Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowa kampania phishingowa na Netflixa – lądujemy na stronie z prawidłowym certyfikatem TLS
O ciekawym przypadku nowej kampanii phishingowej Netflixa poinformował ostatnio SANS (https://isc.sans.edu/diary/23786).
Napastnicy rozsyłają maile z ostrzeżeniem mające zmanipulować ofiarę do kliknięcia przycisku który przekieruje ofiarę na fałszywą stronę (Rys nr 1).
Rys1
Ta część ataku nie była przygotowana najlepiej, rozesłane maile nie były podobne do oryginalnych wiadomości rozsyłanych przez Netflixa do swoich użytkownikom oraz wiadomości często trafiały do spamu.
Jeżeli jednak mail dotarł do ofiary, dalsza część ataku wyglądała bardzo profesjonalnie. Użytkownik był przekierowywany na fałszywą stronę (Rys nr 2) praktycznie identyczną jak ta właściwa (Rys nr 3):
Rys nr 2 – fałszywa strona
Rysunek nr 3 – oryginalna strona
Jedyną różnicą między pokazanymi powyżej stronami jest możliwość logowania za pomocą Facebooka (jaką oferuje oryginalna strona Netflixa), oraz adres URL. No właśnie, bardzo ciekawym faktem jest to, że przeglądarka przy adresie URL fałszywej strony pokazuje “kłódkę”. Oznacza to że odwiedzany adres używa szyfrowania SSL.
Jak bardzo taki zabieg wpływa na skuteczność ataku? Od pewnego czasu przeglądarki pokazują adresy URL które nie są szyfrowane przez SSL jako niebezpieczne (Rys nr 4) (źródło)
Rysunek nr 4
Wielu użytkowników widząc po lewej stronie paska URL przeglądarki zieloną kłódkę z napisem ‘Bezpieczna’ nawet nie zwraca uwagi na adres, tylko ufa odwiedzanej stronie.
Po przejęciu strony atakujący zapewniali dla nich certyfikaty TLS, na obrazku poniżej (Rys nr 5) widzimy że certyfikat jednej z podszywających się stron został utworzony dzień przed rozesłaniem kampanii.
Rys nr 5
Na ten moment, dzięki szybkiej reakcji SANS przeglądarki wyświetlają komunikat, że strona może być niebezpieczna i wyłudzać informacje (Rys nr 6):
Rys nr 6
Warto zauważyć, że internetowi przestępcy uciekają się do coraz sprytniejszych metod oraz dotykają różnych aspektów internetowej działalności. Dla przykładu końcem maja miała miejsce również kampania phishingowa Netflixa, tym razem na terenie Kanady, a jej celem było wyłudzenie danych kont bankowych użytkowników (https://www.baytoday.ca/local-news/phishing-email-was-not-netflix-958994)
–Michał Wnękowicz
„bardzo ciekawym faktem jest to, że przeglądarka przy adresie URL fałszywej strony pokazuje <>”
Ja wiem, czy ciekawym… Przecież w dobie darmowych certyfikatów taki phishing to już żadne novum. Przy okazji można było wspomnieć, że secure=/=safe i o EV SSL.
Polecam (a artykuł i tak z zeszłego roku): https://nakedsecurity.sophos.com/2017/03/30/lets-encrypt-issues-certs-to-paypal-phishing-sites-how-to-protect-yourself/