Analiza ataku na użytkowników home.pl

Vikingus -

24.09.2020 miał miejsce atak phishing'owy nakierowany na użytkowników home.pl.

Phishing - "przebiegła metoda, której używa haker, aby nakłonić Cię do ujawnienia informacji osobistych, takich jak hasła lub numery kart kredytowych, ubezpieczeń i kont bankowych. Robią to poprzez wysyłanie fałszywych e-maili lub przekierowywanie na fałszywe strony internetowe" - definicja AVAST.com

Polemizowałbym z tą "przebiegłością" w definicji, bardzo rzadko tego typu ataki są "przebiegłe" o ile nie są ukierunkowane na konkretny pojedynczy cel. Nie dlatego, że atakującym brak polotu ale dlatego, że nie muszą.  "Ofiary" i tak się znajdą. Zanim nastąpi blokada fałszywych stron mija kilka, kilkanaście godzin i przez ten czas i tak znajdzie się duża grupa osób, których finanse zostaną poważnie uszczuplone.

Socjotechnika

  • Aby uwiarygodnić atak w treść wiadomości wstawiono logo home.pl,
  • wiadomość zawiera elementy "niepokoju", krótki termin zapłaty, zagrożenie zawieszeniem usługi, dodatkowe koszty,
  • element "bezpieczeństwa", wiadomość podpisana przez kobietę, która na pewno dobrze sprawdziła stan naszej usługi,
  • brak szczegółowych danych kontaktowych. Gdyby mimo wszystko u ofiary pojawiły się wątpliwości i chciał/a/by sprawdzić wiarygodność "Pani Magdy" to musiał/a/by poszukać numeru telefonu do "Działu Obsługi Klienta". Dodatkowa czynność, której nie chce się wykonać lub nie ma na to czasu,
  • aby uśpić czujność, wiadomość wysłana jest na wszystkie "publiczne" konta mailowe ofiary.

Jak tracimy pieniądze?

Po kliknięciu w link, następuje przekierowanie na stronę fałszywego panelu klienta. Od kilku miesięcy panel klienta wygląda tak: https://panel.home.pl. Ale jak widać przestępcy w ogóle się tym nie przejmują.

  1. Strona zabezpieczona jest certyfikatem, czyli dla ogromnej rzeszy ludzi jest "bezpieczna",
  2. subdomena zawiera wyraz "homepay", przecież mamy zapłacić za usługę w home.pl, czyli raczej wszystko jest OK,
  3. tytuł strony także się zgadza.

Po "zalogowaniu" jesteśmy przekierowywani do Panelu Płatności. W rzeczywistości taki panel nie istnieje, jednak serwisy często zmieniają wygląd i dodawane są nowe funkcjonalności, także nie musi to wzbudzić czujności potencjalnej ofiary. I tutaj według mnie, poważny błąd ze strony phisherów, płatność na niewielką kwotę w euro. W home.pl opłaty są o wiele wyższe ?. Ale jak ktoś już dotarł do tego momentu, na taki drobny szczegół zapewne także nie zwróci uwagi.

Na tym etapie "operator" posiada już pełne dane naszej karty i może zlecić transakcję obciążającą nasze konto. Potrzebny jest mu tylko kod uwierzytelniający wysyłany sms'em o co zapyta na kolejnym ekranie ?.

Phisher przygotowany jest na wiele przelewów. Kolejny ekran służy do pobierania kodów uwierzytelniających kolejne transakcje.

Podsumowanie

Czy możemy mówić, o wycieku danych klientów z home.pl ?

Nie mam do tego podstaw. Wiadomości zostały wysłane na konta email, które są "publicznie" dostępne i każdy może wejść w ich posiadanie. Wiadomość nie została wysłana na moje konto admina, ale to mogło być celowe działanie. Konta potencjalnych administratorów mogły zostać odfiltrowane, aby opóźnić moment wykrycia ataku.

Skąd przestępcy wiedzą, że serwer pocztowy obsługiwany jest przez home.pl ?

To również jest bardzo łatwe do ustalenia. Dane klientów home.pl nie są do tego potrzebne.

Jak się ustrzec ?

Znam ludzi, zawodowo zajmujących się bezpieczeństwem teleinformatycznym, którzy dali się oszukać. Czy to źle o nich świadczy ?. Przyczyną zazwyczaj jest pośpiech. Spraw związanych z finansami nie powinno robić się "na kolanie". Wtedy umykają nam szczegóły, które w normalnych warunkach byłyby nie do zaakceptowania. Jeszcze jeden faktor jest niezwykle istotny. Alkohol. Będąc pod "wpływem", odkładamy komputer/telefon na półkę ?.

I chyba najważniejsza uwaga, serwisy społecznościowe, komunikatory, w ogóle internet to nie jest wasz przyjaciel. Nie umieszczajcie tam żadnych danych prywatnych. Począwszy od szkól, poprzez miejsca pracy, zdjęcia, daty urodzenia, numery telefonów, miejsca aktualnego pobytu, zamieszkania itp, itd.

I ponownie zwracam uwagę na dodatkowe uwierzytelnienie mechanizmów logowania do serwisów internetowych. Gdzie można tam włączmy !!!