De-a lungul timpului, am observat că diverse pagini de social media sau siteuri emit diverse campanii propagandiste cu următoarele scopuri:

1. afectarea încrederii populației în toate instituțiile publice de orice fel
2. crearea unui sentiment de panică, urgență sau stârnirea de emoții puternice
3. încurajarea redistribuirii prin emoții
4. creșterea număruluin de like-uri și followers
5. monetizarea conținutului vizionat de oameni

În copilărie, bunica mă tot avertiza să am grijă la pericolele internetului pe care ea nu îl înțelegea cu adevărat. Nu știa ce se întîmplă în cutia aia numită calculator, de unde vine internetul ăsta, iar ce se spunea la televizor era încă sfânt. Astăzi, atât bunica (80 ani), cât și sora ei sunt victime ale propagandei și ale tuturor înșelătoriilor de pe internet. De la electrocasnice cumpărate de la firme fantomă, donații prin poștă către asociații dubioase până la distribuiri de postări care par inofensive, dar în realitate nu sunt. Emoțiile pe care le promovoacă aceste postări și orgoliul lor de a nu arăta că au greșit le creează o rezistență incredibilă la a primi și alte păreri referitor la ce distribuie.Până la urmă, ce rău poate să facă dacă îți trimit o poză cu o pisică? Sau dacă te previn cu privire la un pericol pentru că m-am gândit la tine? Cam aici se limitează totul.

Astăzi, una dintre ele mi-a distribuit pe whapstapp un aparent comunicat venit din partea IGPR (Inspectoratul General al Poliției Române). Inițial, l-am citit cu interes, apoi au început să apară multe semne de întrebare. Inclusiv acum îmi este teamă puțin să nu fie un comunicat real, dar am o certitudine de 90% că nu este. În cele ce urmează, vom face o „analiză pe text”.

Acesta este mesajul pe care l-am primit pe whatsapp.

După cum se poate observa, whatsapp adaugă avertizarea de „Redirecționat frecvent” sau „Forwarded many times” dacă whatsapp este în engleză. Apare și o opțiune să putem căuta imaginea pe net ca să vedem ce reprezintă.

Am căutat imaginea pe Google folosind acel buton și am ajuns la o postare de pe facebook a unui cont denumit Adrian Prisecariu. Nu îmi pot da seama dacă este un cont fals sau nu deși majoritatea postărilor par lucruri virale sau generaliste.

Contul are 153 mii de urmăritori, la bio are mesajul „O familie fericită nu este altceva decât un rai timpuriu.” și își pune în prim plan copiii. Totuși, mă gândesc că nimeni nu și-ar face o pagină atât de publică și să îți pună poza cu copiii de până în 10 ani la profil și la cover. Este o expunere mult prea mare pentru ei. Din start, ceva nu se leagă. Mai mult de atât, are cont cu bifă albastră, deci, plătește abonament. Costurile sunt între 15 dolari și 500 dolari pe lună pentu acea bifă!

De menționat este că aceasta este o pagină de afacere, nu un profil de persoană. Încă un lucru care ar trebui să ne dea de gândit. Nu voi emite nici o judecată referitor la această pagină pentru că este posibil chiar să fie o persoană care să âncerce să strângă bani din conținut viral pentru o anumită cauză personală. Problema rămâne, ce este cu comunicatul IGPR? Intru în detalii imediat.

Acesta este presupusul comunicat.

Cu siguranta, acesta nu este un comunicat oficial. Politia nu se exprima astfel, mai ales în condițiile în care IGPR este o instituție mare, cu purtător de cuvând, cu oameni care verifică ce iese pe poarta instituției.

Câteva elemente care ar trebui să dea de gândit:

• sigla de slabă calitate
• antetul supradimensionat
• nu are aspect nici de document, ncii de comunicat
• fundalul este unul creat pe calculator deși seamănă cu hârtia mototolită. Se observă că textul nu este mototolit o dată cu fundalul
• Niciodată o instituție publică de orice fel nu va începe un document cu expresii de tipul „redirec’ionat frecvent”
• Textele sunt neprofesioniste
• Stimați proprietari este of formulă de adresare ciudată. Pare că nu ia în considerare toți oamenii sau că este o traducere nereușită
• propozițiile nu au predicat (unele)
• „Trimite-l tuturor grupilor” – clar este o eroare de traducere din altă limbă. De asemenea, poliția nu va comunica niciodată o astfel de exprimare
• Niciodată poliția nu se va exprima cu „sa stiți că”… „guvernului” cu g mic. Nici măcar un copil nu ar scrie un astfel de text neprofesionist.
• Un comunicat real ar avea: număr de înregistrare, dată, eventual semnătură / structură emitentă (ex: Direcția de Comunicare), contact (telefon/email oficial)
• lipsa comunicării pe canalele oficiale
• tonul este alarmist și vag, cum spuneam
• incoerență logică. Dacă ar exista o amenințare reală de acest tip: poliția ar recomanda apelarea la 112 ar exista descrieri clare ale suspecților / metodei Nu doar „nu le dați informații”.

Oare care este scopul acestei imagini? Sa induca panica? Sau sa mai șubrezească încrederea în autorități prin campanii direcționate subtil impotriva acestora? Apropo, niciodată pe un document nu se va scrie „redirectionat frecvent”. Aceasta este o tehncia de manipulare inspirată din faptul ca pe whatsapp apare o notificare atunci cand un mesaj este suspicios pentru ca este redirectionat frecvent. Cumva, se combate acel mesaj prin aparenta generare a unei legitimitati, folosindu-se de nume de institutii. Cu siguranta aceasta postare este manipulativa in moduri complexe.

Pe scurt, rolul ei pare să fie:

• să combată mesajul de avertizare al Whatsapp cu redirectionat frecvent si sa ii creeze legitimitate
• sa creeze o stare de panica
• sa slabeasca increderea in institutii prin mesaje aparent inovensive daca ar fi distribuite, dar care dau impresia ca institutiile nu comunica eficient si nici nine
• sa creeze impresia ca politia nu este in stare sa ii prinda pe faptasi si singura solutie este sa anunte populatia
• testarea viralității și obținerea de informații despre cine distribuie (cel mai probabil, se pot face niște corelări de date)
• mesajul construit să fie distribuit masiv, mai are și îndemnul la acțiune de tip „trimite tuturor”
• ar putea fi folosit în alte campanii de manipulare și de creare a unei enxietăți difuze

Tehnica aceasta se numește spoofing instituțional, mai exact, pentru că actorii rău intenționați se folosesc de elementele vizuale ale unei instituții pentru a comunica în numele acesteia.

Iată cum, analizând mai în detaliu, se confirmă că acesta este exemplu destul de bine construit de conținut manipulativ care: imită autoritatea, exploatează comportamente digitale (forward) și influențează percepțiile sociale (încredere, siguranță).

„Bună Paul ! Aș vrea să-ți cer o mică favoare: te rog să votezi pentru Silvia. Este fiica prietenilor mei, iar premiul este un curs gratuit de dans, care înseamnă foarte mult pentru ea”

Pare convingător pentru că mi-a folosit numele.

La accesarea linkului, pagina web pare inocentă deși linkul ar trebie să dea de gândit.

Primul lucru pe care trebuie să îl faci este să intri în setări la dispozitive conectate și să elimini tot. Apoi vei avea timp să ștergi mesaje și să răspunzi la apeluri. Este critic să faci asta în primele secunde, până când Whatsapp îți va bloca contul pentru spam timp de 24 ore.

Cum se realizează preluarea contului: 

Siteul cu pricina prezint[ o pagină de vot pentru 2 fete și solicită conectarea cu telefonul pentru a verifica prin cod unicitatea votului. Există și varianta scanării unui cod QR. Ulterior, va apărea fluxul de confirmare a furnizării accesului către un alt dispozitiv. Dacă până acolo nu ți-ai dat aseama, abia în acel moment ar trebui să nu te grăbești și să citești la ce dai acces.

Din păcate, siteul infectat a primit atât de mult trafic de la victime întrucât a picat.

Din păcate, nu am reușit să fac niște capturi de ecran pentru a explica modul în care este gândită campania de phising pentru că siteul a dispărut prea rapid.

• am descărcat câteva fișiere pe care le-am recunoscut vizual că nu aparțin wordpress și le-am analizat. Se pare că nici măcar nu au încercat tehnici mai complexe de obfuscare ca să fie greu de interpretat.
• în baza analizei, am putut identifica și alte fișiere care conțineau același cod
• într-unul dintre fișiere am identificat că se utiliza o opțiune din wp_options cu numele transient_sys_cache_vx. Evident că am efectuat o căutare după această variabilă pe care am șters-o. Am căutat și după vx atât în baza de date cât și în fișiere
• cea mai complicată etapă a fost curățarea pluginurilor vechi, a temei și a pluginurilor fantomă
• în mu-plugins am identificat un alt plugin fantomă
• în users am identificat utilizatori cu drept de admin care au fost eliminați
• după toate curățările, am securizat siteul, am optimizat permisiunile și am eliminat pluginul nulled.

later edit: se pare că atacul s-a realizat printr-o vulnerabilitate a pluginului WordPress File Manager ce a fost instalat la un anumit moment de un developer junior. Recomand ca în construirea siteurilor WordPress să se utilizeze un număr cât de mic cu putință de module pentru a limita posibilitatea de a intra în breșe de securitate de la oricare dintre vendorii acestora. Mai ales, recomand să se evite pluginurile care pot avea funcționalități prea complexe sau „periculoase”, cum ar fi un file manager.

Ce pot spune este că niciunul dintre soluțiile actuale nu au rezolvat problema, așa am ajuns să pierd mai mult timp decât speram. Wordfence, Sucuri, Malcare și Malcure  nu au curățat nimic. Și mai frustrant este că malcare mi-a arătat o alertă cum că 2 fișiere ar fi infectate, însă nu preciza și care dintre ele sunt. Prețul pentru a solicita o curățare era de 149 de dolari pe an pe care clientul sigur nu l-ar fi plătit și nici eu benevol. Malcure, în schimb, a identificate cele 2 fișiere, dar nu a permis curățarea fără un plan premium. Totuși, am putut merge individual la fiecare fișier și să le șterg manual. Pentru că instinctul meu nu m-a lăsat și curiozitatea mi-a făcut mâncărimi la mouse, am zis să văd ce e înăuntru, așa că am descărcat fișierele pentru o analiză mai aprofundată.

Așa am descoperit că și antivirusul de pe hosting ar fi detectat ceva, dar nu a fost suficient de abil să curețe tot. Unul dintre fișiere se numea hell_prison.php. Când Malcure a terminat scanarea, am văzut că și în baza de date mai era injectat un script, script care la rândul lui executa multe cereri către altre scripturi, totul foarte bvine mascat. Între timp, alte fișiere se multipicau pe server (ce conșineau cod obfuscat, encoded).

Am descoperit că unul dintre fișiere descărcat un cod obfuscat de pe github, aceasta fiind o altă tehnică pentru a face atacatprul să fie prins mai greu pentru că pare a fi un cod cât de cât legitim, mai ales fiind la un nivel minim de linii de cod. Pentru că multe fișiere din wordpress și toate pluginurile erau modificate, am instalat un plugin care mi-a permis reinstalarea lor forțată. Problema este că în tabela utilizatorilor apărea un utilziator cu drepturi depline de admin ce era imposibil de șters pentru că apărea instant.

Întrucât am observat ce fișiere încearcă să acceseze atacatorul prin sute de requesturi externe, am mai identificat câteva denumiri de fișiere pe care antivirusul de la hiosting nu îl putea identifica. Cireașa de pe tort a fost să descopăr un „plugin” care nu era vizibil ]n administrare, dar în fișiere da.  Acest plugin rula automat și nu putea fi dezactivat, dar rolul său era să creeze adminul. Pare că acesta a fost unul dintre primele fișiere create pe server de la atac și singurul neidentificat de nici o soluție de scanare.

În acest moment, siteul este curățat, cu prețul timpului meu și cu ărețul refacerii unor secțiuni ce nu au mai putut fi recuperate (petnru că am renunțațt la pluginurile pe care le-am considerat riscante), Siteul rămâne în monitorizare, dar sper că situația rămâne sub control.

PS: Așa arată un plugin fals. Acesta este un exemplu de virusl care vine in completarea celui anterior menționat.

Așa  arată un cod obfuscat menit să nu fie ințeles cu ușurință și pentru a ascunde activitatea suspectă

Așa arată un fișier curățat incomplet de antivirus

Fișier ce conține cod encoded base64 pentru a fi nedetectabil de către sistemele de securitate ale github.

Mesajul pare super verific pentru că designul este curat și folosește elementele vizuale ale CEC Bank (culori, logo, bannere).

Linkul către care se face trimitere duce la un site fals de pe alt domeniu, dar care se termină în „/cec/”. Acesta este un semnal că respectivul site conține mai multe pagini false, nu doar cea a CEC Bank.

Primul lucru pe care trebuie să îl verificăm la un astfel de email este de la cine vine.

Apoi, dacă ținem mouseul deasupra butonului sau imaginii unde se presupune că ar trebui să facem click, ne apare pagina de destinație

Aceste 2 elemente de verificare ar trebui să ne dea de gândit pentru că siteul oficial al bănci este cu siguranță altul.

Cu noroc, Google Chrome ne avertizează destul de rapid că siteul țintă este periculos. Dacă nu ne dăm seama că nu aparține de CEC, acest mesaj ar trebui să fie suficient.

Redau aici mesajul de tip tentativă

Draga Client, Am observat un utilizare neobișnuită a cardului dumneavoastră de credit de la adresa IP 213.162.80.119. Ca rezultat, am descoperit că altcineva a folosit cardul dumneavoastră fără permisiunea dumneavoastră. Ce ar trebui să faceți? Apăsați butonul de mai jos pentru a deschide o fereastră de browser securizată și urmați instrucțiunile pentru a efectua imediat o verificare a identității și pentru a revizui activitatea recentă. Mergeți la Internet Banking Notă : Vă rugăm să faceți acest lucru în 24 de ore, altfel va trebui să vă blocăm cardul pe termen nelimitat, deoarece ar putea fi folosit în scopuri frauduloase.Cele bune, Echipa CEC Bank

Ce găsim pe pagina de destinație?

La accesare, va aparea un formular ce solicită datele cardului. Nici o bancă nu vă va solicita ABSOLUT NICIODATĂ aceste informații, mai ales online. Nici măcar angajații băncii nu au acces la astfel de informații.

Dacă cumva ai completat din grabă informația (pentru că astfel de campanii se folosesc de grabă și frică), următoarea pagină îți va da de gândit pentru că afișează o imagine care se încarcă la infint, fără să facă nimic. În tot acest timp, atacatorul va încerca extrem de rapid să îți folosească datele, iar dacă nu va reuși, oricum le va vinde pe un forum. CNPul tău asociat cu emailul de pe care ai venit se pot vinde bine.

Concluzia: nu te grăbi niciodată, verifică orice sursă de informație!

PS: Tehnicile moderne de phising folosesc apelurile vocale și chiar video cu ajutorul inteligenței artificiale. Voi reveni cu articole despre cum să ne protejăm.

Update: Schema Followup

Cel mai interesant lucru este că, deși linkul suspect părea unul generic, acesta avea o denumite unică astfel încât să detecteze faptul că am făcut click.

Ulterior completării formularului care fură datele cardului, am primit un email de followup cu subiectul „Actualizare de securitate necesară pentru contul dumneavoastră”.

Atacul pare că schimbă strategia cu una de tip psihologie inversă pentru cazul în care cititorul și-a dat seama că este vorba de un spam. Cel mai interesant este că emailurile au ajuns în inbox și nu în spam.

De această dată, am primit mesajul de la alt sender, alt link, cu mesajul:

Stimate client,

Contul dumneavoastră a fost suspendat. Trebuie să activați noul sistem de securitate.

Ca răspuns la atacurile recente care au afectat multe sisteme bancare, CEC-BANK în parteneriat cu Poliția pentru consolidarea securității tranzacțiilor necesită actualizarea contului dumneavoastră în următoarele 48 de ore.
Activează Sistemul Nou

* Echipa noastră lucrează întotdeauna pentru a vă oferi tot ce este mai bun.

Vă mulțumim pentru încrederea acordată,

CEC-Bank

Interesant este că, pe pagina de destinație, niciunul intre câmpuri nu are filtre pentru o validare corecta.

Atacatorii au început să utilizeze CAPTCHA false pe diverse site-uri web pentru a păcăli utilizatorii și a compromite sistemele acestora. După ce utilizatorul bifează caseta „Nu sunt robot”, i se solicită să finalizeze pași suplimentari, aparent inofensivi.

Primup pas, prin apăsarea tastelor Windows + R, emite deschiderea ferestrei „Run” dacă dispozitivul este pe sitem de perare Windows. Pasul 2 cere apăsarea  tastelor CTRL+V, urmată de apăsarea tastei Enter. Acești pași vor insera din clipboard unscript care se va rula prin Windows. În realitate, această comandă descarcă și rulează un fișier malițios, compromițând astfel sistemul.

Această tehnică exploatează încrederea utilizatorilor în interfețele familiare ale CAPTCHA și combină ingineria socială cu metode sofisticate de atac pentru a livra malware pe dispozitivele victimelor. Pot cădea în capcană și persoane mai experiemntate întrucât poate face uz de neatenție și grabă.

Siteurile web pot avea acces la clipboard (memoria care stochează informația luată cu funcția „copy”), inclusiv prin scriere (să simuleze că am efectuat copy unui script, de exemplu).

Cum să recunoști un captcha fals

Paginile CAPTCHA legitime se găsesc de obicei pe site-uri web care necesită verificarea utilizatorului, cum ar fi paginile de conectare sau de creare a contului. Simpla vizitare a unui site cu CAPTCHA sau clic pe caseta de selectare „Verificați că sunteți om” nu va instala malware. Iată la ce să fii atent:

• Evitați orice site suspect, mai ales dacă conține inadvertențe, linkuri diferite față de cele uzuale sau modificări de design față de siteul pe care intenționați să îl accesați
• aveți grijă la paginile CAPTCHA care apar pe site-uri web neașteptate sau în aplicații, mai ales dacă au pași suplimentari de verificare. Dialogul de rulare (Tasta Windows + R) ar trebui să fie folosit doar de persoane tehnice, iar un site web nu ar trebui să aibă niciodată nevoie să rulați comenzi folosind această metodă.
• Verificați site-urile web: verificați întotdeauna adresa URL a site-ului web pentru a vă asigura că este legitim.
• mențineți aplicațiile software și sistemul de operare la zi și corectați vulnerabilitățile care ar putea fi exploatate de malware.
• utilizați un antivirus cu protecție web
• Nu urmați niciodată instrucțiunile cu acțiuni manuale. CAPTCHA-urile legitime nu vă vor cere să copiați-lipiți sau să executați scripturi. Dacă o fac, este un motiv de îngrijorare
• Dacă acțiunea apare într-un moment neașteptat sau când vă grăbiți, atunci este momentul să nu vă grăbiți

Una dintre cele mai alarmante tendințe este creșterea „Scam-Yourself Attacks” – o tactică avansată de inginerie socială care păcălește utilizatorii să-și compromită propriile sisteme. Cu o creștere uluitoare de 614% a acestor atacuri Scam-Yourself la nivel trimestrial, această tactică de manipulare psihologică continuă pare să fie unul dintre cele mai periculoase instrumente din arsenalul infracțional cibernetic.

Noua eră a trucurilor cibernetice este despre noi și cum putem fi păcăliți să ne compromitem singuri.

Cum au evitat filtrele anti-spam

Este interesant de precizat că toate emailurile spam au intrat în inbox și au făcut acel cont e-mail inutilizabil o perioadă, ca să nu mai zic de notificările enervante pe care prietenul meu le-a primit pe telefon.

Se pare că, actorul rău-intenționat a introdus în mod automatizat adresa de email a partenerului meu în mai multe formulare de abonare din cadrul a diferite site-uri legitime. Acest lucru a făcut ca mailurile să fie considerate ca fiind ok și să intre în inbox. Multe dintre siteuri aparțineau chiar unor branduri. O altă condiție îndeplinită simultan a fost ca trimițătorul să fie diferit pentru fiecare e-mail. Majoritatea e-mailurilor erau redactate ok, cu elementele necesare pentru confirmare subscribe, unsubscribe ș.a.m.d.

Între sutele de emailuri „corecte” am identificat și câteva trimise direct de pe servere compromise sau direct din conturi de email la care atacatorul a avut acces.

Nici un director antispam nu a atribuit scoruri negative acestor emailuri sau senderi.

Scopul email bombing?

Ca în orice tip de atac, scopurile pot fi multiple, de regulă. Este cel mai probabil ca un atacator să nu se mulțumească doar cu un singur tip de câștig dacă poate obține mai multe lucruri colaterale de la o victimă.

Inbox flooding

Un atacator ar putea inunda inboxul cuiva pentru a copleși serverul web sau pe cel de e-mail, făcându-l inutilizabil. Acest tip de atac este cunoscut sub numele de bombardament cu e-mailuri.

Atac DoS (Denial of Service)

Atacatorul poate urmări să blocheze în totalitate serverul tău și să atace inclusiv și alte porturi trimițând trafic către acestea și atacuri brute-force,

Phishing sau Spear Phishing

Prin valul de e-mailuri, ar putea exista încercări de phishing pentru a fura informații sensibile. Într-o formă mai țintită, cunoscută sub numele de spear phishing, e-mailurile pot părea că provin de la o persoană sau o afacere cunoscută. Acest tip de atac poate fi interesant pentru că se bazează pe neatenția utilizatorului și pe a-l manipula să facă ceva. Atunci când primești câteva mii de mailuri, prima ta intenție este să le ștergi pe cele spam și să le păstrezi pe cele bune. Asta înseamnă că vei citi câteva mailuri ca să te asiguri că nu ștergi ceva important. Aici poate fi „pusă în valoare” neatenția ta.

Campanie Spam

Este posibil ca pur și simplu cineva să fi vândut adresa ta de email către anumite liste de email marketing utilizate de alți spammeri sau actori ce nu au neapărat legătură cu atacatorul. Relația dintre aceștia poate fi una de tip client-furnizor. Sau dacă adresa ta se află într-o colecție de date sparte pe vre- platformă. ar putea să fie vândută alături de acele date.

Distragere

Atacurile pot avea rolul de a distrage atenția față de un alt atac în desfășurare. Este bine să nu ne grăbim și să verificăm întâi dacă nu suntem atacați pe alte resurse sau daca nu cumva am fost deja compromiși.

Distrugerea afacerii sau blocarea activității economice

Uneori, din răsbunare, cineva poate să cumpere un astfel de atac pentru o sumă modică prin dark web. Scopul este acela de a-ți în greuna activitatea la locul de muncă sau de a o bloca și de a te hărțurii pe tine ori pe angajații tăi.

Cum mă pot proteja?

Este bine ca măsurile de securizare să fie luate din timp și un specialist să verifice exact sursa trimiterilor, dacă este vre-o informație compromisă și să înțeleagă meganismul prin care se execută atacul. Pot exista cazuri în care atacul să fie realizat de pe propriul server sau prin propriile adrese de email.

Pentru protecție este bine să existe un filtru antispam. Filtrele se pot aplica atât la nivel de server, cât și de aplicație mail. Printre măsuri, se mai pot instala diverse soluții de protecție DoS, WAF (firewall aplicații web) și diverse limitări de requesturi.

Riscurile pentru victimele infectate cu virusul (indiferent de versiunea acestuia) sunt mult mai mari. Dacă atacatorul capătă acces la SMS-uri pentru a le trimite, în mod cert poate să le și citească, astfel putând să utilizeze autentificarea cu 2 factori la conturile bancare.

Update 27 mai, ora 15: La momentul clickului pe link de pe mobil se descarcă o aplicație care o dată instalată preia controlul dispozitivului și trimite SMS-uri fără știrea victimei. Cel mai probabil că au acces la mai multe informații. Virusul se propagă automat pe măsură ce apar din ce în ce mai multe victime.

Update 27 mai, ora 18:30:

Citez o sursă de pe Whatsapp

„Informație tentativa infectare cu malware

Ne confruntăm cu FluBot Android, un malware care afecteaza si baza de clienti ORO cu telefon Android.

Clientii primesc mesaje SMS de pe diverse numere de telefon (nationale sau internationale) cu textul “Pachetul dvs. este in drum, urmariti-l aici”, urmat de un link.

Accesand linkul respectiv se deschide un site fals al unui operator international de curierat care solicita descarcarea unei aplicatii.

In urma instalarii aplicatiei respective, telefonul clientului este infectat cu un virus, care poate afecta continutul din telefon si trimite SMS-uri.

Posibil aplicatia instalata sa afecteze si conturile bancare!”

Deși mesajul citat denotă o ușoară stângăcie, totuși cineva se pare că s-a documentat, iar situația este deja cunoscută de instituțiile abilitate.

FluBlot este un virus păcătos care ajunge să oprească diverse aplicații și servicii din sitemul de operare pentru a împiedica ștergerea acestuia. Posibil ca în cele din urmă telefonul să nu mai funcționeze la fel și să vedem adesea crash-uri neobișnuite. În mod normal, acest virus clonează un site identic cu cel al unor companii de curierat cunoscute. Totuși, se pare că varianta pe care am analizat-o în articol este o variație diferită și acționează altfel. FluBot și cel mai probabil majoritatea virușilor de telefon nu numai că se pot folosi de anumite servicii precum SMS-ul, dar ar putea să mineze de pe telefon cryptomonede, să fure lista de contacte sau informații despre card ori alte parole salvate. De asemenea, ar putea să logheze orice introducere pe tastatura virtuală a device-ului.

Articolul original:

Astăzi am identificat o nouă modalitate de atac cibernetic la adresa utilizatorilor de rând, una ingenioasă prin faptul că se face uz de o schemă destul de complexă.

În cele ce urmează, voi încerca să explic pe înțelesul tuturor cum funcționează acest truc și de ce nu este bine să ne grăbim atunci când primim mesaje.

În cursul ultimei nopți, o cunoștință a primit 3 SMS-uri cu privire la un pachet care se află pe drum și care poate fi urmărit la o anumită adresă.

Dimineața, sub buimăcia oboselii, probabil că persoana ar fi deschis unul dintre link-uri, fapt ce ar fi demarat o continuare a atacului. Semnul de întrebare înainte de a da click a apărut în momentul în care persoana și-a dat seama de ora mesajelor, de faptul că sunt 3 și că linkurile sunt diferite. De asemenea, nici o companie de curierat nu era de recunoscut.

Cuprins:

1. Ce pot păți dacă dau click?
2. Ce doresc atacatorii cibernetici să obțină?
3. Cum ne ferim de aceste tentative
4. De unde au obținut numărul meu de telefon?
5. Explicarea schemei atacului

Ce pot păți dacă dau click?

În esență, nimic, în mod direct. De multe ori, oamenii se tem să apese un anumit link pentru a nu obține un virus. Într-adevăr, pe mobil este mult mai ușor ca un utilizator să fie păcălit să descarce un fișier și să îl deschidă. În funcție de persoana vizată de atac, pot fi mai multe lucruri ce pot apărea. De exemplu, este posibil ca atacatorul să îți dorească o confirmare că numărul de telefon există sau că este utilizat. Sau poate să dorească să obțină alte informații pe siteul de destinație. Am întâlnit situații în care atacatorii se foloseau de un link ce ducea către o pagină care mai departe efectua un fel de autentificare a utilizatorului pe siteul pe care este logat ca admin, urmând acolo a injecta cod malicios folosindu-se de drepturile de admin ale respectivului user.

Ideea este că, pentru fiecare site, sigur există cel puțin o modalitate de exploatare a fiecăruia care să nu fi fost încă descoperită. Ingeniozitatea atacatorilor crește pe zi ce trece.

În cele mai „nesimțite” tentative, atacatorii pot chiar să încerce să profite de naivitatea utilizatorilor prin următoarele metode adiacente:

• cuponul câștigat la un magazin cunoscut
• tombola cu premii numeroase și obținerea a șanse în plus prin distribuirea linkului pe whatsapp
• introducerea de alte informații personale sau ale cardului
• efectuarea unei plăți mici pentru obținerea unui beneficiu foarte mare, urmând ca plățile recurente de pe card să se activeze
• introducerea parolei de la contul unei anumite platforme pe un site care arată identic (de exemplu, în cazul din acest articol, s-ar fi putut solicita parola de la contul pe o anumită platformă de curierat)
• utilizarea unor tehnici de inginerie socială pentru a-și extinde arealul atacat sau pentru a propaga fără efort un virus sau chiar mesaj de propagandă
• propagandă politică și nu numai
• în Italia s-au raportat chiar cazuri de atacuri cibernetice din partea altor state cu mijloace de urmărire în masă pe telefoanele mobile în mod special față de persoanele care lucrează în instituții publice

Ce doresc atacatorii cibernetici să obțină?

Răspunsul este: orice!

În funcție de cât de departe merge atacul, aceștia pot să obțină:

• date personale pe care să le vândă
• date personale pe care să le folosească pentru a obține acces în alte siteuri
• date ale cardului
• plăți
• vizualizări ale unui site încărcat de publicitate (de multe ori siteurile nici nu sunt deținute de ei ci piratate de la utilizatori/companii de bună credință)
• diverse verificări (că numărul există, că persoana este naivă, că persoana este activă) – de multe ori, clickul poate deveni declanșatorul unui atac mai complex
• să creeze deranj foarte mare și apoi să ceară bani victimei pentru a fi lăsată în pace
• să intre cumva în legătură cu victima pentru a o păcăli
• să instaleze virusi sau să urmărească activitatea unei persoane
• să înregistreze informații: documente, imagini, voce, față
• în cazurile cele mai avansate, să folosească datele biologice pentru a „hrăni” cu date diverși roboți AI (ex. cazul FaceApp care este acuzat că stochează fără consimțământ chipurile oamenilor. De asemenea, există alte platforme care recunosc un chip foarte bine sau care pot genera cu ajutorul AI-ului niște oameni care par reali)
• acces la conturi (de mail, de pe siteuri) sau la funcționalități de pe aceste conturi sau de pe dispozitivele victimelor (să trimită mailuri sau SMSuri colegilor)
• lista poate să continue

Cum ne ferim de aceste tentative

Singura modalitate de a ne feri este vigilența. În mod constant trebuie să fim foarte atenți când navigăm pe internet, să fim atenți pe ce dăm click, cum, ce site este, dacă are numele corect, dacă este siteul real, dacă introducem unde trebuie datele despre plată și dacă ne vin notificările pe care le așteptăm, nu pe cele pe care nu le așteptăm.

Trebuie să fim atenți și la fișierele descărcate, deschise. Chiar și un simplu PDF (sau mai nou, un document Word) pot deveni vectori de atac.

Dacă utilizăm diverse platforme unde au acces toți utilizatorii, trebuie să fim atenți la conținutul pe care îl accesăm de la ei (BittTorent, uTorent si alte torente, de exemplu).

Este important să utilizăm parole complexe, diferite, să le stocăm în siguranță și să divulgăm cât mai puține informații confidențiale dacă nu sunt absolut necesare. De exemplu, informațiile confidențiale pot fi necesare în cazul politicilor Know Your Customer pentru bănci, dar de cele mai multe ori băncile încă se rezumă la colectarea lor față în față cu persoana tocmai pentru a reduce aceste riscuri.

Citește și articolul: Nu te încrede niciodată în parola ta – articolul care arată cum un atacator poate obține acces la informații fără să cunoască parole.

Atacatorii încearcă cel mai adesea să expliateze elemente emoționale sau sociale precum: graba, frica, necunoașterea, naivitatea. Cunoașterea metodelor de atac poate reduce substanțial numărul victimelor.

Observăm că tot mai multe tentative ies din ce în ce mai mult din sfera online și ajung chiar în mijlocul vieților noastre personale.

De unde au obținut numărul meu de telefon?

Cel mai probabil că acesta a fost lăsat pe un site rău intenționat sau cineva l-a vândut cu o listă de date altor persoane rău intenționate. Mai există și posibilitatea ca platforme intens utilizate să fie „sparte” iar bazele lor de date să fie furate și expuse pe forumuri de hacking.

Numărul de telefon al potențialei victime a fost expus într-o breșă de securitate de pe un site clasat pe locul 150 în lume în lista celor mai vizitate siteuri. 270 de milioane de rânduri cu informații personale au fost vândute pentru suma de 100 000 dolari (echivalentul a 10 bitcoini, moneda în care s-a efectuat plata). În prezent, baza de date a Wattpad a ajuns gratuit pe un site de hacking.

Pe https://haveibeenpwned.com/ victima apărea cu adresa de email comprimisă în acest data breach alături de: data nașterii, nume, gen, locație/adresă fizică a locuinței, adresă IP, parole, profil social media, username.

Explicarea schemei atacului

Atacatorii au obținut acces la mai multe siteuri web pe care le-au virusat.

În același timp, cel mai probabil că au obținut acces și la niște servere de callcenter pentru a putea trimite SMSuri pe banii altor firme fără ca ei să plătească sau să fie identificați.

Apoi, au generat SMS-urile cu adresele siteurilor piratate + un cod unic în aceste adrese pentru a identifica numerele de telefon care au dat click și au ajuns pe acel site. Siteurile pot avea denumiri precum https://trustsignjapan.com/, http://bestcomputerarts.com/ s.a.m.d.. Uneori acestea sunt siteuri reale, alteori sunt stricate din cauza virusului care le-a afectat prea tare. De regulă aceste linkuri se termină în denumiri precu, vkhdy.php sau ?vkhdy.php . Acestea sunt niște adrese unice cu scopul de a face tracking pe persoana care a dat click.

Victima a primit 3 SMSuri pentru că, cel mai probabil numărul de telefon s-a aflat de mai multe ori în listele lor și nu s-au obosit să curețe duplicatele sau a fost scris în forme diferite (+40…., +4…, 07… sau 723…., cu spatii, fără spații_ fapt ce face mai dificilă eliminarea duplicatelor.

Ora târzie a SMSurilor este explicată de faptul că atacatorii nu sunt români deși mesajul este în română și nu s-au obosit să trimită SMS-uri în funcție de fusul orar. Sau, poate chiar ș-au dorit să trimită noaptea ca să profite de neatenție.

La clickul pe link, acesta procesează ceva foarte rapid, apoi face un redirect pe Google. Cel mai probabil că acesta urmărește să vadă dacă numărul este activ.

Rolul acestui articol este să te ajute să te ferești de fișierele suspecte, mai exact de arhive.

Un vector de transmitere a virușilor este descărcarea de fișiere în laptopul propiu sau în cel de serviciu și deschiderea acestora. Atacatorii sunt foarte inventivi și nu trebuie subestimați.

Cum recunosc un fișier sau un e-mail suspect?

• Textul e-mailului conține numeroase greșeli gramaticale
• Se trimite un fișier în care scrie că formatul este docx sau .pdf, dar dacă ne uităm mai atent, formatul este .exe .iso sau chiar .zip. (formatele .exe sau .iso sunt executabile, formatul .zip este o arhivă care poate conține un executabil). Multe calculatoare sunt setate să nu afișeze extensia, ceea ce crește riscul de a da click pe un fișier malicios. De asemenea, programele software au un icon propriu. Am întâlnit fișiere executabile cu icon similar cu Microsoft Word, iar fișierul se numea invoice.docx.exe (.exe fiind extensia care nu era afișată pe respectivul calculator).
• Ceva lipsește din context (am văzut atacuri care conțineau inclusiv informații despre clienți vechi ai victimei, era scris și în limba italiată, aceasta fiind limba persoanei care se presupunea că ar fi trimis mesajul. Totuși, lipseau informații importante din context, acel client nu avea de ce să trimită o cerere de ofertă întrucât se încheiase colaborarea de 2 ani).
• Adresa de e-mail a celui care trimite vine de la alt domeniu web (domeniul web se referă la locul unde cel care trimite mailuri își ține căsuța de e-mailuri. De exemplu, dacă am siteul comanpaul.ro, pot să am un email la adresa contact@comanpaul.ro.). Un atacator ar putea să cumpere un domeniu similar „comanpaull.ro” și să trimită un e-mail de la această adresă „contact@comanpaull.ro” sau „contact@c0manpau1.ro unde litera „O” este înlocuită cu cifra „zero”, iar litera „L” cu cifra „1”.
• Un e-mail este suspect dacă ni se solicită parole, coduri PIN sau alte informații confidențiale. Băncile nu au nevoie să afle codul nostru PIN, de exemplu.
• Un e-mail este suspect dacă multe linkuri duc către nicăieri sau duc către pagini care par să nu fie cele adevărate (ex. faceb0Okk.com în loc de facebook.com). Un site fals ar putea să ne fure datele de conectare. Puteți testa introducând o parolă greșită prima dată.
• Dacă suntem conectați în panoul de administrare al unui site al firmei și primim un e-mail care pare interesant dar duce la un link extern ce conține informații despre site-ul nostru, ar putea fi o încercare de injecție al unui script folosindu-se de contul nostru de admin. (exemplu de link suspect: <vezi oferta> cu link către www.sitedubios.ro?ref=comanpaul.ro).
• Emailurile suspecte îți pot cere să îți actualizezi datele pentru servicii/conturi pe care le ai (Netflix, Google Drive s.a.m.d)
• Formula de salut este una generală, nepersonalizată cu numele tău

Cum pot vedea ce conține o arhivă?

Recomand să nu dezarhivezi niciodată o arhivă până nu verifici ce se află înăuntru.

https://extract.me/ este un instrument online care te lasă s încarci o arhivă mică din calculator, Google Drive sau Dropbox și să o dezarhivezi online.

https://www.virustotal.com/gui/ este un scanner online pentru viruși care folosește în jur de 60 de antivirusuri online. La acest instrument putem verifica și site-uri.

Recomandările mele:

• dacă un e-mail pare urgent, dar ceva este ciudat, mai bine să îl ștergi. Dacă cineva are ceva urgent cu tine, te va putea apela direct.
• protejează-ți conturile prin autentificare cu mai mulți factori
• nu folosi aceeași parolă peste tot
• nu da click pe orice fișier fără să analizezi de unde vine și ce conține

Trebuie să cunoști următoarele lucruri despre parola ta:

• dacă parola ta este ușor de ghicit, prea scurtă sau prea simplă, sunt șanse ca un atacator să încerce să o spargă în diverse locuri în care ai conturi (mai ales dacă respectivele site-uri sunt slab securizate) și mai ales dacă folosești aceeași parolă peste tot
• unele aplicații și siteuri pot să nu cripteze parola în realitate, asta înseamnă că poate fi vizibilă
• dacă un site nu este bine securizat (și aici nu mă refer numai la bara verde) parola ta poate fi interceptată și de un alt atacator
• dacă cineva ți-a furat parola și obține date despre locurile unde ai conturi sau cum se numește adresa ta de e-mail, ar putea să încerce să îți fure și mai multe date din și mai multe conturi
• un atacator nu trebuie să știe parola ta pentru a avea acces la conturile tale. Dacă dai click pe linkuri suspecte, sesiunea ta de utilziator autentificat pe anumite site-uri poate fi furată. De asemenea, dacă permiți accesul unor aplicații terțe în interiorul altora, acestea ar putea colecta date despre tine (ex. Addons în Google Drive, Aplicații Facebook, Aplicații pe telefonul tău, butonul de Facebook Login)

Îți recomand:

• măcar o dată la câțiva ani, mai schimbă parolele
• nu folosi aceeași parolă peste tot
• dacă ai multe parole, nu le ține într-un loc ușor de pătruns. Poți chiar să utilizezi un Password Vault Software
• nu folosi parole simple, scurte și formate din litere prea apropiate pe tastatură
• chiar dacă ai schimbat parola, nu uita să mai verific și cine are acces în contul tău, ce IP-uri se loghează și ce aplicații au acces la datele tale în fiecare platformă