Kacper SzurekTagiEnglishNewsletterO mnie
YouTubeWebinaryFacebookTwitter
Kacper SzurekNewsletter
TagiEnglishNewsletterO mnieYouTubeWebinaryFacebookTwitter
Przekręty przez telefon

02-12-2019 / Podcast

Przekręty przez telefon

Wprowadzenie

Na zaufaniu opiera się cała nasza cywilizacja.

Ale co się dzieje, gdy ktoś próbuje podszyć się pod kogoś lub coś? W dzisiejszym odcinku podcastu Szurkogadanie o tym, jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny gov – czyli takiej, która przynajmniej w teorii powinna należeć tylko do instytucji rządowych.

Poza tym dowiesz się jak wykraść pieniądze z firmy używając pracowników, a także dlaczego firmy budowlane mogą być łakomym kąskiem dla złodziei.

Na koniec o przekręcie na pomoc techniczną2, a także podobnym przekręcie na zwrot poniesionych kosztów.

Cześć. Ja jestem Kacper Szurek a to podcast o bezpieczeństwie w prostych i zrozumiałych słowach.

Możesz go posłuchać na Spotify, Google i Apple Podcasts oraz Anchor.

A jeśli masz jakieś pytanie – zadaje je na naszej grupie od 0 do pentestera na Facebooku.

Zaczynamy.

Własna subdomena gov

Kilka dni temu Brian Krebs1 – twórca poczytnego bloga o bezpieczeństwie opublikował materiał.

Dowiadujemy się z niego, że skontaktowała się z nim osoba, której udało się uzyskać adres w domenie gov.

Dalej możemy zapoznać się jak wyglądał cały proces.

Okazuje się, że każde miasto w USA może starać się o takową domenę.

Wystarczy wejść na odpowiednią stronę i wypełnić odpowiedni formularz.

Niedosłowne tłumaczenie tego dokumentu brzmi mniej więcej tak: Ja jako burmistrz miasta X składam wniosek o domenę Y.

Równocześnie poświadczam, że jestem oficjalnie wybranym burmistrzem tego miasta i posiadam uprawnienia do składania wniosków w jego imieniu.

Dalej dowiadujemy się o rocznym koszcie utrzymania równym 400 dolarów, a także musimy podać adresy kontaktowe osób odpowiedzialnych za utrzymanie naszej witryny.

Tak wypełniony i podpisany formularz (wydrukowany na oficjalnej papeterii miasta) należy wysłać pocztą lub faxem.

I już. Po jakimś czasie otrzymujemy na adres email link służący do obsługi domeny.

I to tyle. Żadnej dodatkowej weryfikacji tożsamości.

Konsekwencje

Ciężko zweryfikować czy opisana wyżej historia jest prawdziwa.

Jeśli tak - konsekwencje mogą być większe niż się na pozór wydaje.

Po pierwsze – domeny gov mogą być traktowane przez użytkowników Internetu jako zaufane – wszak należą do instytucji publicznych.

Co jeśli ktoś podszyje się pod kilkanaście albo kilkadziesiąt miast i stworzy na nich proste strony internetowe?

Z czasem Google je zaindeksuje i zapewne zaczną się wyświetlać w wynikach wyszukiwarki.

Potem wystarczy już tylko opublikować różne ciekawe materiały.

Chociażby zmienić numer konta należący do miasta.

I nagle może się okazać, że kilka osób zacznie wpłacać podatki nie do kasy miasta, ale na konta przestępców.

Ale to nie koniec potencjalnych problemów.

Niektóre systemy mogą pozwalać na dodatkowy dostęp jeżeli tylko wykryją adres mailowy w domenie gov.

A skoro jesteśmy posiadaczem domeny – nic nie stoi na przeszkodzie aby stworzyć także dodatkowe konta mailowe.

W artykule podano przykład Facebooka. Autor przekrętu twierdzi, że udało mu się uzyskać dostęp do wewnętrznego systemu, przy pomocy którego możliwe jest składanie wniosków o wydanie danych powiązanych z konkretnym kontem w ramach walki z przestępczością.

Pozostaje także kwestia neutralności wyborów.

Co jeśli takie domeny będą kontrolowane przez agentów obcych wywiadów?

Jak powinna wyglądać weryfikacja

No dobrze, ale jak taki proces powinien wyglądać?

W utopijnej rzeczywistości każdy burmistrz powinien posiadać kwalifikowany podpis elektroniczny i podpisywać nim wszelkie dokumenty, które następnie mogłyby być zweryfikowane.

No ale nie oszukujmy się – takie rozwiązanie jeszcze daleko przed nami.

To może rozmowa telefoniczna?

Osoba weryfikująca informację powinna znaleźć numer danej instytucji, a następnie wykonać telefon w celu weryfikacji danych.

Pozostaje jednak pytanie jak szukać takiego numeru?

W Internecie? A może w Google Maps?

Podobny problem pojawił się również na naszym rodzimym rynku polskim.

Jeżeli posiadasz domenę internetową – może słyszałeś o tym problemie.

Abonament domeny może przenieść prawa na inny podmiot.

Czyli mówiąc po ludzku – sprzedać tą domenę – czyli prawo do posługiwania się daną nazwą.

Ale proces ten nie jest taki prosty.

Domeny pl

W przypadku domen z końcówką .pl konieczne jest posiadanie specjalnego kodu authinfo.

Na jego podstawie organizacja zarządzająca domenami wie, że wniosek o zmianę abonenta został zgłoszony przez obecnego właściciela.

A wiec jak można takowy kod zdobyć?

Niektóre podmioty wymagają do tego celu papierowego wniosku, w którym to podajemy nazwę domeny oraz składamy swój podpis.

Czasami w wymaganiach figuruje także wymóg skserowania naszego dowodu osobistego.

Tak przygotowane dokumenty zaklejamy w kopercie i wysyłamy na adres firmy.

I tu nasuwa się pytanie. W jaki sposób firma weryfikuje taki dokument?

Przecież zakup domeny odbywa się całkowicie elektronicznie i w żadnym momencie nie podajemy wzoru swojego podpisu, z którym można by było porównać dane z dokumentu.

A przesyłanie skanu dowodu tożsamości (pomijając czy coś takiego jest legalne) to również nie najlepszy pomysł.

Na całe szczęście w tym przypadku problem nie jest tak wielki jak mogłoby się wydawać.

Do pomyślnego transferu domeny oprócz kodu authinfo wymagane jest bowiem jeszcze kliknięcie w link z wiadomości email.

Registry lock

Jeżeli temat Cię zainteresował i jesteś właścicielem większej firmy, dla której domena to cenne dobro – warto zainteresować się tak zwanym registry lock3.

Jest to dodatkowa – płatna usługa, którą można zamówić u niektórych rejestratorów domeny.

Po założeniu blokady czynności takie jak zmiana abonenta lub też transfer domeny nie będą możliwe aż do momentu dezaktywacji blokady.

A takowa odbywa się poprzez osobny wniosek i autoryzacje osoby, która go składa.

Tutaj podszyto się pod ważną osobę po prostu wysyłając fax.

W Polsce takie medium to raczej przeżytek.

Ale podobną sytuację możemy napotkać w przypadku rozmów telefonicznych czy też wiadomości email.

Prześledźmy dwa procesy w firmie.

Zmiana konta pracownika

Pierwszy – zmiana numeru konta pracownika, na który ma wpływać wynagrodzenie.

W jaki sposób taki wniosek jest składany? Forma papierowa czy elektroniczna?

Jak sprawdzamy poprawność danych?

Te pytania są kluczowe – co bowiem w sytuacji, gdy w księgowości znajdzie się dokument, na którego podstawie zmieniony zostanie numer konta pracownika?

Wtedy pieniądze trafią nie tam gdzie powinny.

A stratę ponosi i pracodawca i pracownik.

Możesz teraz pomyśleć: u nas wymagamy formy papierowej.

Dzięki niej nikt z zewnątrz nie jest w stanie nas zaatakować – przecież nie ma jak dostarczyć dokumentu na biurko.

Teoretycznie tak, ale zakładamy, że wszyscy pracownicy są uczciwi.

A co z przypadkiem insidera – czyli osoby o złośliwych zamiarach, która już pracuje w danej firmie?

Rzadko się zdarza aby cała przestrzeń biurowa była dokładnie monitorowana.

Zazwyczaj spotkamy kamery jedynie przy głównych wejściach.

Przy kilkuset osobach – ciężko będzie dojść kto i jak dostarczył dany dokument na nasze biurko.

Podobnie, w odwrotnej sytuacji – kiedy to wniosek składany jest elektronicznie.

No bo co w przypadku, gdy komputer firmowy pracownika został zarażony złośliwym oprogramowaniem i włamano się na jego skrzynkę mailową?

Kto ponosi winę za straty?

Zmiana konta podwykonawcy

Drugi proces to zmiana konta bankowego firm pośredniczących oraz podwykonawców.

Czy numer, który został podany w umowie może zostać zmieniony?

Jeśli tak – jak wygląda cały proces?

Raz na jakiś czas do mediów przenikają sytuacje o podobnych przypadkach i wyłudzeniach milionowych kwot.

Wszystko w bardzo podobnym schemacie jak przejmowanie domen.

Odpowiednio skonstruowana wiadomość przesłana zwyczajną pocztą.

A potem ruch machiny urzędniczej, zmiany w systemie, a na samym końcu przelew w niewłaściwe miejsce.

Pozostaje jeszcze kwestia telefonów.

Przekręt na zwrot środków

Przekręt na zwrot środków nie jest popularny w Polsce.

Ale warto posłuchać na co nabierają się Amerykanie.

Na czym zatem polega?

Na losowe numery telefonów dzwoni automat z informacją, że firma X kończy swoją działalność i możliwy jest zwrot poniesionych kosztów – tak zwany refund.

Jeżeli ofiara oddzwoni na podany w automatycznej wiadomości numer telefonu – rozpoczyna rozmowę z przestępcą.

Dla niego to kluczowe jest uzyskanie dostępu do komputera ofiary.

Instruuje więc telefonicznie dzwoniącego jak przy pomocy przeglądarki ma pobrać aplikację służącą do współdzielenia ekranu komputera.

Dzięki takiemu narzędziu scamer może połączyć się z maszyną użytkownika i wykonywać na niej dowolne akcje.

I nie – nie instaluje tutaj złośliwego oprogramowania – chociaż oczywiście nie jest to wykluczone.

Używa się innej sztuczki.

Przy pomocy perswazji prosi się ofiarę o zalogowanie się na swoje konto bankowe.

I tu kluczowy moment dla całego przekrętu: ofiara ma zapisać lub zapamiętać bieżący stan swojego konta.

Dzięki temu będzie wiedziała, że środki zostały przelane na jej konto.

Po zapisaniu wszystkich informacji, dowiadujemy się, że zwrot środków jest w toku.

Edycja kodu HTML

Równocześnie ekran użytkownika zostaje ściemniony lub wyłączony w zależności od używanego systemu.

Po co? W tym momencie osoba po drugiej stronie edytuje kod HTML strony banku.

Tworzy nowy wirtualny wpis o przelewie oraz modyfikuje saldo środków.

Te zmiany są tymczasowe i wystarczy jedynie odświeżyć okno aby znikły.

Ale ofiara o tym nie wie.

No ale dlaczego złodzieje po prostu nie wykonają przelewu na swoje konta?

Powodów jest wiele

.

Po pierwsze taki przelew musiałby być zatwierdzony kodem SMS – a podawanie kodu SMS przez telefon dla sporej ilości użytkowników jest niedopuszczalne.

Po drugie – sporo przekrętów odbywa się poza terenem USA a więc osoby nie mają dostępu do lokalnych kont.

A przelewy międzynarodowe zazwyczaj są baczniej sprawdzane przez systemy monitorowania.

Po całej tej misternej procedurze ekran wraca do normalności i następuje kolejna faza przedstawienia.

Użytkownik wie, jaką kwotę powinien dostać – wie też ile miał na koncie, wszystkie te informacje ma zanotowane na kartce papieru.

A tu nagle nowość: okazuje się że dostał kwotę kilkunastokrotnie większą.

Strach i popłoch po drugiej stronie telefonu.

Dzwoniący błaga o zwrot nadpłaty – bo inaczej szef zwolni go z pracy.

Zakup kart zdrapek

Jak można tego dokonać?

To proste. Wystarczy pójść do najbliższego supermarketu i kupić karty zdrapki.

Następnie przedyktować otrzymane numery przez telefon i już – nasze pieniądze znikają.

W innej wersji jesteśmy proszeni o numer karty kredytowej.

Te dane są wykorzystywane do zakupów w Internecie.

Co i w jakiej kwocie zostanie kupione – zależy od wyobraźni atakujących.

Fałszywa pomoc techniczna

Podobny przekręt, ale dużo bardziej rozpowszechniony opiera się na fałszywej pomocy technicznej.

Istnieje spora szansa, że widzieliście kiedyś reklamę jednego z takich przekrętów.

Zazwyczaj są one reklamowane w wyszukiwarkach pod słowami kluczowymi powiązanymi z pomocą komputerową.

Dzięki temu trafiają do osób słabo obeznanych z komputerami, które akurat w danym momencie są w potrzebie.

Często też wyświetlają się w nachalny sposób na ekranach telefonów komórkowych.

Komunikaty są różne – cel jeden.

Przestraszyć użytkownika i zagrozić mu, że jego urządzenie jest zainfekowane i wymagana jest natychmiastowa interwencja.

W przeszłości reklamy tego rodzaju omijały różne zabezpieczenia stosowane przez przeglądarki i systemy reklamowe.

Dzięki temu wyświetlały się nawet na popularnych serwisach internetowych.

Wyskakujące reklamy

Standardowe reklamy wyświetlają się obok naszej treści – jedynie lekko przeszkadzający w czytaniu informacji.

Te natomiast otwierane są w nowym oknie przeglądarki – całkowicie zasłaniając poprzednią stronę.

Co więcej tworzone były w taki sposób, że zamknięcie podstrony z reklamą było znacząco utrudnione. Bo albo wyświetlała się na nowo albo w kółko otwierała dodatkowe okienka z bezsensownymi komunikatami.

Numery do fałszywych firm tego rodzaju można również znaleźć na różnych stronach powiązanych z pomocą techniczną.

A więc jak działa ten przekręt?

Ponownie – pierwszym krokiem jest ściągnięcie oprogramowania, dzięki któremu osoba po drugiej stronie słuchawki posiada dostęp do naszego komputera.

Dalej – etap straszenia.

Tutaj uruchamiane są wcześniej spreparowane programy lub też korzysta się z wbudowanych w system operacyjny narzędzi, aby przekonać ofiarę, że jej komputer jest rzeczywiście zagrożony.

Etap straszenia

Jednym z przykładów może być otwieranie Event Viewer – czyli okna wyświetlającego informacje o ostrzeżeniach i błędach, które miały miejsce w naszym systemie.

Czerwone ikonki dla laika mogą wyglądać groźnie, ale w większości są to informacje małej wagi.

Jako skan systemu operacyjnego może posłużyć zwykła komenda wyświetlająca wszystkie pliki na dysku. Przy szybkości wyświetlania danych w konsoli systemowej i ilości plików na dysku – taki proces chwilę trwa – a wygląda równie groźnie, jak niejedna aplikacja.

Odpowiednio poprowadzona rozmowa i magia ekranu sprawia, że użytkownicy czują się przestraszeni.

W tym momencie – są gotowi oddać numery swoich kart kredytowych byle tylko pozbyć się wirtualnego problemu.

Co więcej na samym początku rozmowy operatorzy otwierają notatnik i wpisują w nim swój numer telefonu, tak aby w przypadku zerwania połączenia osoba mogła ponownie wybrać właściwy numer.

Więcej informacji

Jeżeli temat Cię zainteresował polecam kanał Jima Browninga4, który zajmuje się tematem scamu w Internecie.

Na swoich filmach demaskuje oszustów, ich techniki oraz narzędzia.

Całość dostępna w języku angielskim.

Swoją podstronę na ten temat posiada również Microsoft5.

Wszystkie linki znajdziecie w opisie pod tym materiałem.

Warto zobaczyć przedstawione tam przykłady.

Są one widoczne pod zakładką List of common web support scams.

Znajdziemy tam mnogość obrazków przedstawiających fałszywe antywirusy, ekrany śmierci, czy też komunikaty błędów wraz z tekstowymi ich opisami.

Pamiętaj: ufaj ale kontroluj, nigdy nie wiadomo kto czai się po drugiej stronie.

  1. https://krebsonsecurity.com/2019/11/its-way-too-easy-to-get-a-gov-domain-name/ 

  2. https://en.wikipedia.org/wiki/Technical_support_scam 

  3. https://www.dns.pl/pl_registry_lock 

  4. https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw 

  5. https://support.microsoft.com/en-au/help/4013405/windows-protect-from-tech-support-scams