Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wysłali e-mail phishingowy do prawdziwych odbiorców mailingu Pulsu Biznesu. Całość została wysłana z prawdziwej domeny pb.pl. Co się wydarzyło?
Kilka dni temu czytelnicy poinformowali nas o nietypowym mailu, który wyglądał mniej więcej tak:
Nasi stali czytelnicy zapewne od razu zorientują się, że ten mailing to scam. W formie klasycznego oszustwa „na dopłatę do przesyłki”. Tj. link z „potwierdzeniem wysyłki” kierował do złośliwej strony próbującej wyłudzać dane finansowe (fałszywa bramka płatności)
Co się wydarzyło?
1. Pierwsza hipoteza – ktoś podszywa się domenę pb.pl. Jednak po analizie nagłówków e-maila okazało się, że tutaj jest wszystko w porządku (spf=pass, dkim=pass, dmarc=pass; samą konfigurację ww. mechanizmów zostawiamy na razie na boku). Mail został zatem najpewniej wysłany z systemu mailingowego, z którego korzysta Puls Biznesu.
2. Odbiorcami mailingu byli prawdziwi odbiorcy mailingu Pulsu Biznesu (między innymi jeden z czytelników przesłał nam ww. maila z informacją, że jedyne miejsce gdzie jego e-mail był użyty – to właśnie rejestracja na newsletter pb.pl)
Dodatkowo, w międzyczasie Puls Biznesu wysłał do swoich odbiorców takie sprostowanie:
3. Czyżby zatem włamanie do systemu mailingowego? W tym momencie poprosiliśmy wydawcę Pulsu Biznesu o oficjalny komentarz do sprawy, otrzymując odpowiedź:
- potwierdzamy – miał miejsce nieautoryzowany dostęp do naszego systemu mailingowego.
- na podstawie przeanalizowanych wspólnie z dostawcą informacji, na tę chwilę nie mamy do czynienia z naruszeniem ochrony danych osobowych.
W ramach przeprowadzonych działań:
- został zablokowany dostęp atakującemu, a proces wysyłki mailingów przerwany
- zgłosiliśmy incydent do CSIRT NASK
- zostały zablokowane zarówno linki z mailingu, jak i próbujące wyłudzić płatność domeny
- opracowaliśmy i opublikowaliśmy komunikat o niebezpiecznej korespondencji do całej bazy subskrybentów
- na potrzeby obsługi zdarzenia stworzyliśmy dedykowaną skrzynkę, która została wskazana w treści komunikacji
- opracowaliśmy plan wdrożenia dodatkowych zabezpieczeń dla platformy mailingowej
W jaki sposób doszło do incydentu? I dlaczego wspomniane jest brak naruszenia ochrony danych osobowych? Dopytując o te szczegóły, otrzymaliśmy następujące odpowiedzi:
- Nieautoryzowany dostęp: wykorzystano parę e-mail + hasło (obecne w bazach wycieków) pozyskane ze sprzętu prywatnego użytkownika do zalogowania się do systemu mailingowego.
- Brak naruszenia ochrony danych: pozyskanie bazy danych możliwe jest przez operację eksportu, która każdorazowo odkładana jest w audit logu. W ramach przeprowadzonej z dostawcą analizy logów mamy potwierdzenie, iż na skompromitowanym koncie ani razu w całej historii jego aktywności taka operacja nie została przeprowadzona.
Podsumowując:
- Nie wierzcie bezrefleksyjnie mailom, które otrzymujecie z domeny którą znacie. Nawet jeśli z analizy nagłówków mailowych wynika, że nie doszło do podszycia się pod daną domenę.
- Używajcie złożonych haseł (im dłuższe tym lepiej) oraz unikalnych haseł w różnych systemach
- [jako administratorzy] używajcie systemów mailingowych, gdzie można mieć skonfigurowane 2FA (dwuczynnikowe uwierzytelnienie) – wtedy nawet wyciek pary login/hasło nie grozi przejęciem dostępu do Waszego konta.
- Nie korzystajcie z prywatnych komputerów (które często mają umiarkowane zabezpieczenia) do obsługi systemów firmowych
Nota bene – w pewnym sensie podobna historia wydarzyła się kiedyś Trezorowi (w tym przypadku jednak zhackowano adminów firmy dostarczającej systemu mailingowy, a następnie wysłano wiadomości z adresu należącego do Trezora).
~ms
„I dlaczego wspomniane jest brak naruszenia ochrony danych osobowych? ”
To ze nie pobrali bazy danych nie oznacza ze nie doszło do naruszenia. Przecież dostęp do danych jakiś był (nawet jeśli chwilowy i za pomocą samego systemu mailingowego) skoro fejkowe maile zostały wysłane ;)
No właśnie. Brak naruszenia wydaje się mocno pochopnym wnioskiem. Jak IOD zrobi porządną analizę tego incydentu, to może wyjdzie, że atakujący miał dostęp do wielu maili z przejętej skrzynki, z wieloma informacjami, w tym danymi osobowymi. Czyli utrata poufności w czystej postaci.
Nie wczytałem się
Definicja naruszenia jest taka, że możliwe jest przeprowadzenie podobnego ataku, który nie będzie naruszeniem, bo atakujący nie będzie miał dostępu do danych. Przynajmniej literalnie. Bo tak, jak EROD „utratę” rozszerzył na „utratę dostępu”, tak „nieuprawniony dostęp” można by rozszerzyć na „nieuprawniony dostęp do danych lub systemu”.
Jednak w tym przypadku, wydaje się, że do „nieuprawnionego dostępu” mogło jednak dojść – jeżeli atakujący zalogował się na konto pracownika, a PB coś przebąkuje o eksporcie którego nie zauważyli, to coś tu nie pasuje.
Doprecyzowując moją myśl.
Atak bez dostępu do danych wyobrażam sobie tak, że użytkownik, na którego konto zalogował się atakujący, miał dostęp do funkcji „wyślij do wszystkich”, ale nie miał dostępu do listy adresatów.
Alternatywnie – atak RCE niewymagający zalogowania dla uruchomienia takiej funkcji.
+1
A dodatkowo:
1. Na zrzucie nie widać całego maila, w stopce były tez inne linki.
2. Główny link nie kierował do „fałszywej bramki płatności”. Domena która tam była (zawinięta w salesmanago) jest nieszkodliwa.
3. Nigdy nie rejestrowałem się do tego newslettera, ani w ogóle nie korzystałem z jakichkolwiek usług pb.pl więc w tym „systemie mailingowym” prawdopodobnie były adresy zebrane ze wszystkich usług Bankier.pl/Bonnier/pb.pl i pochodnych.
W zasadzie wszystkie linki (też te ze stopki) prowadziły do bbp.salesmanago[.]pl („legalny” tracking klikania). Ale ten główny redirectował poprzez salesmanago do hxxps://yeti-shirts[.]com/wp-content/languages/en (zapewne zhackowana strona, która przekierowywała najpewniej dalej – nie mamy tego zrzutu już :/)
Skąd masz info że ta domena (link) był „nieszkodliwy” ?
Ad 3. pewnie rzeczywiście poszło do ~wszystkich (albo przynajmniej do wielu) baz dostępnych z tego konta
Nie wiemy do czego mial dostep atakujacy, moze mogl tylko wpisac tresc i wyslac do wszystkich bez poznawania ich adresow.
W kazdym razie majac taki dostep i wykorzystac go do tak oklepanego scamu to trzeba miec brak wyobrazni. Pewnie jakis mocno niedorozwiniety script kiddie.
Mój IODO mówi,.że nawet jak zalogowali się na konto i tam był widoczny jakiś e-mail imienny to już naruszenie.
Z naszej strony nie przesądzamy czy „było naruszenie” czy „nie było” – w tym aspekcie cytujemy tylko odpowiedź na nasze pytania.
Ale system ma logi, nie było takiej informacji.
nie mówię, że były widoczne maile klientów, mam na myśli mail w profilu konta :) jeśli to mail imienny to już jest naruszenie (wg mojego iodo – naruszenie jest nawet, jeśli ten sam mail służył do zalogowana się do panelu)
Systemy mailingowe wyświetlające dane odbiorców przed wysłaniem wiadomości to już raczej przeżytek. Przy zdefiniowanych listach po kilkaset tysięcy bezsensowne jest dodawanie funkcjonalności wyświetlającej coś więcej niż liczbę rekordów.
Czy ten ich system także loguje przeglądanie wpisów z e-mailami?
Bo mam dziwne przeczucie że niekoniecznie.
Zastanawiającą dysfunkcję społeczną można zaobserwować w komentarzach dotyczących incydentów w branży IT. Często ofiara incydentu staje się również ofiarą publicznego linczu. Rozumiem bezsilność i frustrację obserwatorów, ale to nie jest powód, aby kompensować swoją bezsilność przez atakowanie ofiary.
Nie jestem ich inspektorem ochrony danych, ale gdyby to było u mojego klienta to wyglądałoby to zupełnie inaczej jeśli to co czytam o nieautoryzowanym dostępie jest jakie jest. A wynika wprost, że tak skoro sekurak cytuje. Na podstawie tego już widać, że doszło do naruszenia ochrony danych osobowych. Utrata dostępności polegała w tym wypadku na tym, że atakujący zalogował się z konta pracownika do klienta np. mass mailingu (choć tego nie wiem czy system mailingowy rozumiany jako poczta czy jako zewnętrzną usługa do mass mailingu) i wysłał do adresatów e-mail o treści jaką utworzył. Nawet jeśli atakujący nie widział adresów e-mail to i tak doszło do naruszenia ochrony danych osobowych. Nawet krótkotrwały brak dostępu do danych w systemie czyli brak możliwości zalogowania się pracownika do systemu to utrata dostępności. Tak samo fakt, że się ktoś z nim loguje. Jeśli dobrze rozumiem to traktują to jako incydent z uwagi na fakt, że pracownik nawet po zalogowaniu nie miał możliwości zapoznać się z danymi osobowymi. To nie zmienia w mojej ocenie faktu, że pracownik jak i atakujący wykonywał operacje na danych osobowych nawet jeśli ich fizycznie nie widział. Pracownik powinien być dopuszczony do przetwarzania danych osobowych. Wysyłanie e-maili wiąże się z określonym działaniem na danych osobowych i tłumaczenie, że ktoś nie widzi e-maili więc tego naruszenia nie ma choć wysyła co chce do ludzi to nie jest tłumaczenie właściwe. W mojej ocenie należy wykonać analizę poincydentalną oraz wagę naruszenia wg. ENISA.
Trudno nie zgodzić się z tezą, że założenie iż „jak nie widzi, to nie ma naruszenia” jest fałszywe. Przykładem może być archiwizowanie danych. Jest to operacja zwana przetwarzaniem i nikt nie widzi jakie dane są archiwizowane, niemniej jednak dane te podlegają przetwarzaniu i to zautomatyzowanemu.
Natomiast osobiście nie jestem przekonany co do „braku dostępności”. O ile brak dostępności do konta bankowego, rejestracji usług medycznych, czy innych serwisów (publicznych, rządowych) mających ZNACZĄCY wpływ na życie lub zdrowie ludzkie, jest ważny. O tyle, brak dostępności do portalu społecznościowego czy tzw. plotkarskiego, nie ma takiego znaczenia! Bo gdyby miał znaczenie dla życia, TO KAŻDA firma produkująca telefony czy smartfony POWINNA być oskarżona o wnoszenie zagrożenia życia lub zdrowia ludzi poprzez sprzedawanie produktu w którym bateria może ulec całkowitemu rozładowaniu. A jak widać, każdy ma telefon ALE NIKT nie skarży producenta o brak zainstalowania „wiecznie naładowanej baterii”. Dlatego z tym brakiem dostępności jako element naruszenia, to jednak bym polemizował, a zwłaszcza z czasem trwania braku dostępności.