O mnie Moje standardy Książka Blog Video Blog
Menu
O mnie Kontakt

Nowy rodzaj ataków phishingowych na banki (film, 15m)

phishing cyberprzestępczość bezpieczeństwo bankowość aplikacje mobilny PWA świadomość edukacja online

Mateusz Chrobok w swoim najnowszym filmie omawia wzrastający problem ataków phishingowych, które stają się coraz bardziej wyrafinowane. Różne formy phishingu, takie jak podejrzane reklamy w mediach społecznościowych czy fałszywe wiadomości SMS, są codziennością użytkowników Internetu. W filmie podkreśla, że przestępcy nieustannie wymyślają nowe metody, aby oszukać swoje ofiary. Jednym z najnowszych trendów jest kampania skierowana szczególnie na użytkowników urządzeń mobilnych w Czechach, a w szczególności klientów Czeskosłoweńskiej Obchodni Banki. W skomplikowanym procesie ataku, cyberprzestępcy wykorzystują metody inżynierii społecznej, aby nakłonić użytkowników do zainstalowania fałszywej aplikacji, która wygląda na aktualizację legalnej aplikacji bankowej.

W środku ataku, ofiary są bombardowane fałszywymi powiadomieniami o konieczności aktualizacji aplikacji bankowej. Kliknięcie w odpowiedni link prowadzi do pobrania tak zwanej aplikacji PWA, która jest na pozór identyczna z oryginalną aplikacją bankową. W tym miejscu jednak internetowa pułapka skrupulatnie przygotowuje użytkownika do ujawnienia danych logowania oraz kodów autoryzacyjnych. System PWA pozwala przestępcom na dostęp do informacji, które są szczególnie interesujące dla hakerów. Po zainstalowaniu, aplikacja prosi o podanie loginu i hasła, każdy taki krok przybliża hakerów do zdobycia pieniędzy użytkownika.

Następnie, po wprowadzeniu danych, zamaskowana aplikacja generuje prośbę o kod autoryzacyjny, który użytkownik również przekazuje, mając nadzieję, że to pomoże mu się zalogować do swojego konta. Niestety, zamiast logowania, kod trafia w ręce przestępców, co otwiera drogę do kradzieży pieniędzy. Taki przebieg ataku ukazuje, jak łatwo można stracić wszystkie środki za jednym zamachem bez żadnych poważniejszych zabezpieczeń ze strony systemu bankowego.

Chrobok przypomina, że skuteczne przeciwdziałanie tym atakom to nadal ogromne wyzwanie. Pomimo wysiłków, takich jak blokowanie phishingowych SMS-ów na poziomie operatorów telekomunikacyjnych, przestępcy zawsze znajdą nowy sposób, aby zrealizować swoje przestępcze plany. Dodatkowo, użytkownicy powinni obawiać się korzystania tylko z uwierzytelnienia SMS, gdyż jest to technika coraz rzadziej uważana za bezpieczną. Zamiast tego prosi o korzystanie z aplikacji autoryzacyjnych, które zapewniają znacznie wyższy poziom bezpieczeństwa.

Na koniec film kończy się przypomnieniem o utrzymaniu wszystkich aplikacji w najnowszej wersji oraz stosowaniu wieloetapowej weryfikacji w każdej usłudze, która to umożliwia. Mateusz Chrobok dodatkowo wskazuje, że w momencie pisania artykułu film zdobył 44626 wyświetleń oraz 2293 polubień. W miarę rosnącej liczby użytkowników korzystających z Internetu i zaawansowanych ataków phishingowych, regularne edukowanie społeczeństwa jest kluczowe w zapobieganiu takim incydentom.

Toggle timeline summary

  • 00:00 Wprowadzenie do ataków phishingowych, które odbywają się codziennie.
  • 00:03 Promocja fantastycznych możliwości inwestycyjnych w akcje.
  • 00:11 Wzmianka o politykach zachęcających do tych inwestycji.
  • 00:19 Otrzymywanie phishingowych e-maili i SMS-ów proszących o kliknięcie w linki.
  • 00:30 Wysiłki CERT Polska w walce z phishingiem.
  • 00:55 Wprowadzenie do rewolucyjnych kampanii phishingowych opisywanych przez badaczy.
  • 01:11 Celowanie w użytkowników mobilnych w Czechach.
  • 01:20 Skupienie na klientach dużego czeskiego banku.
  • 01:26 Standardowa procedura ataków phishingowych.
  • 02:09 Taktiki phishingowe z wykorzystaniem przekonywujących fałszywych stron internetowych.
  • 03:39 Wyjaśnienie progresywnych aplikacji internetowych (PWA) i ich ryzyk.
  • 03:52 Korzyści i funkcjonalności PWA.
  • 05:00 Ograniczenia PWA jako rozwiązania.
  • 07:21 Szczegółowy opis scenariusza ataku phishingowego.
  • 08:18 Jak napastnicy wykorzystują dane logowania uzyskane w wyniku phishingu.
  • 10:13 Dyskusja o tym, jak bronić się przed takimi atakami phishingowymi.
  • 12:34 Znaczenie uwierzytelniania wieloskładnikowego i aktualizowania aplikacji.
  • 14:23 Podsumowanie i ostatnie porady.
  • 14:35 Podziękowanie i wiadomość pożegnalna.

Transcription

Cześć! Z atakami phishingowymi mamy do czynienia na co dzień. Wyświetlają nam się w mediach społecznościowych reklamy fantastycznych inwestycji w akcje Baltic Pipe, Orlen czy inne złoto. Zachęcają nas do nich przecież tak Duda jak i Tusk, więc skoro w tej kwestii jest porozumienie ponad podziałami, to na pewno przecież nie da się na tym stracić. Dostajemy też te wszystkie maile czy smsy, gdzie mamy kliknąć w linka, bo musimy złotóweczkę dopłacić do paczki, bo ta inaczej nie przyjdzie, to pewne. Próbuje z tym walczyć m.in. CERT Polska, ale to wciąż właśnie phishing odpowiada za ogromną większość kradzieży pieniędzy w sieci. Niestety cyberprzestępcy też nie zasypiają gruszek w opiele i również w tej kwestii próbują nowych sztuczek. Jedną z takich nowych i w sumie dość rewolucyjnych kampanii cyberprzestępczych opisali niedawno badacze ze słowackiego ESETa. Co w niej takiego specjalnego? Już tłumaczę. Zapraszam. Zacznijmy od określenia celu. Na opisywane ataki narażeni są użytkownicy urządzeń mobilnych, głównie zlokalizowani na terenie Czech z pominięciem kralowca. Kampania skupia się na klientach jednego z największych banków naszych krecich przyjaciół. Czeskosłoweńska Obchodni Banka. Na początkowym etapie wszystko przebiega tak jak zawsze. Szuka się sposobu, aby zmusić ofiarę do kliknięcia w złośliwy odnośnik. Czy to za pomocą jakiejś reklamy w mediach społecznościowych, gdzie obiecuje się jakieś nagrody za zaktualizowanie aplikacji banku do najnowszej wersji, czy też wykorzystuje się smsa. Stosuje się np. roboty automatycznie dzwoniące do atakowanych, pewnie zresztą spufujące numer telefonu banku i odtwarzające im nagrane komunikaty, że stosowana przez nich wersja aplikacji do bankowości elektronicznej jest już przestarzała. Więc niby bank w trosce o bezpieczeństwo prześle im linka do takiej nowej, aktualnej, a tym samym na pewno przecież bezpiecznej. Wystarczy kliknąć. Ba, czasem zresztą pomija się w ogóle etap dzwonienia, po prostu w ciemno wysyłając od razu wiadomość i licząc, że a noż widelec, czy inny element zastawy, ktoś kliknie w odnośnik. Jeżeli to zrobimy korzystając z urządzenia mobilnego, zaprezentowana zostanie nam strona łudzącą, przypominająca swoim wyglądem natywny sklep z aplikacjami albo serwis prawie identyczny jak ekran powitalny aplikacji bankowej. Zaraz potem wyskoczy nam komunikat, że wersja aplikacji, z której korzystamy, jest już stara, nieaktualna i w ogóle fuj, więc musimy ją natychmiast zaktualizować. Kliknięcie aktualizuj w wyświetlonym komunikacie rozpoczyna dalszy etap ataku. Pomimo tego, że nasze urządzenie nie dopuszcza instalowania aplikacji ze źródeł innych niż oficjalny sklep, czy to Androida, czy iPhona, na nasze urządzenia trafia podstępem nowa apka. Jesteśmy zresztą przeprowadzani jak za rączkę przez cały ten proces, aby wykonać dokładnie te kroki, których potrzebuje atakujący, aby wszystko się powiodło, przynajmniej z perspektywy przestępców. W tym miejscu jednak pewnie wielu z Was zapala się czerwona lampka. No bo jak to? Skoro nie ma możliwości instalowania aplikacji spoza sklepu, to taki scenariusz jest niemożliwy, prawda? Trochę tak, ale nie, w sumie to nie do końca. Bo za wszystkim stoi sprytne wykorzystanie mechanizmu PWA, czyli Progressive Web Apps. Co to takiego? Progressive Web App to rozwiązanie, które jest czymś pomiędzy stroną internetową a pełnowymiarową natywną mobilną aplikacją. Być może nawet się z tym spotkaliście odwiedzając jakiś serwis, który zapytał Was, czy nie chcecie do pulpitu swojego telefonu jednym kliknięciem dodać ich apki. PWA ma, obiektywnie patrząc, sporo zalet. Po pierwsze pozwala na łatwe przekształcenie strony internetowej w coś na kształt natywnej aplikacji, na urządzenia mobilne. Taka apka działa w środowisku przeglądarki internetowej, więc stworzenie jej jest banalnie proste. Znacznie prostsze i tańsze niż przygotowywanie dedykowanych aplikacji tak dla iPhona, jak i dla Androida. A potem dalsze ich utrzymywanie. Bo robimy coś raz i działa. Lepiej lub gorzej w obu ekosystemach. Taka PWA jest też w stanie korzystać z systemowych powiadomień, czy okien dialogowych, całkiem nieźle integrując się z naszymi urządzeniami i wygląda dużo bardziej elegancko niż jakaś przypadkowa strona, którą odwiedzamy. PWA po wyrażeniu przez nas zgody może nawet korzystać z kamery, mikrofonu czy lokalizacji, a nawet działać bez dostępu do internetu. Oczywiście nie oszukujmy się. To rozwiązanie skierowane jedynie do prostych projektów, bo ma ono wiele ograniczeń. Okazuje się jednak, że to wystarcza cyberprzestępcom. Bo to znaczne upodobnienie PWA do aplikacji pobieranych ze sklepów niesie za sobą również zagrożenia, których chyba nie przewidzieli twórcy standardu. Szczególnie, że w trakcie procesu ich dodawania do swojego telefonu nie pojawia się żaden komunikat, że możemy w ten sposób zainstalować coś niebezpiecznego, znane każdemu, kto instalował na Androidzie jakieś aplikacje spoza sklepu. Co warto przypomnieć, jest samo w sobie niebezpieczne i trzeba dobrze wiedzieć, co się robi. Tu jednak komunikatu nie ma, bo taka aplikacja PWA nie zagraża w żaden sposób naszemu telefonowi samemu w sobie czy zebranym na nim informacjom, bo te są dobrze od niej odseparowane. Jeżeli dodamy jednak do tego inżynierię społeczną, to sprawa szybko przestaje wyglądać różowo. Jeżeli zgodzimy się na instalację takiej aplikacji, to pojawi się ona na ekranach naszych telefonów i będzie prawie nieodróżnialna od innych apek zainstalowanych z oficjalnych źródeł. Okej, ikona może i ma mniej detali. Jest to w sumie tylko jej wycinek, a wszystko przykrywa małe logo przeglądarki internetowej. Nieważne, i tak wiele osób się nabierze, bo jest wystarczająco podobna. Zresztą w Androidzie taka aplikacja PWA jest dodatkowo automatycznie konwertowana na format WebAPK, który już zdecydowanie bardziej przypomina natywną aplikację. Ikona jest lepszej jakości i znika z niej logo przeglądarki. Ba, nawet w informacjach o niej dowiemy się, że pobraliśmy ją ze sklepu Play, co nie tylko nie jest prawdą, ale też pozwala naprawdę łatwo się pomylić. Kierujemy ikonkę tej nowo zainstalowanej aplikacji, myśląc, że korzystamy z legitnej, świeżo zaktualizowanej, a więc bezpiecznej apki swojego banku. Wszystkie wprowadzone w niej informacje trafiać będą do cyberprzystępców. Mowa tak o loginie, haśle, ale też kodach jednorazowych do uwierzytelniania poszczególnych transakcji czy autoryzowania nowych urządzeń. Scenariusz całego ataku wygląda więc tak. Dzięki złośliwego linka jesteśmy przeprowadzani przez proces instalacji aktualizacji, który tak naprawdę dodaje do naszego urządzenia łudząco podobną do aplikacji naszego banku apkę PWA. Ta apka PWA kontrolowana jest przez cyberprzystępców i wszystko, co w niej zrobimy, trafia w niepowołane ręce. My jednak możemy o tym nie wiedzieć, bo wszystko wygląda naprawdę bardzo przekonująco. Kiedy już więc się zaktualizujemy, wyświetli nam się prośba o wpisanie loginu i hasła do bankowości elektronicznej. No przecież nie po to robiliśmy aktualizację, żeby nie sprawdzić, co tam nowego wymyślili, prawda? Wpisujemy więc swoje poświadczenia i klikamy za loguj. Nam wyświetla się jakaś klepsydra, czy wiadomość o tym, że aplikacja po aktualizacji musi się skonfigurować, co chwilkę potrwa, nasz login i hasło trafiają do cyberprzestępców. Ci natychmiast otwierają stronę logowania do banku i próbują się zalogować z wykorzystaniem naszych poświadczeń. No ale na straży naszego bezpieczeństwa stoi przecież weryfikacja dwuetapowa, prawda? No prawda. Zresztą wymusza to europejskie prawo w postaci dyrektywy PSD-2. Tylko że często jeszcze co bardziej leniwe instytucje korzystają w celu jej spełnienia z SMS-ów, a to niezbyt bezpieczne rozwiązanie. Kiedy atakujący zmuszony zostanie do podania kodu autoryzującego, po prostu wyświetli nam się taki komunikat w tej podstawionej aplikacji, że aby się zalogować, musimy podać kod. Jak przepiszemy go z SMS-a, ten wcale nie uwierzytelni logowania na naszym urządzeniu, ale trafi on do cyberprzestępców, którzy wykorzystają go i w ten sposób zalogują się do naszego konta po swojej stronie. My w międzyczasie nadal będziemy oglądać jakąś klepsydrę w oczekiwaniu na zalogowanie, kiedy złodziej zleci po swojej stronie szybki przelew na konto jakiegoś słupa. Ten przelew też oczywiście musi być autoryzowany kodem, ale to żaden problem. Znów wyświetli nam się komunikat, że za pierwszym razem na pewno podaliśmy przecież błędny kod i mamy podać następny. Jednak ten kod nie uwierzytelnia już logowania, a zatwierdza przelew. No ale kto by tam patrzył, co jest napisane w treści wiadomości? Ileż można czekać? Liczy się tylko te sześć cyferek i żeby już przeszło, no. Wpisujemy więc kod, który przepisuje cyberprzestępca i w ten sposób właśnie w kilka minut straciliśmy z konta wszystkie swoje pieniądze, których już nigdy nie odzyskamy. Zobaczymy w ekran logowania, denerwując się, że coś nam ta nowa apka po aktualizacji chodzi jak stary traktor. Ewentualnie zobaczymy komunikat, że coś poszło nie tak i mamy odczekać kilka godzin, bo trwa serwis systemu. Głupi banczek. No i owszem, korzystając z autoryzowania prawdziwą apką banku, a nie SMSami, pewnie nie damy się nabrać. Albo jeżeli czytamy, co jest w ogóle napisane w treści wiadomości, które otrzymujemy. Ale wystarczy, że nabierze się co setne atakowane. To i tak zapewni przestępcom stały i szeroki strumień szmalu, utrzymując ich biznes. Tylko kto za tym wszystkim stoi? Cóż, okazuje się, że sprawa nie jest wcale taka prosta. Badacze z ESET-a twierdzą, że atakujących jest co najmniej dwóch i są to niezależne od siebie podmioty, a nie jakieś dwie powiązane ze sobą grupy, stosujące po prostu nieco inne metody. Ci pierwsi korzystają z bota na Telegramie do przekazywania poświadczeń i kodów wpisywanych przez ofiarę do operatorów całej akcji. Następnie serwer zbiera te wszystkie skradzione dane logowania, a te następnie trafiają na telegramowy czat grupowy. Stamtąd pobierają je poszczególni operatorzy, którzy próbują zalogować się na konta ofiar. Drudzy w tym celu wykorzystują swoją własną web-aplikację połączoną z serwerami kontroli CNC, zbierając informacje od poszkodowanych i dystrybuując je dalej w ten sposób. Kampanie te rozpoczęły się jakoś pod koniec zeszłego roku, ale operacyjność uzyskano dopiero wiosną roku bieżącego. Tylko czy Czesi są pierwsi i jedyni? Jak się okazuje, nie. Po pierwsze, nie są osamotnieni, bo odkryli, że podobne kampanie wycelowano również w klientów węgierskiego banku OTP oraz gruzińskiego TBC, z którym na marginesie miałem kiedyś okazję współpracować. Ale nie są też pierwsi, bo taki sam albo przynajmniej zbliżony sposób ataku opisywał już nasz rodzimy polski RIVSEK oraz CISIRTKNF jakiś rok temu, kiedy wycelowano podobny atak w klientów PKO. Serdecznie ich z tego miejsca pozdrawiam. Gitami jesteście, mordeczki. Nie zmieniajcie się. Czy można takim atakom przeciwdziałać? No w sumie to średnio. Owszem, próbujemy choćby blokować phishingowe smsy na poziomie operatorów telekomunikacyjnych, ale to jak walka z hydrą. Nie zrozumcie mnie źle. Dobrze, że walczymy, ale po odcięciu jednej głowy przeważnie wyrasta kilka kolejnych. W tym konkretnym przypadku próbuje się też blokować domeny na poziomie krajowych DNS-ów. To jednak zakłada po pierwsze, że w ogóle z nich korzystamy, a po drugie daje regulatorom władzę nad tym, co blokować, umożliwiając również cenzurę niewygodnych treści. Każdy kij, jak to zwykle bywa, ma dwa końce, a cyberprzestępcy szybko rejestrują kolejne adresy i zabawa zaczyna się od początku. Co robić i jak żyć? Skoro obserwujemy takie ataki u Czechów, to niedługo pojawią się one szerzej również u nas, o ile oczywiście wygenerują odpowiednie zyski. Dlatego jeżeli jeszcze korzystasz z wiadomości SMS do uwierzytelniania drugim składnikiem, to zastąp je czymś bezpieczniejszym, np. powiadomieniami wysyłanymi w aplikacji. Czytaj też za każdym razem komunikat, który opisuje, co zatwierdzasz, tak abyś, myśląc, że potwierdzasz logowanie ze swojego komputera, nie zezwolił złodziejom odzyskanie wszystkich środków swojego konta gdzieś, skąd nigdy już ich nie odzyskasz. Zawsze włączaj uwierzytelnianie wieloetapowe. Nie tylko w banku, gdzie jest to wymagane przez różne dyrektywy, ale też w każdej usłudze, która to umożliwia. Jeżeli nie chcesz używać moderowanych serwerów DNS, nadal możesz wykorzystać listy słuśliwych domen tworzone przez Certpolska. Są one dostępne publicznie. Na przykład u Bloku, czy AdGuardzie, jeżeli masz swój własny, lokalny serwer DNS. No i pamiętaj, żeby aktualizować na bieżąco aplikacje, z których korzystasz. Ale nactulu, nie rób tego z poziomu przeglądarki, a wykorzystaj do tego wbudowane możliwości sklepu Play czy App Store. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia! Napisy stworzone przez społeczność Amara.org

44626
https://www.youtube.com/watch?v=j2hL1YPOOBc Opublikowano 2024-09-20