Historia o tym jak twórca HaveIBeenPwned trafił do własnej bazy weryfikacji wycieków ;-)

Nie ma co ukrywać, że nabranie się na phishing nie dotyczy tylko przeciętnych niezwiązanych z cyberbezpieczeństwem Kowalskich, ale także ludzi zawodowo związanych z bezpieczeństwem IT. Nigdy nie jesteś wystarczająco czujny, aby odsiać każdą podejrzaną wiadomość. 

Możecie spytać Troya Hunta – stanowczo potwierdzi! ;) Jeśli nie słyszeliście dotąd o dzisiejszym bohaterze opowieści to krótkie wprowadzenie. Troy Hunt jest dyrektorem regionalnym Microsoft, ekspertem od cyberbezpieczeństwa i twórcą znanego portalu HaveIBeenPwned, który gromadzi dane o znanych, publicznych wyciekach. Tak, dokładnie tego, gdzie sprawdzacie, czy Wasz e-mail nie znalazł się w jakimś wycieku. Jak widać, phishing nikogo nie oszczędza.

Wszystko zaczęło się od maila, którego Troy otrzymał rzekomo od Mailchimp (znana i popularna platforma m.in. do automatyzacji marketingu – czyli do newsletterów).

Wiadomość dotyczyła zablokowania konta z powodu rozsyłania spamu, a w treści znajdował się link rzekomo pozwalający na sprawdzenie konta i zapewne szczegółów problemu. Link prowadził do strony mailchimp-sso[.]com, gdzie można było wpisać dane uwierzytelniające, następnie należało jeszcze potwierdzić logowanie otrzymanym OTP i… tyle. Proces logowania zauważalnie zwolnił. Ofiara bardzo szybko zorientowała się, że całość była oszustwem, dlatego szybko zalogowała się do prawdziwej aplikacji i niemal natychmiast zmieniła hasło. Troy nie był jednak dość szybki, ponieważ dostał powiadomienie, że lista mailingowa została wyeksportowana w Nowym Jorku.

W tym czasie Hunt przebywał w Londynie (oczywiście, dane geolokalizacyjne mogą być przekłamane, np. poprzez użycie tunelu VPN, ale nie w tym przypadku). Ewidentnie cały proces ze strony cyberzbójów był zautomatyzowany, tak aby ofiara nie zdążyła zareagować i przerwać łańcucha ataku.
W efekcie wyciekły maile z bazy danych – około 16 tys. rekordów, aktywnych subskrybentów i tych, którzy się wypisali (dlaczego Mailchimp je przechowuje? To dobre pytanie, nad którym zastanawia się nie tylko Troy, ale my także).

Okoliczności są dość ciekawe. Tak jak już wspomnieliśmy – Troy Hunt był akurat w Londynie i spędził kilka godzin w Centrum Cyberbezpieczeństwa (National Cyber Security Centre), dyskutując o tym, jak lepiej promować passkey – klucze bezpieczeństwa, które świetnie chronią przed phishingiem. Na marginesie – tutaj niewiele by pomogły, bo Mailchimp nie pozwala na użycie tej metody uwierzytelniania.

Dlaczego to zadziałało? Phishingi, podobne do tego, przychodzą często na skrzynki mailowe, szczególnie gdy mail jest podany w jakimś miejscu publicznie lub trafi do wycieku. Ataki są raz lepszej, raz gorszej jakości. Automatyzacja i scenariusz przedstawionego przypadku był całkiem niezły, a dodatkowo nasza ofiara była zmęczona – w Londynie, nad ranem, wciąż walcząc ze skutkami zmian stref czasowych. Wiadomość miała wywołać gwałtowne emocje – strach i zmusić do natychmiastowego działania. Niemożność wysłania newslettera i to z powodu spamu może przestraszyć. Osoby zajmujące się marketingiem rozpoznają umieszczone w fałszywej wiadomości wezwanie do działania (ang. call for action) – przycisk Review Account, co uwiarygadnia scenariusz. 

Kolejną niesprzyjającą okolicznością okazało się zignorowanie całkiem ważnego ostrzeżenia – 1Password (jeden z płatnych menadżerów haseł oferujący synchronizację w chmurze oraz liczne integracje z przeglądarkami), którego używa Troy powinien automatycznie uzupełnić dane logowania na koncie Mailchimp, ale tego nie zrobił. Stało się tak dlatego, że skojarzona z kontem domena różniła się od tej z maila. Mimo to, ofiara zignorowała to i ręcznie wpisała dane. To nauczka pewnie nie tylko dla Troya, ale dla wielu z nas – ile razy ignorujemy takie rzeczy lub wcześniej nie zadbaliśmy o autouzupełnianie z menedżera haseł?

Co zrobić, gdy już się padło ofiarą? W tym przypadku Troy zaczął od zmiany hasła. Jednak to nie wszystko – dostęp do aplikacji może być realizowany na wiele różnych sposobów, np. przez API. Hunt zauważył, że został utworzony nowy klucz API – oczywiście i ta możliwość dostępu do jego konta została usunięta w ramach radzenia sobie z incydentem.

I tutaj pewnie większość ustawiłaby fizyczny klucz bezpieczeństwa (wspierający np. FIDO2) jako kolejny czynnik uwierzytelniania, ale akurat Mailchimp na to nie pozwala. Taki atak obnaża słabości TOTP i kodów SMS (Lepsze to, niż nic! Pamiętajcie o ustawieniu wieloskładnikowego uwierzytelniania w najsilniejszej dostępnej formie!).

Co ciekawe w tej sprawie, podczas późniejszej analizy, Troy Hunt przyjrzał się adresowi e-mail, z którego przyszła wiadomość, nie ma co ukrywać, gdyby było to widoczne od razu, na pewno nie dałby się nabrać: hr@group-f[.]be. Niemniej bądźcie czujni, ponieważ Outlook nie wyświetli tak adresu nadawcy, w zamian widoczna była nazwa nadawcy jako MailChimp Account Services. Teoretycznie Troy Hunt miał inny mail, skojarzony tylko z kontem na MailChimp, w praktyce, jak wiadomo, takie adresy zawsze mogą się gdzieś pojawić lub wyciec. 

Witryna phishingowa nie jest już aktywna, Cloudflare zadziałał jakieś 2 godziny po tym, jak Troy się złapał. 

Maile, które były w bazie, zostały załadowane do HaveIBeenPwned, a ponadto wysłano powiadomienie do 16,6 tys. osób, których dotknął wyciek. 

Jak widać na powyższym przykładzie, phishing może być skuteczny wobec każdego. Wystarczy odpowiedni moment, emocje i szybkie działanie. Ostatecznie otrzymany phishing przewidział przyszłość – konto faktycznie zostało zawieszone na pewien czas, dostęp został już, rzecz jasna przywrócony. 

Zadaniem domowym dla nas może być teraz zapoznanie się z mechanizmem FIDO2, passkeyów oraz zastanowieniem się czy passwordless jest dla nas rozwiązaniem :) 

Na koniec pozostaje ważna nauka: phishing, chociaż nie musi angażować zaawansowanych technik cyberprzestępców, może okazać się skuteczny nawet w przypadku ekspertów. Dlatego nie warto wychodzić z założenia, że takie problemy zdarzają się tylko osobom nietechnicznym.

~#3300CC