nie jest to kod bramki ;)

Efekt ataku jest chyba oczywisty

Próba podszycia się pode mnie zaowocowała w jedyny możliwy sposób – w ciągu parudziesięciu minut otrzymałem kilkanaście wiadomości od osób, które rozpoznały oszustwo. Najprościej było to zrobić na podstawie sposobu i treści komunikacji. Nie był to język, jakiego używam, ani kanał komunikacji, którym zwróciłbym się z taką prośbą. Miej litość, gamoniu, takich rzeczy nie wysyła się e-mailem. Pomijam już fakt, że po co mi kod bramki Dotpaya – szczególnie, że jest ich wiele, więc cała wiadomość nie miała dla odbiorców żadnego sensu. Do tego jeszcze pisałem per „Szanowni Państwo” do dobrych przyjaciół i znajomych – paradne. No i jak mogłem wysyłać te e-maile, skoro właśnie prowadziłem na żywo Rozmowę Kontrolowaną?

Apel do gamonia, który te e-maile wysyła

Choć doceniam element humorystyczny, to naprawdę nie musisz się aż tak wysilać. Materiały z TAPT można znaleźć w sieci, a bramkę azjatyccy programiści wyklepią w 3 tygodnie za marne grosze. Są prostsze sposoby realizacji twoich ambicji. A w ogóle to zainteresuj się konkursami CTF, zadaniami typu hackme, znajdź pracę w SOC i rozwijaj się w branży – ale po tej lepszej stronie. Naprawdę warto.

PS. Doceniam, że przynajmniej literówek w nazwisku nie zrobiłeś.