Nasz rzecznik to jednak złoty człowiek jest! To nie wazelina. Po prostu Wojtek za każdym razem, gdy trafi na coś podejrzanego, podsyła do mnie. Dzięki temu jest bezpieczniejszy, a mi czasami wpadnie naprawdę fajny phishing do opisania.
Pamiętacie jeszcze czasy przed pandemią Covid-19? Ja niektórych z ich aspektów nawet nie mam ochoty pamiętać, np. tych, gdy fanaberią była praca zdalna, lub współpraca online. To akurat zmiana na lepsze, nikogo nie powinno więc dziwić, gdy przychodzi do niego taki mail:
Wojtka jednak zdziwiło – i bardzo dobrze!
Spojrzeliście na adres nadawcy? Jeśli czytacie bloga regularnie to na pewno tak! Wojtek też i to właśnie zapaliło mu w głowie czerwoną lampkę z hasłem „phishing”. Gdyby nadawca miał adres w naszej domenie pocztowej – być może niedoszła ofiara by kliknęła. A może właśnie też nie, bo najpierw przyszłoby jej do głowy sprawdzić dokąd prowadzi link? A ten nie prowadzi do witryn Microsoftu, tylko do domeny
hxxps://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link[.]translate.goog
Co jest z nią nie tak? Kilka rzeczy. Po pierwsze nie ma nic wspólnego z MS Teams (o tym już było). Po drugie – zaczyna się od ciągu losowych znaków. To tak zwany DGA, domain generation algorythm. Tego typu subdomeny to jeden z istotnych deskryptorów witryny phishingowej. No i domena główna. Z czymś wam się kojarzy?
Co tu jest do tłumaczenia?
Tak, to domena Google Translate. A odpowiadając na pytanie ze śródtytułu – oczywiście nic. To sprytny pomysł oszustów na ominięcie systemów bezpieczeństwa. Tłumacz Google to ogólnodostępny serwis o wysokiej reputacji, więc część systemów nie będzie jej brać pod uwagę jako phishingu. Nasza CyberTarcza jest sprytniejsza, bowiem nie zakłóca dostępności całego serwisu, pozwalając na odcięcie dostępu do konkretnej złośliwej ścieżki.
Wchodząc jednak na główną stronę, zobaczymy to:
Jeśli więc trafi do nas taka domena, a nie znamy szczegółowego URLa, powyższe można zinterpretować jako fakt, że w tym przypadku phishing jest już przeszłością, kampania przestępców jest już zakończona, a witryny blokować nie trzeba.
Gdzie ten phishing?
Żeby paść ofiarą ataku trzeba bowiem mieć dokładny link. W przypadku Wojtka wyglądał jak poniżej (zmieniłem tylko maila, na CERTowego).
hxxps://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link.translate[.]goog/alldomain.html?_x_tr_hp=bafybeidklx&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#cert.opl@orange.com
Po jego wpisaniu pojawia się coś takiego (oczywiście nie w sieci Orange Polska – tu działa CyberTarcza):
Paska Google Translate oczywiście ukryć się nie da, ale jeśli adresat jest skupiony na głównej treści, zazwyczaj po prostu go nie zauważy. To się da wyjaśnić pewnymi mechanizmami psychologicznymi.
Cóż jednak w tym phishingu jest wyjątkowo ciekawego? Spróbujmy zmienić adres mailowy ofiary:
A czy innego operatora komórkowego też da się zaatakować? 😉
To może w Gazeta.pl?
O, tutaj nie. Zwróćcie jednak uwagę, że w wyskakującym okienku pojawiło się logo serwisu docelowego. Czy to znaczy, że oszuści zrobili tylko połowę roboty? Niekoniecznie – to favicona ze strony głównej, zaciągana automatycznie. Po prostu akurat serwis gazeta.pl nie był celem tej konkretnej kampanii.
Co robić?
Jak zawsze – nie wierzyć! Czy też bardziej, jak uczą na kursie na prawo jazdy, stosować Zasadę Ograniczonego Zaufania. Po prostu zapamiętaj raz na zawsze (a ja i tak będę to do znudzenia powtarzał):
Jeśli logujesz się do jakiegokolwiek serwisu, upewnij się, czy adres w oknie przeglądarki jest prawdziwy!
No i czytaj całą stronę. Naprawdę całą. Wtedy obecność belki Tłumacza Google, gdy masz niby korzystać przykładowo ze strony Orange zaniepokoi Cię do tego stopnia, że nie wpiszesz tam swoich danych! A podejrzanego maila wyślesz do nas – na adres cert.opl@orange.com.
