-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Dziwna akcja socjotechniczna: Biedronka, konkurs, kredyt i „Zaufana trzecia strona”

20 listopada 2019, 12:40 | W biegu | komentarzy 6
Michał Giza korzystając z jednego z onlineowych serwisów do konwersji video, natknął się na tego typu scam kierowany na m.in. na Polaków. Sama akcja jakoś specjalnie ekscytująca nie jest (prawdopodobnie wyciągane są „tylko” dane osobowe – w tym m.in. PESEL), choć zastanawiające jest pojawienie się w pewnym miejscu (na grafice) frazy: „zaufana trzecia strona online”. Szczerze mówiąc ciężko powiedzieć dlaczego a) atakujący użyli nazwy z3s b) w miejscu dość mało widocznym i względnie losowym. Może w celu uwiarygodnienia całego scamu? W każdym razie sama Zaufana Trzecia Strona nie ma z tym nic wspólnego :). Michał pisze tak:

Spotkaliśmy się właśnie z pewnym przykładem socjotechniki pod postacią reklamy. Zaczyna się “konkursem” (ce[.]winfreetoday[.]com/wingames/supermarket-763/PL/step1), w którym możemy wygrać karty podarunkowe do Biedronki, po kilku kliknięciach zostajemy przekierowani na dwie strony z ofertami atrakcyjnych kredytów, po czym widzimy reklamę Citroena i automatycznie (bez naszej aktywności w tym zakresie) otrzymujemy wiadomość e-mail o rzekomej rezygnacji z usługi.

Analizę malware czy phishingu warto zacząć od podstawowego ukrycia naszej internetowej tożsamości (realizując to na odpowiednio odseparowanym od naszych produkcyjnych danych środowisku). Użyjemy Tora, fałszywego adresu e-mail i fałszywych danych osobowych.

Pierwsze wejście na stronę. Jest zielona kłódka, certyfikat od Let’s Encrypt.

Od razu musimy wprowadzić adres e-mail, dlatego teraz skorzystamy ze strony 10minutemail.net i wygenerujemy tymczasowy adres.

Mail na 10 minut przydaje się podczas analiz, ale również w dbaniu o prywatność.

Teraz wystarczy jedynie podać swoje dane osobowe. Oprócz standardowego imienia i nazwiska jesteśmy pytani o wrażliwe informacje. Ich podanie jest obowiązkowe, dlatego wygenerujemy nieistniejącą tożsamość używając usługi fakenamegenerator.com.

Ustawiliśmy płeć męską, imię na polskie i państwo zamieszkania na Polskę.

Pola uzupełnione nieprawdziwymi danymi.

W tym miejscu dochodzimy do pierwszego zaskakującego faktu, czyli wykorzystania Zaufanej Trzeciej Strony. 

 “Zaufana trzecia strona”.

Oczywiście kontynuujemy udział w konkursie. 

Propozycje do wyboru.

Po zaznaczeniu opcji w tych pięciu pytaniach (ich ilość zależy od odpowiedzi, np. jeśli zaznaczymy, że posiadamy dzieci, to pojawi się pytanie o ich ilość), przejdziemy na kolejną stronę. Tym razem widzimy osadzoną ramkę z danymi z domeny dobrykredyt.co.pl (certyfikat wystawiony przez DigiCert).

Jesteśmy proszeni o podobne dane, ale konieczne jest podanie również numeru PESEL. Te dane mogą wystarczyć do zaciągnięcia kredytu przez oszusta.

Ale przecież “Twoje dane są u nas bezpieczne”, więc chyba nie ma powodów do obaw…

Po wypełnieniu widocznego formularza, zaznaczeniu czterech wymaganych zgód i kliknięciu przycisku w ramce załaduje się inna strona o podobnym wyglądzie i tematyce.

I wreszcie ostatni etap, w którym odbierzemy naszą nagrodę.

Niestety, potwierdzenie otrzymamy, ale po kliknięciu otwiera się jedynie nowa karta z reklamą Citroena w ramce i jeszcze jednym formularzem. Chwilę później otrzymujemy powiadomienie o rezygnacji z usługi, którą podobno dokonaliśmy. Chyba możemy zapomnieć o nagrodzie. Natomiast dane zostały już przesłane. W naszym przypadku całkowicie bezwartościowe, ale inne osoby mogły już uzupełnić formularze zgodnie z rzeczywistością.

Domena winfreetoday.com została zarejestrowana w Hiszpanii 26 stycznia 2019 roku przez spółkę ADSALSA PUBLICIDAD. Google podpowiada, że firma zajmuje się telemarketingiem (jest nawet w katalogu Bloomberg Markets).

Jeszcze jedna sprawa zwraca uwagę. Jest nią polityka prywatności, a konkretniej następujące zapisy:

SPÓŁKA korzysta z programów wykrywających wirusy w celu kontrolowania wszystkich wprowadzanych na Witrynę internetową Treści. Jednakże SPÓŁKA nie gwarantuje braku obecności wirusów lub innych elementów na Witrynie internetowej wprowadzonych przez strony trzecie, niezwiązane ze SPÓŁKĄ, które mogą spowodować zmiany w fizycznych lub logicznych systemach Użytkowników lub przechowywanych w ich systemach dokumentach elektronicznych i plikach. W konsekwencji, SPÓŁKA w żadnym wypadku nie ponosi odpowiedzialności za jakiegokolwiek rodzaju szkody, będące następstwem obecności wirusów lub innych elementów, które mogą spowodować zmiany w fizycznych lub logicznych systemach, dokumentach elektronicznych lub plikach Użytkowników.

(…) SPÓŁKA nie gwarantuje, że nieuprawnione strony trzecie nie mogą mieć dostępu do sposobu korzystania z Witryny internetowej dokonanego przez Użytkownika lub warunków, cech i okoliczności, w których z nich korzysta.

–mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. JN

    Obrazki są tylko w wersji znaczka pocztowego. Nie można zobaczyć pełnej rozdzielczości.

    Odpowiedz
    • mikrofoniarz

      +1
      Kiedyś przynajmniej dało się zmienić url obrazka (obcinając rozmiar w nazwie) i wyskakiwał większy (mimo, że obrazek nieklikalny). A tu się nie da.

      Odpowiedz
      • Michał

        Wina nie leży po stronie silnika Sekuraka. Jeden z procesorów tekstu nieoczekiwanie przeskalował grafikę. Nie znamy przyczyny, ale wiemy, jak temu zaradzić

        Odpowiedz
  2. klngnfld

    Dlaczego użycie zaskakujące? Przecież najpewniej nie chodzi o serwis Adama, tylko o przetłumaczenie „trusted third party” i dołożenie frazy do rzekomego okienka od DigitalTrust

    Odpowiedz
    • czort ich tam wie…

      Odpowiedz
    • a kto ich tam wie

      Google translate tłumaczy jako zaufana strona trzecia więc możliwe że jednak nie.

      Poza tym, z3s się angażuje w różne sprawy więc to że ktoś chce namieszać z jego reputacją, mnie np. nie dziwi.

      Najgorsze jest jednak to, że takim przestępcom niewiele organy robią (niejaki Tomas chyba już na wolności?)

      Odpowiedz

Odpowiedz na klngnfld