Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Prawdopodobny phishing na adminów Mastodona za pośrednictwem Fediwersum
Mastodon to oprogramowanie, które w Fediwersum miało zastąpić Twittera (obecnie X).
Instancje Mastodona tworzą zdecentralizowaną federację składającą się z niezależnych instancji. Każda z instancji posiada swojego administratora, serwer, domenę i… politykę wymiany danych z innymi instancjami.
W ramach pojedynczej instancji nie ma ograniczeń widoczności, jednak w Fediversum powstał specyficzny podział pomiędzy instancjami, który w uproszczeniu można sprowadzić do zwolenników nieskrępowanej wolności słowa oraz zwolenników poszanowania różnego typu mniejszości i moderacji treści.
Po zmianie Twittera przez Elona Muska popularność alternatywnej sieci nieco wzrosła. Choć trudno mówić o osiągnięciu poziomu realnej, masowej konkurencji, to sieć zdobyła wiernych użytkowników. Użytkownicy mogą dołączyć do dowolnej instancji.
W tego typu zdecentralizowanym miejscu pojawiają się nowe ryzyka, nad którymi raczej użytkownicy tej sieci się nie zastanawiają. Nie na każdej instancji oprogramowanie jest aktualizowane na bieżąco, a administratorzy – często działający społecznie – mogą paść ofiarą phishingu.
Z przykładem zagrożeń mieliśmy właśnie do czynienia. Atakujący zamieścił następującą wiadomość (rys. 1):
Jak widzimy, wzywa w niej do blokady instancji mastodon.online podając wzbudzające emocje w świecie Fediwersum powody i… zachęca do kliknięcia linka. Co ciekawe, na każdej instancji zamiast mastodon.online (z której korzysta autor artykułu), widoczna była domena tejże właśnie instancji.
Spowodowało to reakcję użytkowników obawiających się blokady, którzy wezwali administratorów. Oraz próby interakcji przez administratorów z zamieszczoną treścią i jej autorem.
Sama domena kiki[.]velzie[.]rip już nie działa (rys. 2), więc nie jesteśmy w stanie stwierdzić, czy chodziło o faktyczną próbę phishingu, czy – jak niektórzy sugerują – wyłącznie o żart. Biorąc pod uwagę użyte, nieco humorystyczne, argumenty, bardziej prawdopodobna jest druga opcja.
Należy jednak zauważyć, że atak od strony socjotechnicznej powiódł się perfekcyjnie – użytkownicy zmotywowali administratorów do działania, administratorzy próbowali otworzyć linka i nawiązać kontakt z autorem wiadomości. Nietrudno sobie wyobrazić scenariusz z prawdziwym phishingiem i wciągnięciem administratorów instancji w niebezpieczne interakcje przez wprawnego socjotechnika.
Należy pamiętać, że nawet jeśli jeszcze cyberprzestępcy nie zainteresowali się poważnie Fediwersum, to prędzej czy później to zrobią. Tym bardziej, że pogłębia się więź między tradycyjnymi platformami, a Fediwersum.
~Paweł Różański
>too many neocat emojis
Zdecydowanie żart, nie próba phishingu. Gdyby instancja jeszcze stała, po wejściu w link zobaczylibyśmy placeholder zamiast nazwy swojej instancji, scenariusz phishingu wymagałby trochę modyfikacji, choć rzeczywiście widzę takie możliwości
artykuł w stylu „jak napisać że nie jesteś na Fediwersum bez pisania że nie jesteś na Fediwersum”; „click on view remote” w tym przypadku odnosi się do otwarcia postu na oryginalnej instancji – żeby, jeżeli ktoś nie złapał żartu, zobaczyć że post nie odnosi się do instancji użytkownika, tylko placeholder który podstawia domenę oglądającego. do tego jeszcze „bardziej prawdopodobna jest druga opcja”, ale tytuł nadal clickbaitowy, serio? xD
czy wy serio zrobiliście cały artykuł Z JEDNEGO OCZYWISTEGO SHITPOSTA? 🤦
„profesjonaliści od bezpieczeństwa” kiedy zwykły, oczywisty shitpost
btw, post wyświetla domenę instancji na której się wyświetla post, więc XD
phishing jest kiedy jeden z bardziej klasycznych żartów na AP
nie powiekszajcie tego avka
Sekuraku, naprawdę moderujecie komentarze po to, żeby przyjąć coś takiego?
;)
Odpowiadając zbiorczo na komentarze:
1. jestem autorem artykułu i od paru lat korzystam z Fediwersum, co łatwo sprawdzić,
2. artykuł był pisany na gorąco, co także łatwo sprawdzić po czasie/datach na screenshotach,
3. pierwszym postem, który zobaczyłem, był administrator jednej z polskich instancji, który szuka kontaktu z autorem posta, to zainspirowało do tego krótkiego artykułu,
4. jeśli na „oczywisty shitpost” nabrało się paru użytkowników oraz administratorzy serwerów – to chyba nawet gorzej?,
5. przyznaję, że nabrałem się i ja, choć przynajmniej niektóre zarzuty od początku wyglądały na absurdalne – nie wiem na ile to kwestia kolejności postów, a na ile kwestia moich doświadczeń z czytaniem kiedyś powodów banów instancji,
6. ten mechanizm właśnie na tym polega, że nabieramy się na rzeczy oczywiste: ludzie dopłacają do paczek, których nie zamawiali, wierzą w komunikaty, że wygrali iphone albo że książę z Nigerii prosi o pomoc przy wytransferowaniu milionów dolarów,
7. z artykułu powinno jasno wynikać, że tym razem to nie phishing, ale widać potencjał na faktyczne ataki podobnego typu; jeśli nie wyszło – muszę popracować nad jasnością przekazu.