Phishing nadal ma się dobrze

11 stycznia, 2017

Badacze z Centrum Bezpieczeństwa Imperva (IDC) odkryli nowe sposoby stosowane przez przestępców do obniżenia kosztów kampanii phishingowych. Działalność taka jest prowadzona przy użyciu przejętych serwerów, które są odpowiedzialne za dystrybucję wszelkiego rodzaju malware. W opisywanym raporcie zaprezentowano różnorodne formy kampanii phishingowych.

Działalność phishingowa często jest prowadzona i dyrygowana poprzez przejęte serwery, których administratorzy i pełnoprawni użytkownicy korzystający z tych serwisów pozostają nieświadomi odbywającego się za pośrednictwem zasobów serwera procederu. Głównym motywem cyberprzestępców jest oczywiście minimalizacja kosztów i ukrycie tożsamości atakującego. Dokument „The 2016 Verizon Data Breach Invastigation Raport” wykazał znaczący wzrost ataków phishingowych zakończonych sukcesem.

Na tropie

Jeden z badaczy IDC otrzymał e-mail z wyglądającym wiarygodnie żądaniem logowania do Adobe PDF Online. Formularz logowania wydawał się autentyczny, jednakże adres URL wzbudził – jak się później okazało – słuszne podejrzenia. Podążając tropem tej próby wyłudzenia danych dostępowych, badacze odkryli rozległą sieć kampanii phishingowych korzystających z przechwyconych serwerów służących za łączenie przestępców z ich ofiarami. Prowadzący internetowe śledztwo przedstawili proceder zarówno z punktu widzenia ofiary jak i napastnika. Przeanalizowali techniki ataku oraz koszty i potencjalne zyski przestępczej działalności.

Jak już wspomniano, dochodzenie miało swój początek wraz z otrzymaniem odnośnika wymagającego zalogowania się do jednej z usług Adobe.

01
Fałszywa strona logowania Adobe PDF Online
02
Okazało się, że kod źródłowy podejrzanej strony zawierał komentarz z pseudonimem przestępcy – Alibobo 360
03
Sprawdzono również komponenty formularza, gdzie odkryto pozornie nieszkodliwą stronę PHP – mgbada.php

Następnie skoncentrowano uwagę na serwerze, z którego pochodził podmieniony formularz. Serwer okazał się być częścią infrastruktury opartej o „cPanel”. Napastnicy do ataku na przedmiotowy serwer wykorzystali backdoor od Fullmagic Community, który zazwyczaj jest kojarzony z hakerami z Indonezji. To złośliwe oprogramowanie pozwala na przejecie kontroli nad zaatakowanym serwerem. Analizując pliki i ich daty ustalono, że do infekcji doszło około połowy czerwca 2016.

04
Panel sterowania C&C.

Przestępcy używając skompromitowanego serwera przeprowadzili trzy akcje phishingowe wykorzystując Outlook Web Application, strony związane z bankowością internetową oraz wspominany Adobe PDF Online. Co więcej agresor (nie udało się ustalić, czy za procederem kryje się więcej niż jedna osoba) regularnie zarządzał swoimi działaniami i je nadzorował.

05
Podrobione formularze

Próby wyłudzeń danych od użytkowników Outlook Web App i Wells Fargo (bank) były tylko wizualnie podobne do oryginalnych formularzy logowania. Natomiast podmieniona strona do Adobe PDF Online była bardziej zaawansowana, zawierała też wszystkim znane logo Adobe. W kampanii OWA wykorzystano materiały z przypadkowego serwera, który jedynie używa podobnej infrastruktury.

06
Porównanie oryginalnej i sfałszowanej strony logowania do Outlook Web Application

Na wykorzystanym serwerze ujawniono szereg umieszczonych tam skryptów, które przetwarzały pozyskane podstępem od ofiar dane i wysyłały je na zdalne konta pocztowe. Wszystkie te skrypty cechował niski poziom wykrywalności na VirusTotal.com (1/55).

Sposób działania agresora można poznać przyglądając się kodowi źródłowemu „mgbada.php”. Dane wprowadzone w formularzu (Adobe) po przetworzeniu są przesyłane na konto Gmail (homead01[@]gmail.com), które jest kontrolowane przez przestępcę. Na koniec w celu utrzymania ofiary w nieświadomości, przestępca przekierowuje poszkodowanego do oryginalnej strony logowania. Nieuważny użytkownik zobaczy jedynie nieudaną próbę logowania i powtórzy czynność już na właściwym formularzu. Mówiąc w skrócie – omawiany atak phisingowy składa się z trzech głównych elementów:

  • Stron i formularzy oszukujących użytkownika.
  • Zewnętrznych kont, na które trafiają dane.
  • Serwera C&C.
07
Schemat działania

Zespół badaczy dotarł do plików zawierających dane poszkodowanych. Lista zawierała około 600 wpisów, zdobytych w ciągu 13 dni. Po odfiltrowaniu duplikatów pozostało 140 unikalnych rekordów, a jest to niestety tylko czubek góry lodowej, ponieważ te dane z powodu błędu technicznego nie zostały przesłane dalej. Całkowita liczba ofiar została oszacowana na co najmniej 14,000.

Socjotechnika

Socjotechnika jest bardzo istotnym elementem działalności opartej na phishingu. 35% udanych ataków następuje między godziną 9 rano a południem. To wtedy, pracując, jesteśmy najbardziej zajęci, rozkojarzeni i najbardziej podatni na manipulację. Niestety, kolejny raz potwierdza się, że człowiek jest najsłabszym ogniwem w systemie zabezpieczeń. Skuteczną przynętą okazują się załączniki, których otwarcie wymaga zalogowania się na zewnętrznej stronie internetowej.

Scammer

Namierzany oszust posługiwał się przynajmniej dwoma adresami:

  • homead01[@]gmail.com
  • koncungaja[@]yahoo.co.id

Drugi z tych adresów powiązany był z szeregiem stron mających wiele wspólnego z różnorodnymi nielegalnymi działaniami. Wszystkie te tropy wskazywały na indonezyjską grupę Fullmagic Community, która ponosi odpowiedzialność za ataki na cele w USA, Australii i Indonezji. Internetowi detektywi dotarli nawet do profilu jednego z przestępców na Twitterze:

08
Zdjęcie przestępcy.

Phishing jako usługa (PhaaS)

Na rosyjskim czarnym rynku działa swego rodzaju sklep oferujący usługi związane z phishingiem. Sprzedawca oferuje kompleksowe rozwiązania, którymi może z powodzeniem posłużyć się nawet początkujący oszust. Część oferty jest darmowa, reszta natomiast dostępna po wykupieniu konta VIP. Całość obsługi sprowadza się do wyboru strony mającej wyłudzać dane. Po dokonaniu wyboru generowany jest link, który zostaje wysłany do potencjalnych ofiar. Przechwycone dane trafiają wprost do klienta.

Opis tego narzędzia na AVLab.

09
Caption
10
Caption

Najwyższa stawka za dostęp do konta VIP wynosi zaledwie 270 rubli (około 4,5 dolara lub 18,5 PLN) miesięcznie. Tak niski koszt może sugerować kradzież danych klientów. Na stronie sklepu można znaleźć statystyki, które zdradzają, że tylko jednego dnia za pośrednictwem sprzedanych usług, skradzionych zostało niespełna 1700 różnorodnych kont.

Alternatywą dla PhaaS jest zakupienie poszczególnych „usług”. Po pierwsze, oszust potrzebuje sfałszowanych stron, a w sprzedaży jest mnóstwo ofert dotyczących bankowości, mediów społecznościowych, usług telekomunikacyjnych i wiele innych. Koszt jest tutaj szacowany na około 4,5 dolara za stronę. Przestępca musi mieć też możliwość wysyłania wielkich ilości wiadomości. Serwer SMTP umożliwiający wysyłanie setek tysięcy takich wiadomości to wydatek od 1,25 do 3 USD. Kolejnym elementem kampanii są adresy mailowe, na które mają trafić spreparowane wiadomości. Tutaj koszt wacha się miedzy 2 a 25 dolarów.

11
Przykładowe ceny.
12
Jeszcze więcej ofert.

Ostatnim wydatkiem jest koszt (5 – 20 USD) serwera C&C dla podrobionych stron:

13
Panel administracyjny C&C (cPanel).

Podsumowując, w tym przypadku cyberprzestępca jest zmuszony zainwestować ponad 27 dolarów. W związku z tym już na pierwszy rzut oka widać, jak bardzo atrakcyjny dla oszustów jest PhaaS. Z pewnością należy spodziewać się wzrostu popularności takich usług, zarówno ze względu na na cenę, jak i prostotę obsługi.

Zapobieganie

Jak już wspomniano, najsłabszym ogniwem są ludzie – użytkownicy, a zabezpieczenia po stronie serwera WWW oferują najpewniejszą ochronę. Pozytywne efekty przynosi blokowanie znanych adresów phishingowych oraz dynamiczne blokowanie podejrzanych wzorców zawartych w kodach źródłowych. Zastosowanie sytemu ochrony aplikacji webowych (WAF, ang. web aplication firewall) pozwala na automatyczną ochronę przed wieloma rodzajami ataków na serwer WWW. Oczywiście podnoszenie świadomości użytkowników jest wciąż niezmiernie istotne i nie może być pominięte.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]