Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ten film (czy raczej jego kliknięcie) kradnie dane logowania do Facebooka
Tym razem coś dla mniej technicznych czytelników. Zobaczcie następujące oszustwo.
Taka strona promowana jest na Facebooku (zauważcie fałszywy adres w pasku adresu przeglądarki – http://d29qgvbch6mz0g[.]cloudfront[.]net/):
Pewnie sporo osób zechciałoby zobaczyć potencjalnie drastyczne sceny z klubu:
Są one na tyle drastyczne, że wymaga to potwierdzenia wieku (niby za pomocą Facebooka):
Pod koniec ofiara ląduje na fałszywej stronie Facebooka, gdzie podaje (przestępcom) swoje dane logowania (ponownie – fałszywy jest adres w pasku adresu przeglądarki: https://d29qgvbch6mz0g[.]cloudfront[.]net/).
Zauważcie, że adres ma https (tj. połączenie jest „szyfrowane”; jest też szara „kłódka”). Nie ma to jednak znaczenia w kontekście oszustwa, bowiem jeśli ktoś wpisze tutaj swoje dane logowania – wędrują one na serwer przestępców.
Co się dzieje dalej? Najczęściej ofiara traci dostęp do swojego konta na FB (ma zmienione hasło) i uruchamiane są kolejne ataki – np. na znajomych – w celu wyciągnięcia i od nich loginów/haseł.
Inny częsty scenariusz to atakowanie na Facebooku znajomych ofiary (w jej imieniu) – np. w rozsyłane są prośby o kod BLIK („stoję w sklepie i ech zapomniałem pieniędzy, ale mogę zapłacić BLIK-iem, pożyczysz trochę pieniędzy?”). Sama ekipa od BLIKa komentuje to tak:
Kiedy nagle Wasz znajomy pisze do Was przez komunikator internetowy prośbę o przekazanie pieniędzy – uważajcie. Przestępcy przejmują profile i wyłudzają w ten sposób pieniądze – także prosząc o podanie kodu BLIK. Zadzwońcie wówczas do takiej osoby i sprawdźcie czy ktoś się pod nią nie podszywa. Koniecznie stosujcie dwuskładnikowe uwierzytelnienie logowania do Waszych kont na Facebooku, Gmailu i innych serwisach społecznościowych, aby nikt nie przejął Waszego profilu.
Nasze rady?
Weryfikuj zawsze pasek adresu przeglądarki – czy jesteś na prawdziwej stronie, np. Facebooku. Szczególnie zwracaj na to uwagę, kiedy jakaś trona prosi Cię o podanie danych do logowania.
Adres fałszywej strony Facebooka może wyglądać tak:
Adres prawdziwej strony Facebooka oczywiście wygląda tak:
Dodatkowo skonfiguruj tzw. dwuskładnikowe uwierzytelnienie (na Facebooku, GMailu, czy w innych serwisach z których korzystasz).
W przypadku Facebooka wygląda to tak (podajemy nasz numer telefonu, na który w trakcie logowania z nieznanego urządzenia będą przychodzić SMS-em kody. Potwierdzamy i gotowe):
W momencie gdy ktoś nawet przejmie nasz login oraz hasło, nie będzie miał kodu z SMS-a -> zatem nie zaloguje się do naszego konta i go nie przejmie.
–ms
„W momencie gdy ktoś nawet przejmie nasz login oraz hasło, nie będzie miał kodu z SMS-a ”
Dlaczego? Skoro to atak wycelowany konkretnie pod FB, to wystarczy że wyświetli kolejne okno aby ofiara wpisała kod z sms’a. Urządzenie dodaje jako zaufane i już więcej kodów nie będzie.
Zgoda. Ale niestety rekomendowanie na start kluczy sprzętowych to overkill :/ ~150PLN kosztuje jeden, a najlepiej mieć dwa (backup, jakby jeden się popsuł, zginął). No dobra, po dobrej promocji można kupić youbikey za ~70PLN/sztuka. I tak dość drogo.
70zl? Na stronie producenta jest to koszt 25€ co w przeliczeniu na zł wynosi 113zl. Na allegro te klucze zaczynają się od 137zl za sztukę. Rozumiem, że na promocji ale te promocje to raczej takie wyczekiwanie na pierwsza gwiazdkę, nie wiadomo czy będzie :v
No my kupiliśmy po ~70 zł (z przesyłką nawet) z 30 sztuk yubikey 5 nfc.
Na black week 2020, dwie promocje łączyły się ze sobą.
Klucze sprzętowe, aby były popularne musiałby być w cenie przeciętnego pendrive 16GB i do tego kampania jak z tego korzystać i gdzie.
Już samo włączenie 2FA opartego o np. TOTP dużo zmienia w kwestii bezpieczeństwa pod warunkiem, że sekretny kod do generowania jednorazowego hasła pozostaje sekretny.
Dużo też mieszają same firmy udostępniając swoje usługi logowania Sign with Google, Apple, 1login wp itp. Zobacz jak wygląda logowanie w Epic Store, a przypuszczam, że będzie tego jeszcze więcej.
Steam też świruje zamiast standardowe TOTP zastosować to mają jakiś dziwny twór, bez udostępniania sekretnego kodu, który to jednak można sobie z pliku steam gurarda wydobyć i używać np. z KeepassXC/Keepass2Android.
Google to już zupełnie dało ciała z aplikacją z której nie można sobie wyeksportować wygodnie kluczy 2FA. Wiele osób się w ten sposób zniechęca tracąc dostęp do kont np. w wyniku awarii lub uszkodzenia smartfona. Jednocześnie w wielu miejscach wprost się sugeruje, żeby używać aplikacji od googla dla 2FA mimo, że jest masa lepszych.
Za to subskrybcja i czytanie postów na Sekuraku jest darmowe ;)
Za internet trzeba zapłacić (Aero2 tylko jednorazowo), za prąd, za sprzęt. Dopiero ulotka super-pharm, ikei itp. jest za darmo do skrzynki.
https://www.amazon.com/HYPERFIDO-Mini-FIDO2-HOTP-Security/dp/B0813YWZB2
Tylko to już wymaga trochę więcej zachodu. Ktoś musi siedzieć i te kody na żywo wklepywać, ewentualnie trzeba mieć jakiegoś sprytnego bota który się zaloguje i doda zaufane urządzenie. Do tego wypadałoby sprawdzać, które konto ma włączone 2FA i tylko im wyświetlać monit. Ogólnie trochę roboty.
Te scamy facebookowe najczęściej są najprostsze z możliwych. Rozsyłamy tysiące linków, jak 0,5% kliknie i wprowadzi swoje kredki i nie ma 2FA to wystarczy.
fałszywe strony logowania do banków opłacają się na tyle że siedzą i logują się w real time
Znawcą FB nie jestem bo nie korzystam ale czy przypadkiem nie jest tak, że jak FB wykryje logowanie z nowego urządzenia bądź egzotycznego IP (np. tor) to prosi o weryfikację konta przez SMS,email lub identyfikację znajomych? W takim przypadku kredki nie bardzo pomogą chyba, że ktoś używa tych samych do maila.
przy próbie wejścia z Tor prosi o weryfikację, ale sprawcy wchodzą z czystych adresów IP
Używanie managerów haseł powinno być obowiązkowe w internecie :)
i jeszcze jedna oferta https://www.smartcardfocus.com/shop/ilp/id~874/key-id-fido2-push-button-usb-security-key/p/index.shtml
Żeby tylko po dotknięciu nie instalował się backdoor…
działa, nie ma backdoorów, https://www.key-id.com/