Dobry phishing nie musi być wyrafinowany technicznie. Wystarczy, że używa skutecznych mechanizmów psychologicznych. Świetnie pokazuje to prosty, ale skuteczny atak na użytkowników Allegro, działający 4 rok.
Otrzymaliśmy dzisiaj od was kilka zgłoszeń wiadomości podszywającej się pod serwis Allegro. Z technicznego punktu widzenia ten atak jest dość prosty, jednak jego mechanizm jest na tyle skuteczny, że nawet osoby zajmujące się na co dzień bezpieczeństwem wskazywały, że prawie dały się złapać. Co ciekawe, ten atak w niezmienionej formie funkcjonuje już od 4 lat.
Komentarz do transakcji: 43170688788 (Negatywny)
Wiadomość o temacie takim jak tytuł tego akapitu wygląda następująco:
Kluczowy fragment jej treści to rzekomy komunikat o negatywnym komentarzu od Allegro:
Witaj !
Otrzymales nowy komentarz.Wkrotce na Twojej karcie uzytkownika pojawi się komentarz dotyczący transakcji, w ktorej brales udzial.
Komentarz dotyczy transakcji: HUSTAWKA DZIECIECA TAKO ZWIERZATKA OWOCE 16 WZOROW
Komentarz wystawil: MoOnISs_3Rodzaj komentarza:Negatywny
Tresc komentarza:
„Platnosc nie otrzymal i nie polecam tej osoby.”
Szczegółową analizę techniczną przebiegu ataku znajdziecie w jednym z niższych akapitów. Zwykły użytkownik zobaczy witrynę wyłudzającą login i hasło do Allegro:
Jeśli ofiara da się skusić i poda dane logowania, zostanie przekierowana do prawdziwej strony Allegro z komunikatem o błędzie:
Choć adres strony jednoznacznie wskazuje na oszustwo, to niestety zwykły internauta nie jest nauczony patrzeć w lewy górny róg ekranu – jego oczy szukają raczej pola logowania niż adresu witryny. Do tego pragnie szybko wyjaśnić nieporozumienie (przecież nie wystawiał aukcji huśtawki) lub podejrzewa, że ktoś włamał się na jego konto, co znakomicie wyłącza logiczne myślenie. Z tych prostych procesów psychologicznych bez problemu korzystają przestępcy na całym świecie.
Analiza techniczna
Atakujący używa kilku mechanizmów wartych opisania.
Link z e-maila prowadzi do otwartego przekierowania istniejącego od niepamiętnych czasów w serwisie Wirtualnej Polski (tu użycie w ataku sprzed 3 lat), mianowicie:
https://zasobygwp.pl/redirect?sig=0316577be0ea59123e5040dc84c5b5aed56acc8d95dded47a3c6bc8aca4916a7&url=aHR0cHM6Ly9ndXNjaG8ucnUvd3AtbG9naW5nL3dwLw==&platform=app_ios&brand=o2
W przekierowaniu nie widać gołym okiem adresu – jest ukryty w ciągu zapisanym za pomocą kodowania base64
aHR0cHM6Ly9ndXNjaG8ucnUvd3AtbG9naW5nL3dwLw==
po zdekodowaniu otrzymujemy
https://guscho.ru/wp-loging/wp/
Tam w kolei otrzymujemy przekierowanie za pomocą odpowiedzi HTTP 302 na adres
https://nsuw.scripts.mit.edu/home/wp-admin/wp/
Najwyraźniej tłoczno tam od włamywaczy, bo sama witryna ma tytuł „Hacked by Salim”. Wywołanie z kolei tego adresu przekierowuje nas na witrynę docelową pod adresem
https://feedback-negatywny.alleqro-pl.priyadarshi.net/log/form/auth.htm
Tam z kolei znajdziemy lekko zaciemniony kod źródłowy w JavaScripcie, który po zdekodowaniu pokaże adres skryptu przyjmującego wykradane dane uwierzytelniające i przekierowującego do prawdziwej witryny Allegro:
https://feedback-negatywny.alleqro-pl.priyadarshi.net/log/form/login1.php
Analiza historyczna
W powyższym ataku najdziwniejsza jest jednak jego historia. Analogiczne e-maile znajdywano bowiem już w roku… 2015. W maju 2015 identyczną wiadomość (nawet rzekomo sprzedawany przedmiot był ten sam) opisywał Kaspersky. Wyszukiwanie charakterystycznych ciągów znaków wskazuje, że podobne wiadomości pojawiają się dość regularnie przez ostatnie lata.
Schemat ataku i tworzenia domen phishingowych pozwala sądzić, że za atakiem może stać ten sam przestępca, który wysyła także e-maile o temacie
Twoja sprzedaż może zostać tymczasowo wstrzymana! Zaakceptuj zmiany w regulaminie!
To wyjątkowo płodny i uciążliwy atakujący – oto przykłady domen, które założył na jednym tylko adresie IP w ciągu ostatnich 2 miesięcy (to zaledwie ułamek jego aktywności):
allegro.pl-nowy-1regulamin1837.rileytree.org
allegro.pl-nowy-1regulamin2948.avr-elektronik.de
allegro.pl-nowy-1regulamin3015.dreamland.im
allegro.pl-nowy-1regulamin4719.mulgoapastoral.net
allegro.pl-nowy-1regulamin5816.lcprecision.com
allegro.pl-nowy-2regulamin6016.muzzu.com.ar
allegro.pl-nowy-2regulamin7634.wbcc.org.au
allegro.pl-nowy-2regulamin8274.aedifice.net
allegro.pl-nowy-2regulamin9173.hjort.nu
allegro.pl-nowy-2regulamin9472.drevo.si
allegro.pl-nowy-aregulamin1734.mao.fi
allegro.pl-nowy-aregulamin2943.pii.at
allegro.pl-nowy-aregulamin3571.bangewin.web.id
allegro.pl-nowy-aregulamin4824.brynlewis.com
allegro.pl-nowy-aregulamin5935.infodomestic.com
allegro.pl-nowy-bregulamin6814.infe.com.br
allegro.pl-nowy-bregulamin7475.taiwansemicon.org
allegro.pl-nowy-bregulamin8472.omnicasino.co.za
allegro.pl-nowy-bregulamin9168.kindredonline.com
allegro.pl-nowy-bregulamin9671.lookids.com
allegro.pl-nowy-r3gulamin1749.musdi.web.id
allegro.pl-nowy-r3gulamin2836.galaxi-pc.com
allegro.pl-nowy-r3gulamin3084.max302.me
allegro.pl-nowy-r3gulamin4715.firstimage.biz
allegro.pl-nowy-r3gulamin5821.tzhang.net
allegro.pl-nowy-r4gulamin6873.jiongri.com
allegro.pl-nowy-r4gulamin7942.supernice.com.my
allegro.pl-nowy-r4gulamin8742.crucialtechs.com
allegro.pl-nowy-r4gulamin9176.dob.jp
allegro.pl-nowy-r4gulamin9687.nu-vista.com
allegro.pl-nowy-reg1283.moc54.pl
allegro.pl-nowy-reg1318.moc54.eu
allegro.pl-nowy-reg1482.moc54.com
allegro.pl-nowy-reg1532.kurza8.eu
allegro.pl-nowy-reg1591.dac8374.pl
allegro.pl-nowy-reg1684.kurza8.com
allegro.pl-nowy-reg1696.dac8374.com
allegro.pl-nowy-reg1736.dac8374.eu
allegro.pl-nowy-reg1745.ujb2619.pl
allegro.pl-nowy-reg1831.ujb2619.eu
allegro.pl-nowy-reg1974.ujb2619.com
allegro.pl-nowy-regulam1n1827.fonglisu.com
allegro.pl-nowy-regulam1n2031.rdnchome.net
allegro.pl-nowy-regulam1n3813.supernice.com.my
allegro.pl-nowy-regulam1n4913.rabin.ca
allegro.pl-nowy-regulam1n5817.missrissa.net
allegro.pl-nowy-regulam2n6702.ipxsistemas.com.ar
allegro.pl-nowy-regulam2n7391.casarsa.net
allegro.pl-nowy-regulam2n8741.netapps.ro
allegro.pl-nowy-regulam2n9173.fortescu.com
allegro.pl-nowy-regulam2n9273.kuyuen.net
allegro.pl-nowy-regulamin1682.mega6348.com
allegro.pl-nowy-regulamin2591.mega6348.com.pl
allegro.pl-nowy-regulamin3854.mega6348.eu
allegro.pl-nowy-regulamin4725.giga48614.com.pl
allegro.pl-nowy-regulamin5824.giga48614.com
allegro.pl-nowy-regulamin6832.giga48614.eu
Mnogość zakładanych domen pokazuje, że zapewne zespół Allegro utrudniający działanie złodziejowi jest szybki w blokowaniu adresów – widać jednak, że skoro złodziej się nie poddaje, to musi czerpać ze swojego procederu korzyści. Liczymy na to, że uda się zatrzymać nie tylko oszustwa, ale też i oszusta – choć błędy językowe wskazują, że może niestety atakować zza granicy, co utrudni jego zatrzymanie.
Komentarze
„błędy językowe wskazują, że może niestety atakować zza granicy”
Maybe. Może też celowo preparować takie „błędy językowe” żeby zmylić trop.
Po co tak wielce „mylić trop” ortografią i ryzykować ograniczenie skuteczności kampanii (ze względu na tych trochę bardziej spostrzegawczych), jeśli sama natura internetu i infrastruktury wykorzystywanej do przestępstw może – jeśli atakujący chce – przysporzyć sporo problemów z atrybucją.
Wciąż śmieszą mnie też hipotezy związane z błędami językowymi wykorzystywanymi do odsiewania niby tych bardziej kumatych, którzy… no właśnie, co? Gdyby się nabrali, to ze złości zrobiliby hacking back i ała przestępcom?
Osobiście uważam, że w tym wypadku prostota ma pierwszeństwo nad zawiłością, i że dysortografię w mailach phishingowych można zredukować do wyjaśnienia, że:
a) tzw. ruskie + translator (lub jakakolwiek inna niepolska nacja
stojąca za kampanią);
b) głowy tęgie jak Thomas, którym polszczyzna bywa zagadką.
Ale ciekawe jestem, co Adam o tym myśli.
c) głowy aż tak tęgie, że może rzeczywiście wierzące, że celowymi „bykami” zmylą tym trop. Hmm.
#cognitivebias
„Po co tak wielce „mylić trop” ortografią i ryzykować ograniczenie skuteczności kampanii (ze względu na tych trochę bardziej spostrzegawczych […] ” – choćby po to,żeby ich uniknąć. „no właśnie, co? Gdyby się nabrali, to ze złości zrobiliby hacking back i ała przestępcom?” – może nie,ale mogą pójść na Policję albo chociaż zmarnować takiemu przestępcy czas to by już byli w stanie.
A po co ? Zresztą patrząc na te zatrzymania itd. to okazuje się,że ci „spece” od fraudow wcale nie mają na tym aż takich kokosów, równie dobrze mogli by się jeszcze douczyć i poszukać uczciwej pracy…
W skrócie jak nadal nie rozumiesz:
Skuteczność i tak „zadowalająca” więc po co przestępca ma walczyć o spostrzegawczego – potencjalnie kłopotliwego „klienta” ?
sam brak polskich znakow wskazuje na to ze to nie jest prawdziwy mail od allegro i juz samo to powinno wzbudzic podejrzenia. niestety wiekszosc ludzi korzystajacych z dobr internetu to nieswiadomi klikacze wszelkich mozliwych linkow ktore tylko im sie podstawi.
Sam brak polskich znaków powinien sugerować że komentarz moni jest próbą oszustwa.
Jakbys zobaczyl jak banki potrafia spierdolic email, to tez bys pomyslal,ze to spam… a czasem to prawdziwa wiadomosc.
W skrócie: analfabeci.
Wszystko pięknie tylko od kilku lat sprzedający nie wystawia komentarza kupującemu, ta opcja została wycofana
Przeciętny użytkownik tego nie skojarzy. Tym bardziej, że – jak wspomniano w artykule – treść wywołuje mechanizm, który wyłącza logiczne myślenie o czym wspomina artykuł. Ja też bym nie skojarzył tego faktu, bo rzadko korzystam z Allegro. Ale nie dałbym się nabrać, bo ja nie ufam takim e-mailom i wiem co robię. Zawsze, gdy chodzi o e-maile poruszające temat pieniędzy w Internecie to zapala mi się kaskada światełek w głowie. Wiem co kupuję i gdzie. Nigdy się nie nabrałem i nie nabiorę, dopóki głowa będzie sprawna i nie wysiądzie z wiekiem zdolność kojarzenia faktów, ostrożność, rozumienie tego co się czyta. Ale mnóstwo ludzi jest dużo mniej ostrożnych i na takich poluje oszust. Na pewno znajdzie.
Skoro atak jest znany od lat i wciąż działa to znaczy, że ktoś jest sprytny i nie pazerny. Jeszcze wiele lat może tak działać.
Lol, nie wiedzialem :D
„Analogiczne e-maile „znajdywano””? A newsa też pisał ktoś z zagranicy, czy przed publikacją nawet nie przeczytał tego, co napisał? Kto jeszcze łapie się na błędnie napisane maile z błędami językowymi lub choćby z brakiem polskich znaków? Nawet, gdybym otrzymał takiego maila, a dodatkowo nie brałem udziału w takiej transakcji, to mail od razu wylądował by w koszu.
Forma rzadsza ale nadal poprawna.
„znajdywano”, – forma w 100% poprawną. Jak widać, poza tymi co tylko potrafią „klikać w linki”, są też tacy co nie mają pojęcia o ojczystym języku, za to czepiają się tego, czego sami nie rozumieją. Wynajdywanie nie istniejących błędów językowych to ich hobby.
Pisze się „nieistniejący” ;-)
*Nieistniejących ;)
A do tego w przekonaniu o własnej nieomylności zarzucają autorowi nierzetelność. Tymczasem ataki socjotechniczne mogą być skierowane do każdego i mogą być skuteczne wobec każdego. Kwestia precyzji ataku i nakładów finansowych na rekonesans.
Te bardziej prymitywne ataki, z błędami – one mają błędy celowo, chodzi o to, żeby trafiać tylko w nieświadomych użytkowników internetu, lepszy CTR dla oszusta.
Ale to trzeba myśleć jak oszust, czyli mieć też pojęcie o bezpieczeństwie bardziej wszechstronne niż tylko defensywne.
Dziękuję Autorowi za artykuł i za cierpliwość do „Adamo” tego świata :-)
I yeb, jeszcze ósmej nie ma a już frsutracja zrzucona, szeryf internetów ogłosił lincz bo mówią inaczej niż u niego! Jakie to piękne, kilka znaków i już lżej na duszy na cały dzień:)
To fajny swiat sobie wykreowales w glowce, Adamku. Jak prowadzisz korespondencje biznesowa to tez tak robisz, czy tam nagle swiat Adamka odchodzi w niepamiec?
Zaraz, jaka korespondencja biznesowa, od kiedy sprzedawcy burakow i kapusty maja adresy mailowe? Silly me.
Całe szczęście że przeglądarka z zapamketanymi hasłami się nie złapie.
*zapamiętanymi
A wystarczy powszechność stosowania U2F…
Jeśli masz ustawiony alert o nieudanym logowaniu U2F to dobrze. Chyba ze masz pecha i w trakcie tego jednego logowania „przestępcy” wygenerował się ten sam kod.
Posiadanie fałszywego konta lub kilka kont może trochę pomoc badać otrzymywany spam na kota e-mail.
Badanym spamem będzie wszystko co nie przyszło z określonego adresu e-mail serwisu, ale będzie posiadało nazwy sugerujące podszycie się. Tutaj jest drobny problem, filtr poczty musiałby zawierać także OCR gdyby komuś przyszło do głowy przysłać spam w formie obrazka.
Ponieważ nie da się wyłapać 100% spamu, trzeba by wyczulić samych użytkowników by używali filtra poczty i sami zgłaszali oszustwa na określony e-mail w określony sposób ułatwiający prace administratorom serwisu. Na ten e-mail mogli by pisać tylko zarejestrowani użytkownicy aby chronić konto przed innym spamem.
Spotkałem się tez kiedyś z fałszywymi wiadomościami sugerujący coś z jakiegoś serwisu mimo ze nie miałem tam konta.
Zgłosiłem serwisowi ze otrzymuje spam mimo ze nie posiadam u nich konta, a oni po „źródle wiadomości” doszli e-mail nie pochodzi od nich. Co potem było nie pamiętam.
Ciekawy temat do pzedstawienia
https://www.zdnet.com/article/company-discovered-it-was-hacked-after-a-server-ran-out-of-free-space/
Co daje przejęcie konta Allegro, skoro aby otrzymywać płatności za aukcje, posiadacz rachunku bankowego musi się zgadzać z danymi konta na portalu?
Jeśli do konta podpięta jest karta to można robić zakupy i wysyłać na dowolny adres.