Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uwaga, na nową sprytną metodę phishingu, którą zaczynają stosować przestępcy. W skrócie – złośliwa CAPTCHA.
Ofiara na stronie, którą odwiedza, otrzymuje niby standardową prośbę potwierdzenia, że „jest człowiekiem” (czyli mechanizm CAPTCHA):
Ale zwróć uwagę na niby niewinną instrukcję, która się pojawia przy tej okazji:
1. Naciśnij win+r
2. Naciśnij ctrl+v
3. Naciśnij enter
Jak możesz się domyślać, najpierw złośliwa strona umieszcza coś w schowku systemowym ofiary (złośliwe polecenie powershell), a później pod pozorem CAPTCHY, użytkownik jest skłaniany do uruchomienia tego polecenia.
„Geniusz” tego pomysłu, polega na tym, że dla użytkownika wszystkie wskazane operacje nie są jakoś bardzo „podejrzane” (w szczególności nie zaznacza wprost / nie kopiuje wprost „dziwnych poleceń”).
Po uruchomieniu polecenia, komputer jest infekowany malwarem (infostealer wykradający dane; potencjalnie atakujący mógłby też mieć zdalny dostęp do komputera).
Możesz się zastanawiać, czy przeglądarka może sobie ot tak coś wkleić do schowka?
Otóż może, np. po naciśnięciu przez użytkownika przycisku na stronie (na foto wyżej jest to przycisk: I’m not a robot). I nie ma tutaj żadnego dodatkowego alertu, potwierdzenia czy czegoś podobnego jak np. w przypadku przydzielania stronie dostępu do systemowej kamery.
Ostrzeż znajomych przed tym typem ataku. Szczególnie wskazując na fakt, że wpisywanie/przeklejenie czegokolwiek „z internetu” po naciśnięciu kombinacji klawiszy Windows+R – jest skrajnie niebezpieczne.
PS
Więcej aktualności, tego typu tricków oraz metod obrony możesz zobaczyć na naszym szkoleniu cyberawarness.
~ms
Możnaby jeszcze dodać spacji przed/po komendzie żeby widoczna część wyglądała niewinniej.
I może ctrl+v zamienić na shift+insert? Ale nie testowałem czy tam działa.
Nie powiedziałbym że to sprytna metoda, sama się nasuwa jak się chwilkę pomyśli. To z prawoklikiem w oknie powershella już lepsze.
Chyba już lepiej wykonać atak na przeglądarkę wykonując złośliwego js-a albo obrazka z exploitem niż jawnie namawiać na wklejenie komendy do wiersza peleceń
przyklad in the wild:
https://www.bleepingcomputer.com/news/security/clever-github-scanner-campaign-abusing-repos-to-push-malware/
Aż trudno uwierzyć, że ludzie dają się nabierać na takie rzeczy. Myślę, że potrzebujemy „prawa obsługi komputera” analogicznego do prawa jazdy.