Nowa kampania phishingowa na Netflixa – lądujemy na stronie z prawidłowym certyfikatem TLS

22 czerwca 2018, 14:15 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

O ciekawym przypadku nowej kampanii phishingowej Netflixa poinformował ostatnio SANS (https://isc.sans.edu/diary/23786).

Napastnicy rozsyłają maile z ostrzeżeniem mające zmanipulować ofiarę do kliknięcia przycisku który przekieruje ofiarę na fałszywą stronę (Rys nr 1).

Rys1

Ta część ataku nie była przygotowana najlepiej, rozesłane maile nie były podobne do oryginalnych wiadomości rozsyłanych przez Netflixa do swoich użytkownikom oraz wiadomości często trafiały do spamu.

Jeżeli jednak mail dotarł do ofiary, dalsza część ataku wyglądała bardzo profesjonalnie. Użytkownik był przekierowywany na fałszywą stronę (Rys nr 2) praktycznie identyczną jak ta właściwa (Rys nr 3):

Rys nr 2 – fałszywa strona

Rysunek nr 3 – oryginalna strona

Jedyną różnicą między pokazanymi powyżej stronami jest możliwość logowania za pomocą Facebooka (jaką oferuje oryginalna strona Netflixa), oraz adres URL. No właśnie, bardzo ciekawym faktem jest to, że przeglądarka przy adresie URL fałszywej strony pokazuje “kłódkę”. Oznacza to że odwiedzany adres używa szyfrowania SSL.

Jak bardzo taki zabieg wpływa na skuteczność ataku? Od pewnego czasu przeglądarki pokazują adresy URL które nie są szyfrowane przez SSL jako niebezpieczne (Rys nr 4) (źródło)

Rysunek nr 4

Wielu użytkowników widząc po lewej stronie paska URL przeglądarki zieloną kłódkę z napisem ‘Bezpieczna’ nawet nie zwraca uwagi na adres, tylko ufa odwiedzanej stronie.

Po przejęciu strony atakujący zapewniali dla nich certyfikaty TLS,  na obrazku poniżej (Rys nr 5) widzimy że certyfikat jednej z podszywających się stron został utworzony dzień przed rozesłaniem kampanii.  

Rys nr 5

Na ten moment, dzięki szybkiej reakcji SANS przeglądarki wyświetlają komunikat, że strona może być niebezpieczna i wyłudzać informacje (Rys nr 6):

Rys nr 6

Warto zauważyć, że internetowi przestępcy uciekają się do coraz sprytniejszych metod oraz dotykają różnych aspektów internetowej działalności. Dla przykładu końcem maja miała miejsce również kampania phishingowa Netflixa, tym razem na terenie Kanady, a jej celem było wyłudzenie danych kont bankowych użytkowników (https://www.baytoday.ca/local-news/phishing-email-was-not-netflix-958994)

–Michał Wnękowicz

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. uwierzytelnienie
    Odpowiedz

Odpowiedz