Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Dostaliśmy na priv fantastyczną informację… tylko że jest to ciekawa próba scamu. W tle dobrze wyglądająca giełda kryptowalut

29 sierpnia 2022, 18:24 | W biegu | komentarze 2

TL;DR – Strona bardzo dokładnie imitująca giełdę kryptowalut, bez typowych pomyłek gramatycznych i niezrozumiałych zdań. Większość funkcji działa prawidłowo. Dosyć łatwo można się nabrać gdyby nie metoda rozsiewu za pomocą wiadomości w social-mediach.

Rozpoznanie phishingu na scamowej stronie z reguły nie jest trudne dla osoby technicznej. Często występują błędy gramatyczne, pewne funkcje są nieaktywne lub przekierowują do właściwej strony, a same domeny są sfałszowane (np. zmieniona jedna litera). Jednak tak nie jest w przypadku domeny jarlytrade[.]com. 

Na nasz Sekurakowy profil na Twitterze dostaliśmy zaproszenie z konta Peterson2Matias z informacją o otrzymaniu bonusu w postaci 0.7 BTC (około $14 000!). By go odebrać, trzeba zarejestrować się na giełdzie kryptowalutowej jarlytrade[.]com i w ustawieniach konta wpisać otrzymany promo code. Wiedzę o linku uzyskuje się z notki biograficznej na profilu na Twitterze w/w. konta. Z racji, że czuć scam z daleka, postanowiliśmy sprawdzić gdzie tkwi haczyk w tym ataku. 

Rys. 1. Fragment wiadomości o wygranej

Zarejestrowaliśmy profil na tymczasowe dane i pierwsze na co można zwrócić uwagę to korespondencja przychodząca, która jest z zupełnie innej domeny niż zakładana @jarlytrade[.]com. Oczywiście, może się tak zdarzyć, jednak z reguły występują podobieństwa lub wykorzystywana jest subdomena, ewentualnie można znaleźć odpowiedni rekord SPF w konfiguracji DNS. Tutaj rekordy SPF wyglądają ciekawie:

v=spf1 redirect=_spf.mail.ru

v=spf1 a mx include:spf.smtp.bz ~all. 

Po wejściu na stronę emailsender[.]site można zwrócić uwagę, że front-end, w sumie cały look&feel struktury strony jest dokładnie taki sam jak jarlytrade[.]com i jedynie szablon kolorystyczny jest nieco przerobiony. 

Rys. 2. Podobieństwo domeny emailsender[.]site do jarlytrade[.]com

Warto też w tym miejscu zwrócić uwagę, że obie domeny nie są raportowane w VirtusTotal jako złośliwe (jeszcze), jednak jak spojrzymy na adresację IP to wpisy zaczynają się pojawiać. Rekordy DNS z narzędzia whois wskazują na serwery stojące za usługą CloudFlare. Domena jarlytrade[.]com została zarejestrowana 15 sierpnia 2022, ale emailsender[.]site 3 marca 2021 r., co może dać odpowiedź po co w ogóle jest atakującemu druga domena – potencjalnie mogła służyć w innych kampaniach phishingowych lub haker przewidując klasyfikację domeny jarlytrade[.]com jako złośliwą, w dalszym ciągu będzie mógł wysyłać e-maile phishingowe. Drugie jednak na co warto zwrócić uwagę, to po rejestracji konta, przychodzi wiadomość e-mail z prośbą o potwierdzenie, gdzie w treści wiadomości hasło jest zapisane otwartym tekstem. Takie działanie świadczy o tym, że mechanizm zabezpieczeń w miejscu gdzie rejestrowaliśmy konto jest bardzo słaby lub nie istnieje. Wiadomość nie przychodzi też w żadnej formie zaszyfrowanej. Chociaż część legalnych portali nadal ma takich mechanizm, to nie jest to dobra reklama dla rzekomo bezpiecznej giełdy kryptowalut.

Rys. 3. Potwierdzenie rejestracji konta z hasłem otwarto tekstowym.

Jest to pierwsza czerwona flaga informująca nas, że rejestrując się naszym adresem e-mail oraz hasłem – prawdopodobnie doszło do pozyskania tych danych przez niepowołane ręce. Ze względu, że sama strona może te dane gromadzić dla napastnika, ale także dlatego, że jeżeli ktoś śledził naszą komunikację to mógł również te dane pozyskać (np. grupa ataków Man-In-The-Middle). Dlatego tak ważne jest by nie korzystać z tych samych haseł na różnych kontach. 

Próba potwierdzenia konta wygenerowanym kodem kończy się niestety fiaskiem, co pokazuje, że ta funkcja nie została poprawnie wdrożona przez cyberzbójów. W kolejnym kroku po rejestracji wpisaliśmy magiczny kupon w pole promocyjne i uzyskaliśmy bagatela 0.7 BTC. Od tego momentu da się odczuć wpływ inżynierii społecznej (socjotechniki) do podejmowania dalszych kroków do których należy oczywiście emocjonująca wypłata kilkunastu tysięcy dolarów. Można to zrobić na dwa sposoby: przesyłając wybraną kryptowalutę na swój krypto portfel poza giełdą lub wychodząc do środków fiducjarnych (czyli klasycznych pieniędzy). I tutaj pojawiają się dwie największe czerwone flagi. Pierwsza to taka, że wypłata środków (np. tych wygranych) może się odbywać tylko po wpłacie do depozytu równowartości co najmniej 0.01 BTC na portfel giełdowy.

Rys. 4. Komunikat dotyczący konieczności wpłaty równowartości 0.01 BTC w celu aktywacji konta wypłat

Jest to niby potwierdzenie autentyczności konta. Weselej jednak jest z drugim sposobem. By wypłacić klasyczne pieniądze trzeba podać… dane z karty bankowej!

Rys. 5. Próba pozyskania informacji z karty bankowej (pierwszy etap – podanie numeru karty).

Często jednak sam numer karty oraz dane dodatkowe niewiele mogą posłużyć napastnikom, bo zapewne użytkownik ma zapewniony dodatkowy system autoryzacji (np. poprzez SMS lub aplikację mobilną) i wymagane są dodatkowe nakłady pracy w celu naruszenia bezpieczeństwa. Co jeszcze w takim razie jest potrzebne do pełnego spektrum kradzieży danych i pieniędzy? Oczywiście pozostałe dane osobowe. Odbywa się to w taki sposób, że przy próbie wypłaty pieniędzy do karty (formalnie rzecz ujmując: do konta bankowego, do którego przypięta jest karta), po chwili przychodzi odmowa z informacją, że trzeba potwierdzić swoją tożsamość poprzez wbudowany mechanizm KYC (Know Your Client). Czyli kolejny mechanizm wyłudzający dane osobowe.

Rys. 6. Fałszywa informacja o kolejkowaniu wypłaty na kartę bankową. 

Rys. 7. Zrzut ekranu po wypełnieniu formularza weryfikacji. Dodatkowo trzeba było wysłać skan dowodu osobistego oraz własne zdjęcie z tymże dowodem w rękach.

W toku analizy, zauważyliśmy, że przekazywane dane podczas weryfikacji separowane są i wysyłane są za pośrednictwem WebKitFormBoundary. Tak samo wszelkie obrazki z pomocą multipart/form-data zgodnie z RFC2046.

Rys. 8. Podgląd przekazywanych danych do “weryfikacji” tożsamości. Krzaki na samej górze to fragment zdjęcia.

To na co warto zwrócić uwagę także w nagłówkach to sposób w jaki użytkownik dostaje się na każdą podstronę, gdzie wysyłane jest ciasteczko z hashem i danymi konta:

Rys. 9. Hash i pass – pass the hash? :-)

Jak widać powyżej, cyberzbóje włożyli dużo pracy w przygotowanie frontu ataku, czyli miejsca gdzie mają bezpośrednią styczność z użytkownikiem, natomiast na backendzie jest “jak zwykle”. Możecie sobie zadać pytanie w jaki sposób ktoś sobie zadał tyle trudu by wygenerować cały mechanizm związany z obsługą giełdy, wykresami, stawianiem i wypełnianiem zamówień i jak bardzo dużo czasu mu to zajęło. Otóż nie musiał – w prześledzonych nagłówkach widać, że wykorzystał komunikację z API najpopularniejszej giełdy krypto – Binance, która udostępnia kody źródłowe na GitHubie.

Rys. 10. Nagłówek wskazujący na komunikację z serwerem binance.com

Podsumowując, wygląda to na bardzo dobrze przygotowaną frontalnie stronę scamową, która wyłudza dane w łopatologiczny sposób. Warto zwrócić uwagę, że domena ma właściwy certyfikat SSL (Let’s Encrypt, ale właściwy), czyli tzw. “kłódkę”. Językowo i gramatycznie wszystko jest poprawnie, a dodatkowo strona oferuje całe Help Center, gdzie są artykuły, obrazki i schematy jak zacząć przygodę z kryptowalutami co ma uprawdopodobnić jej autentyczność. Nawet więcej, są poradniki jak przestrzec się przed oszustami i że giełda nigdy nie poprosi o dane uwierzytelniające. Jest także formularz supportowy i czat z konsultantem, jednak nigdy nie jest on obecny. Ciekawe czemu?

Warto zwrócić uwagę, że przestępcy stają się coraz bardziej perfidni i skuteczni w naruszaniu bezpieczeństwa danych, więc najlepszą metodą obrony jest nasza własna świadomość zagrożeń, np. poprzez udział w szkoleniu jak nie dać się cyberzbójom.

Dziękujemy cyberzbójom za podzielenie się z nami swoim sposobem ataku!

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Rex

    Dobre, to sobie wybrali niezłą „ofiarę” :-)

    Odpowiedz
  2. Rapsodia

    Witam. I ja dostalam wiadomosc na Tweterzw od nie jakiego Bruce Horton @BruceHo04626604. Odnosnie mojej wygranej na owej str jarlytrade.com. Mialam do wygranej ok 0.7324285 ~ 14 tys usd !!!! Pierwsza mysl Wow! Ale … nie oszukujmy sie nie ma opcji na takie numery losowo oraz bez wkladu wlasnego lub chociqzby uczestnictwie w loterii jak np zdrapki w losach w punktach do wysylania lotto. DLA TAKICH OSOB LICZY SIE SZYBKOSC I NAIWNOŚĆ ODBIORCY ! Jestem bardzo mile zaskoczona tym ze znalazłam strone ktora tak skrupulatnie tlumaczy caly proces oszustwa. BRAWO !

    Odpowiedz

Odpowiedz