Update 28 mai, ora 22:00
Riscurile pentru victimele infectate cu virusul (indiferent de versiunea acestuia) sunt mult mai mari. Dacă atacatorul capătă acces la SMS-uri pentru a le trimite, în mod cert poate să le și citească, astfel putând să utilizeze autentificarea cu 2 factori la conturile bancare.
Update 27 mai, ora 15: La momentul clickului pe link de pe mobil se descarcă o aplicație care o dată instalată preia controlul dispozitivului și trimite SMS-uri fără știrea victimei. Cel mai probabil că au acces la mai multe informații. Virusul se propagă automat pe măsură ce apar din ce în ce mai multe victime.
Update 27 mai, ora 18:30:
Citez o sursă de pe Whatsapp
„Informație tentativa infectare cu malware
Ne confruntăm cu FluBot Android, un malware care afecteaza si baza de clienti ORO cu telefon Android.
Clientii primesc mesaje SMS de pe diverse numere de telefon (nationale sau internationale) cu textul “Pachetul dvs. este in drum, urmariti-l aici”, urmat de un link.
Accesand linkul respectiv se deschide un site fals al unui operator international de curierat care solicita descarcarea unei aplicatii.
In urma instalarii aplicatiei respective, telefonul clientului este infectat cu un virus, care poate afecta continutul din telefon si trimite SMS-uri.
Posibil aplicatia instalata sa afecteze si conturile bancare!”
Deși mesajul citat denotă o ușoară stângăcie, totuși cineva se pare că s-a documentat, iar situația este deja cunoscută de instituțiile abilitate.
FluBlot este un virus păcătos care ajunge să oprească diverse aplicații și servicii din sitemul de operare pentru a împiedica ștergerea acestuia. Posibil ca în cele din urmă telefonul să nu mai funcționeze la fel și să vedem adesea crash-uri neobișnuite. În mod normal, acest virus clonează un site identic cu cel al unor companii de curierat cunoscute. Totuși, se pare că varianta pe care am analizat-o în articol este o variație diferită și acționează altfel. FluBot și cel mai probabil majoritatea virușilor de telefon nu numai că se pot folosi de anumite servicii precum SMS-ul, dar ar putea să mineze de pe telefon cryptomonede, să fure lista de contacte sau informații despre card ori alte parole salvate. De asemenea, ar putea să logheze orice introducere pe tastatura virtuală a device-ului.
Articolul original:
Astăzi am identificat o nouă modalitate de atac cibernetic la adresa utilizatorilor de rând, una ingenioasă prin faptul că se face uz de o schemă destul de complexă.
În cele ce urmează, voi încerca să explic pe înțelesul tuturor cum funcționează acest truc și de ce nu este bine să ne grăbim atunci când primim mesaje.
În cursul ultimei nopți, o cunoștință a primit 3 SMS-uri cu privire la un pachet care se află pe drum și care poate fi urmărit la o anumită adresă.
Dimineața, sub buimăcia oboselii, probabil că persoana ar fi deschis unul dintre link-uri, fapt ce ar fi demarat o continuare a atacului. Semnul de întrebare înainte de a da click a apărut în momentul în care persoana și-a dat seama de ora mesajelor, de faptul că sunt 3 și că linkurile sunt diferite. De asemenea, nici o companie de curierat nu era de recunoscut.
Cuprins:
- Ce pot păți dacă dau click?
- Ce doresc atacatorii cibernetici să obțină?
- Cum ne ferim de aceste tentative
- De unde au obținut numărul meu de telefon?
- Explicarea schemei atacului
Ce pot păți dacă dau click?
În esență, nimic, în mod direct. De multe ori, oamenii se tem să apese un anumit link pentru a nu obține un virus. Într-adevăr, pe mobil este mult mai ușor ca un utilizator să fie păcălit să descarce un fișier și să îl deschidă. În funcție de persoana vizată de atac, pot fi mai multe lucruri ce pot apărea. De exemplu, este posibil ca atacatorul să îți dorească o confirmare că numărul de telefon există sau că este utilizat. Sau poate să dorească să obțină alte informații pe siteul de destinație. Am întâlnit situații în care atacatorii se foloseau de un link ce ducea către o pagină care mai departe efectua un fel de autentificare a utilizatorului pe siteul pe care este logat ca admin, urmând acolo a injecta cod malicios folosindu-se de drepturile de admin ale respectivului user.
Ideea este că, pentru fiecare site, sigur există cel puțin o modalitate de exploatare a fiecăruia care să nu fi fost încă descoperită. Ingeniozitatea atacatorilor crește pe zi ce trece.
În cele mai „nesimțite” tentative, atacatorii pot chiar să încerce să profite de naivitatea utilizatorilor prin următoarele metode adiacente:
- cuponul câștigat la un magazin cunoscut
- tombola cu premii numeroase și obținerea a șanse în plus prin distribuirea linkului pe whatsapp
- introducerea de alte informații personale sau ale cardului
- efectuarea unei plăți mici pentru obținerea unui beneficiu foarte mare, urmând ca plățile recurente de pe card să se activeze
- introducerea parolei de la contul unei anumite platforme pe un site care arată identic (de exemplu, în cazul din acest articol, s-ar fi putut solicita parola de la contul pe o anumită platformă de curierat)
- utilizarea unor tehnici de inginerie socială pentru a-și extinde arealul atacat sau pentru a propaga fără efort un virus sau chiar mesaj de propagandă
- propagandă politică și nu numai
- în Italia s-au raportat chiar cazuri de atacuri cibernetice din partea altor state cu mijloace de urmărire în masă pe telefoanele mobile în mod special față de persoanele care lucrează în instituții publice
Ce doresc atacatorii cibernetici să obțină?
Răspunsul este: orice!
În funcție de cât de departe merge atacul, aceștia pot să obțină:
- date personale pe care să le vândă
- date personale pe care să le folosească pentru a obține acces în alte siteuri
- date ale cardului
- plăți
- vizualizări ale unui site încărcat de publicitate (de multe ori siteurile nici nu sunt deținute de ei ci piratate de la utilizatori/companii de bună credință)
- diverse verificări (că numărul există, că persoana este naivă, că persoana este activă) – de multe ori, clickul poate deveni declanșatorul unui atac mai complex
- să creeze deranj foarte mare și apoi să ceară bani victimei pentru a fi lăsată în pace
- să intre cumva în legătură cu victima pentru a o păcăli
- să instaleze virusi sau să urmărească activitatea unei persoane
- să înregistreze informații: documente, imagini, voce, față
- în cazurile cele mai avansate, să folosească datele biologice pentru a „hrăni” cu date diverși roboți AI (ex. cazul FaceApp care este acuzat că stochează fără consimțământ chipurile oamenilor. De asemenea, există alte platforme care recunosc un chip foarte bine sau care pot genera cu ajutorul AI-ului niște oameni care par reali)
- acces la conturi (de mail, de pe siteuri) sau la funcționalități de pe aceste conturi sau de pe dispozitivele victimelor (să trimită mailuri sau SMSuri colegilor)
- lista poate să continue
Cum ne ferim de aceste tentative
Singura modalitate de a ne feri este vigilența. În mod constant trebuie să fim foarte atenți când navigăm pe internet, să fim atenți pe ce dăm click, cum, ce site este, dacă are numele corect, dacă este siteul real, dacă introducem unde trebuie datele despre plată și dacă ne vin notificările pe care le așteptăm, nu pe cele pe care nu le așteptăm.
Trebuie să fim atenți și la fișierele descărcate, deschise. Chiar și un simplu PDF (sau mai nou, un document Word) pot deveni vectori de atac.
Dacă utilizăm diverse platforme unde au acces toți utilizatorii, trebuie să fim atenți la conținutul pe care îl accesăm de la ei (BittTorent, uTorent si alte torente, de exemplu).
Este important să utilizăm parole complexe, diferite, să le stocăm în siguranță și să divulgăm cât mai puține informații confidențiale dacă nu sunt absolut necesare. De exemplu, informațiile confidențiale pot fi necesare în cazul politicilor Know Your Customer pentru bănci, dar de cele mai multe ori băncile încă se rezumă la colectarea lor față în față cu persoana tocmai pentru a reduce aceste riscuri.
Citește și articolul: Nu te încrede niciodată în parola ta – articolul care arată cum un atacator poate obține acces la informații fără să cunoască parole.
Atacatorii încearcă cel mai adesea să expliateze elemente emoționale sau sociale precum: graba, frica, necunoașterea, naivitatea. Cunoașterea metodelor de atac poate reduce substanțial numărul victimelor.
Observăm că tot mai multe tentative ies din ce în ce mai mult din sfera online și ajung chiar în mijlocul vieților noastre personale.
De unde au obținut numărul meu de telefon?
Cel mai probabil că acesta a fost lăsat pe un site rău intenționat sau cineva l-a vândut cu o listă de date altor persoane rău intenționate. Mai există și posibilitatea ca platforme intens utilizate să fie „sparte” iar bazele lor de date să fie furate și expuse pe forumuri de hacking.
Numărul de telefon al potențialei victime a fost expus într-o breșă de securitate de pe un site clasat pe locul 150 în lume în lista celor mai vizitate siteuri. 270 de milioane de rânduri cu informații personale au fost vândute pentru suma de 100 000 dolari (echivalentul a 10 bitcoini, moneda în care s-a efectuat plata). În prezent, baza de date a Wattpad a ajuns gratuit pe un site de hacking.
Pe https://haveibeenpwned.com/ victima apărea cu adresa de email comprimisă în acest data breach alături de: data nașterii, nume, gen, locație/adresă fizică a locuinței, adresă IP, parole, profil social media, username.
Explicarea schemei atacului
Atacatorii au obținut acces la mai multe siteuri web pe care le-au virusat.
În același timp, cel mai probabil că au obținut acces și la niște servere de callcenter pentru a putea trimite SMSuri pe banii altor firme fără ca ei să plătească sau să fie identificați.
Apoi, au generat SMS-urile cu adresele siteurilor piratate + un cod unic în aceste adrese pentru a identifica numerele de telefon care au dat click și au ajuns pe acel site. Siteurile pot avea denumiri precum https://trustsignjapan.com/, http://bestcomputerarts.com/ s.a.m.d.. Uneori acestea sunt siteuri reale, alteori sunt stricate din cauza virusului care le-a afectat prea tare. De regulă aceste linkuri se termină în denumiri precu, vkhdy.php sau ?vkhdy.php . Acestea sunt niște adrese unice cu scopul de a face tracking pe persoana care a dat click.
Victima a primit 3 SMSuri pentru că, cel mai probabil numărul de telefon s-a aflat de mai multe ori în listele lor și nu s-au obosit să curețe duplicatele sau a fost scris în forme diferite (+40…., +4…, 07… sau 723…., cu spatii, fără spații_ fapt ce face mai dificilă eliminarea duplicatelor.
Ora târzie a SMSurilor este explicată de faptul că atacatorii nu sunt români deși mesajul este în română și nu s-au obosit să trimită SMS-uri în funcție de fusul orar. Sau, poate chiar ș-au dorit să trimită noaptea ca să profite de neatenție.
La clickul pe link, acesta procesează ceva foarte rapid, apoi face un redirect pe Google. Cel mai probabil că acesta urmărește să vadă dacă numărul este activ.
Lasă un răspuns