Prosty, ale skuteczny atak na użytkowników Allegro trwa od 4 lat

dodał 10 listopada 2019 o 20:29 w kategorii Socjo  z tagami:
Prosty, ale skuteczny atak na użytkowników Allegro trwa od 4 lat

Dobry phishing nie musi być wyrafinowany technicznie. Wystarczy, że używa skutecznych mechanizmów psychologicznych. Świetnie pokazuje to prosty, ale skuteczny atak na użytkowników Allegro, działający 4 rok.

Otrzymaliśmy dzisiaj od was kilka zgłoszeń wiadomości podszywającej się pod serwis Allegro. Z technicznego punktu widzenia ten atak jest dość prosty, jednak jego mechanizm jest na tyle skuteczny, że nawet osoby zajmujące się na co dzień bezpieczeństwem wskazywały, że prawie dały się złapać. Co ciekawe, ten atak w niezmienionej formie funkcjonuje już od 4 lat.

Komentarz do transakcji: 43170688788 (Negatywny)

Wiadomość o temacie takim jak tytuł tego akapitu wygląda następująco:

Kluczowy fragment jej treści to rzekomy komunikat o negatywnym komentarzu od Allegro:

Witaj !
Otrzymales nowy komentarz.

Wkrotce na Twojej karcie uzytkownika pojawi się komentarz dotyczący transakcji, w ktorej brales udzial.

Komentarz dotyczy transakcji: HUSTAWKA DZIECIECA TAKO ZWIERZATKA OWOCE 16 WZOROW
Komentarz wystawil: MoOnISs_3

Rodzaj komentarza:Negatywny

Tresc komentarza:
„Platnosc nie otrzymal i nie polecam tej osoby.”

Szczegółową analizę techniczną przebiegu ataku znajdziecie w jednym z niższych akapitów. Zwykły użytkownik zobaczy witrynę wyłudzającą login i hasło do Allegro:

Jeśli ofiara da się skusić i poda dane logowania, zostanie przekierowana do prawdziwej strony Allegro z komunikatem o błędzie:

Strona Allegro z komunikatem o błędzie

Choć adres strony jednoznacznie wskazuje na oszustwo, to niestety zwykły internauta nie jest nauczony patrzeć w lewy górny róg ekranu – jego oczy szukają raczej pola logowania niż adresu witryny. Do tego pragnie szybko wyjaśnić nieporozumienie (przecież nie wystawiał aukcji huśtawki) lub podejrzewa, że ktoś włamał się na jego konto, co znakomicie wyłącza logiczne myślenie. Z tych prostych procesów psychologicznych bez problemu korzystają przestępcy na całym świecie.

Analiza techniczna

Atakujący używa kilku mechanizmów wartych opisania.

Link z e-maila prowadzi do otwartego przekierowania istniejącego od niepamiętnych czasów w serwisie Wirtualnej Polski (tu użycie w ataku sprzed 3 lat), mianowicie:

W przekierowaniu nie widać gołym okiem adresu – jest ukryty w ciągu zapisanym za pomocą kodowania base64

po zdekodowaniu otrzymujemy

Tam w kolei otrzymujemy przekierowanie za pomocą odpowiedzi HTTP 302 na adres

Najwyraźniej tłoczno tam od włamywaczy, bo sama witryna ma tytuł „Hacked by Salim”. Wywołanie z kolei tego adresu przekierowuje nas na witrynę docelową pod adresem

Tam z kolei znajdziemy lekko zaciemniony kod źródłowy w JavaScripcie, który po zdekodowaniu pokaże adres skryptu przyjmującego wykradane dane uwierzytelniające i przekierowującego do prawdziwej witryny Allegro:

Analiza historyczna

W powyższym ataku najdziwniejsza jest jednak jego historia. Analogiczne e-maile znajdywano bowiem już w roku… 2015. W maju 2015 identyczną wiadomość (nawet rzekomo sprzedawany przedmiot był ten sam) opisywał Kaspersky. Wyszukiwanie charakterystycznych ciągów znaków wskazuje, że podobne wiadomości pojawiają się dość regularnie przez ostatnie lata.

Schemat ataku i tworzenia domen phishingowych pozwala sądzić, że za atakiem może stać ten sam przestępca, który wysyła także e-maile o temacie

Twoja sprzedaż może zostać tymczasowo wstrzymana! Zaakceptuj zmiany w regulaminie!

To wyjątkowo płodny i uciążliwy atakujący – oto przykłady domen, które założył na jednym tylko adresie IP w ciągu ostatnich 2 miesięcy (to zaledwie ułamek jego aktywności):

Mnogość zakładanych domen pokazuje, że zapewne zespół Allegro utrudniający działanie złodziejowi jest szybki w blokowaniu adresów – widać jednak, że skoro złodziej się nie poddaje, to musi czerpać ze swojego procederu korzyści. Liczymy na to, że uda się zatrzymać nie tylko oszustwa, ale też i oszusta – choć błędy językowe wskazują, że może niestety atakować zza granicy, co utrudni jego zatrzymanie.