Przejmowanie telefonów kodem QR i rozbierane zdjęcia w zaszyfrowanym archiwum

dodał 6 marca 2023 o 07:58 w kategorii Info  z tagami:
Przejmowanie telefonów kodem QR i rozbierane zdjęcia w zaszyfrowanym archiwum

Czy można, skanując jeden kod QR telefonem, oddać przestępcom kontrolę nad swoimi kontaktami i wiadomościami SMS? Aby to sprawdzić, daliśmy się zhakować. A przy okazji pozyskaliśmy także adresy IP złodziei. Zapraszamy do fascynującej podróży na Discorda.

Do akcji dokumentowania oszustwa przygotowaliśmy się dość solidnie. Chcieliśmy dobrze zrozumieć, jak działają przestępcy. Stworzyliśmy więc tożsamość przeciętnego nastolatka ze smartfonem, gronem znajomych, przyjaciół i rodziną. Chyba poszło nam całkiem nieźle, bo przestępcy prawdopodobnie dopiero z tego artykułu dowiedzą się, że to z nami przez cały czas rozmawiali. Tak wyglądały spreparowane SMS-y na telefonie naszej „ofiary”:

Spreparowane SMS-y na telefonie potencjalnej ofiary

Ale nie uprzedzajmy faktów – omówmy sprawę po kolei.

Jak przebiega oszustwo

Z perspektywy ofiary wygląda to tak: kontaktujesz się ze znajomymi za pomocą Discorda, wielu znasz osobiście, z innymi skumplowałeś się, dołączając do tego czy innego serwera. Ktoś podsyła ci zaproszenie na kolejny serwer, dając znać, że za parę minut klikania można na nim dostać psc. Czekaj, co? Chodzi o paysafecard. To metoda płatności oparta na doładowaniach, służy do kupowania online bez podawania numeru konta bankowego czy danych karty kredytowej. Zainteresowany klikasz w link, zaglądasz na kanał #jak-to-działa (lub podobny). Dowiadujesz się, że nagrodę można odebrać po utworzeniu konta ankietera. Administratorzy otrzymują pieniądze za podłączenie do niego bota, który sam uzupełnia ankiety. Proponują współpracę, ponieważ na jednym urządzeniu da się założyć tylko jedno takie konto.

Instrukcja odbioru rzekomej nagrody

Drugim sposobem na zgarnięcie psc jest zaproszenie na serwer kilkunastu nowych osób – no, ale to może potrwać. Sprawdzasz pozostałe kanały, widzisz szereg pozytywnych opinii wystawionych przez tych, co już odebrali różne nagrody. Zapewniają, że „wszystko jest legit”. Gdybyś uważniej przyjrzał się nickom obdarowanych i zarządzających serwerem, zauważyłbyś dziwną zbieżność, ale nie przychodzi ci to jakoś do głowy.

Potwierdzenia otrzymania nagród

Administratorzy co kilka godzin zachęcają do „otwierania ticketów”. Okazuje się, że oprócz psc można zdobyć m.in. doładowania konta PayPal, karty podarunkowe Netflixa, Steama i innych popularnych platform, skiny z CS:GO, a także robux, czyli wirtualną walutę w grze Roblox, która według najnowszych danych każdego dnia przyciąga średnio 65 mln osób, głównie dzieci i młodzież.

Zachęty do starania się o nagrody

Zgodnie z instrukcją wchodzisz na kanał #ticket i klikasz w odpowiedni przycisk. Po chwili odzywa się do ciebie któryś z administratorów, upewnia się, że masz na telefonie aplikację Wiadomości i tłumaczy, jak znaleźć w jej ustawieniach opcję parowania urządzeń ze skanerem kodów QR. Potem wkleja na Discordzie rzekomy kod ankietera, który musisz zeskanować. Gdy to robisz, pyta, jaką chcesz nagrodę, zaraz jednak informuje, że nic z tego, ponieważ bot nie zadziałał. „Dlaczego?” – dziwisz się. „Nie wiem – odpowiada administrator – jakiś błąd urządzenia”. Cała rozmowa poniżej.

Rozmowa z administratorem po otwarciu ticketa

Z pozoru nic się nie stało. W rzeczywistości padłeś właśnie ofiarą oszustwa z użyciem kodów QR, przed którym jeszcze w grudniu ostrzegali eksperci z CERT Polska. Innymi słowy, parując urządzenia, dałeś złodziejowi możliwość wysyłania SMS-ów premium na twój koszt.

Oszust przyłapany w akcji

Zobaczmy teraz, co się działo na telefonie ofiary podczas powyższej rozmowy. Zazwyczaj ofiara nie dysponuje historią wysyłanych wiadomości – sprawcy od razu je kasują. Tutaj jednak ofiara nie była przypadkowa, a podstawiona, z odpowiednio przygotowanym i skonfigurowanym telefonem oraz włączonym nagrywaniem ekranu. A na telefonie czekały pewne SMS-y, których zadaniem było utrzymać uwagę napastnika.

Niemal od razu po zeskanowaniu przez „ofiarę” kodu QR oszust wysłał testowego MMS-a pod adres w domenie proton.me.

Oszust testuje wysyłanie wiadomości z telefonu ofiary

Test wypadł pomyślnie, oszust wiadomość skasował. Następnie próbował zamówić dostęp do strony oferującej przedmioty z gry CS:GO (Counter-Strike: Global Offensive).

Strona sprzedająca skiny i przedmioty z CS:GO
Usługa, którą chciał wykupić oszust

Wiemy o tym, ponieważ na telefon ofiary dotarła wiadomość o treści: „Wpisz 5575 na stronie www, aby aktywowac usluge Csgoskins, koszt jednorazowy to 61,50 zl. Oplata za usluge zostanie dodana do rachunku za telefon lub pobrana ze srodkow za doladowanie”.

SMS z jednorazowym kodem aktywacji

Aktywacja się nie powiodła – ofiara miała telefon na kartę, a dostępna kwota doładowania okazała się niższa niż wymagane 61,50 zł, o czym złodziej nie wiedział. Usunął z telefonu cytowanego wyżej SMS-a i napisał na Discordzie, że coś nie działa, nie spieszył się jednak z rozparowywaniem urządzeń (co widać na zrzucie ekranu wykonanym parę minut po zakończeniu rozmowy).

Sparowane urządzenia

Pora zarzucić przynętę. Rzekoma ofiara doładowała konto na kwotę 25 zł. Oszust zobaczył to na swoim urządzeniu i niemal od razu ponowił próbę wykupienia dostępu do strony csgo-skins.com, tym razem wybierając mniejszy pakiet – za 24,60 zł.

Kolejna próba aktywacji usługi przez oszusta

Zainteresował się też innymi SMS-ami dostępnymi na sparowanym telefonie, szczególnie tym od Aśki o treści „Hasełko to co zawsze :*” – wyobraźnia mu podpowiedziała, że w udostępnionym przez nią archiwum mogą znajdować się ciekawe zdjęcia. W historii korespondencji był także link do archiwum RAR, zabezpieczonego hasłem i umieszczonego na serwerze wyglądającym zupełnie jak hosting plików. Sprawca z wrażenia aż zapomniał na chwilę o skinach z CS:GO i wysłał do dziewczyny prośbę o przypomnienie hasła. Na odpowiedź nie musiał długo czekać.

SMS z prośbą o przypomnienie hasła

Administrator oszukańczego serwera pobrał zabezpieczone hasłem archiwum (a patrząc na liczbę adresów IP, które odłożyły się w logach, także podzielił się linkiem z czterema kolegami), ale nie mógł się do niego dostać. Wyobraźcie sobie tę frustrację! Postanowił zatem wyłudzić hasło, wysyłając z telefonu ofiary wiadomości do rzekomej autorki fotografii. Z perspektywy „Aśki” rozmowa wyglądała następująco:

Wymiana SMS-ów z oszustem

Aśka nie spieszyła się z podaniem hasła do archiwum, a sprawca był dość niecierpliwy. Wysłane do dziewczyny SMS-y zostały ze sparowanego telefonu usunięte. Otrzymany wcześniej kod aktywacji usługi Csgoskins nie zadziałał, złodziej spróbował więc jeszcze raz. Bez skutku, ponieważ zablokowanie u operatora SMS-ów premium zapobiega również takim wyłudzeniom

Następny SMS z kodem aktywującym usługę Csgoskins

Sfrustrowany oszust (wraz z kolegami) zagadywał niedoszłą ofiarę jeszcze parę razy na Discordzie, odnosząc się do przeczytanych SMS-ów, co nosiło znamiona szantażu. Próbował też pisać i dzwonić pod numery widniejące na liście kontaktów w sparowanym telefonie.

Szantaż i próba wysłania SMS-a do znajomego ofiary

Niczego nie wskórał, ale znamy przypadek wyłudzenia kodu BLIK na 300 zł od znajomego jednej z autentycznych ofiar. Osoba ta próbowała później ostrzegać innych użytkowników serwera przed oszustami – dość szybko została jednak zbanowana przez administratorów.

Ostrzeżenie zamieszczone na jednym z oszukańczych serwerów

Nasuwa się pytanie, jak w ogóle można przejąć czyjś telefon jednym kodem QR. Wyjaśniamy i pokazujemy krok po kroku.

Oszustwo od środka

Większość użytkowników Androida prawdopodobnie nie wie, że w dowolnej przeglądarce na komputerze może uruchomić aplikację Wiadomości – tę samą, której używa na telefonie do odbierania i wysyłania SMS-ów. Wystarczy otworzyć stronę messages.google.com i wybrać u góry opcję „Messages for web”. Wyświetli się nam (a jakże!) kod QR, który umożliwi sparowanie aplikacji mobilnej z danym komputerem.

Kod QR Wiadomości w przeglądarce

Zgodnie z widoczną na ekranie instrukcją powinniśmy otworzyć na smartfonie aplikację Wiadomości, znaleźć w menu opcję „Parowanie urządzenia” i po jej wybraniu kliknąć w przycisk „Skaner kodów QR”. Gdyby się okazało, że takiej opcji w menu nie ma (a może tak się zdarzyć w przypadku starych telefonów), to należy pobrać z Google Play najnowszą wersję Wiadomości i zgodzić się na zmianę domyślnej aplikacji do zarządzania SMS-ami. Po zeskanowaniu kodu QR przez chwilę będziemy widzieć na telefonie komunikat „Wszystko gotowe” – i tyle. Użytkownik nie jest ostrzegany przed konsekwencjami tego posunięcia, nie musi podawać żadnych danych ani niczego potwierdzać, nawet jeśli na powiązanym koncie używa dwuskładnikowego uwierzytelniania.

Parowanie urządzeń

W przeglądarce tymczasem wyświetli się sugestia „Ustaw, aby ten komputer był cały czas sparowany z Twoim telefonem, nawet jeśli zamkniesz tę kartę”. Obojętnie, czy się na to zdecydujemy, czy nie, swój wybór będziemy mogli potem w ustawieniach zmienić. Najważniejsze, że od razu uzyskamy na komputerze dostęp do wszystkich SMS-ów i MMS-ów znajdujących się na sparowanym telefonie – będziemy mogli je przeglądać, usuwać oraz na nie odpowiadać. Po wybraniu opcji „Rozpocznij czat” zobaczymy listę kontaktów pobraną z naszego smartfona i będziemy mogli wysłać wiadomość do dowolnej z uwzględnionych na niej osób – sprawdziliśmy, to działa. Bez problemu wyślemy też SMS-a na numer spoza listy. Oszuści, jak udało nam się ustalić, korzystają z obu wymienionych możliwości.

Dostęp do SMS-ów i kontaktów w przeglądarce

Nowe SMS-y, zarówno wysłane, jak i odebrane, będą widoczne na obu sparowanych urządzeniach. Skasowanie któregoś na jednym z nich spowoduje, że zniknie on także z drugiego. Na telefonie nie zobaczymy żadnych powiadomień, dopóki nie zaczniemy czegoś robić w przeglądarkowej wersji Wiadomości, a i wtedy jedyne, na co możemy liczyć, to mała ikonka u góry ekranu, którą łatwo przeoczyć, jeśli często otrzymujemy powiadomienia z różnych aplikacji. Dopiero gdy przejdziemy do nich, przesuwając palcem z góry na dół ekranu, przeczytamy informację „Twoje wiadomości są dostępne na sparowanym urządzeniu” i będziemy mogli skorzystać z opcji „Rozparuj”.

Rozparowywanie urządzeń

Jeśli nie zrobimy tego od razu i ukryjemy powiadomienie, to później będziemy musieli udać się do ustawień aplikacji, ponownie znaleźć opcję „Parowanie urządzenia” i kliknąć w krzyżyk przy komputerze, na którym nie chcemy pokazywać naszych SMS-ów. Zerwać parowanie możemy również z poziomu komputera. Telefon da się sparować z kilkoma komputerami naraz, dlatego dostępna jest opcja „Anuluj sparowanie wszystkich urządzeń”.

Podsumowując, jeśli korzystamy z tej funkcji sami – z pełną świadomością, jak ona działa – to raczej nic nam nie grozi. Jeśli jednak zeskanujemy aplikacją „Wiadomości” kod QR wysłany przez przypadkową osobę, to możemy mieć nie lada problem.

A skoro już tu jesteście…

Śledzenie przestępców na Discordzie uświadomiło nam, że w sieci mało jest informacji o tym, jak to robić skutecznie. Dlatego już 22 marca Adam opowie na żywo, jak prowadzić śledztwa OSINT na Discordzie i podzieli się wiedzą zgromadzoną przy okazji tego śledztwa (oraz kilku innych). Uwaga – tylko do 8 marca obowiązuje najniższa cena, potem już tylko rośnie.

PS. Tak, nagranie będzie dostępne dla wszystkich zarejestrowanych uczestników.