Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Właściciele kont Google/Gmail – uwaga na SMSy perfekcyjnie podszywające się pod Google!

12 stycznia 2022, 14:51 | W biegu | komentarzy 16

Jeden z czytelników podesłał nam takiego SMSa, którego otrzymał przed chwilą:

Co tutaj się wydarzyło?

Po pierwsze ktoś wysłał SMSa, który jest wysłany od nadawcy „Google” (tzw. SMS spoofing). Swoją drogą pewien czas temu ktoś w Polsce podszywał się pod nadawcę „SANEPID”:

Fake SMS

Po drugie, telefon widząc nadawcę „Google”, umieścił fałszywą wiadomość w tym samym wątku, co poprzednie prawdziwe wiadomości od Google! Tym bardziej więc nieuważny odbiorca może się nabrać na to oszustwo.

Po trzecie domena id-98756259635[.]com jest podejrzana (chociaż ma https/kłódkę) i na pierwszy rzut oka nie jest związana z Google. Na obecną chwilę pierwsze silniki antywirusowe oznaczają ją jako złośliwą/phishing:

Po czwarte, na serwerze, na którym jest udostępniana ta domena, widać również inne złośliwe domeny, tworzone wg podobnego schematu:

Nie dajcie się nabrać i nie podawajcie na tego typu domenach / adresach swoich danych logowania do Google! Warto również skonfigurować na swoim koncie tzw. dwuczynnikowe uwierzytelnienie (najlepiej z wykorzystaniem sprzętowych kluczy U2F).

Chciałbyś poznać więcej tego typu aktualnych ataków/wiedzieć jak się chronić? Zapraszamy na praktyczne cyberawareness od sekuraka. Kilka godzin super aktualnej i angażującej wiedzy. Istnieje też możliwość realizacji tego typu szkolenia w Twojej firmie/instytucji.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Robert

    Po trzecie domena id-98756259635[.]com jest podejrzana (chociaż ma https/kłódkę) i na pierwszy rzut oka nie jest związana z Google. Na obecną chwilę pierwsze silniki antywirusowe oznaczają ją jako złośliwą/phishing… << gdzie to można sprawdzić?

    Odpowiedz
    • Widoczne jest to na zrzucie ekranowym w poście (virustotal.com)

      Odpowiedz
  2. Patryk

    Samo wejście w link coś powoduje?

    Odpowiedz
    • Zazwyczaj nie

      Odpowiedz
      • Patryk

        A w tym wypadku?

        Odpowiedz
        • To jest ciężkie do absolutnie pewnej odpowiedzi. Bo można zrobić tak:
          1) wszystko działa OK, kieruje na dobrą domenę
          2) pstryk i kieruje na złą, albo tylko użytkowników np. Androida kieruje na złą
          3) „zła” nie musi też koniecznie oznaczać wykorzystującej np. dziury w przeglądarce (to zdarza się b. rzadko).

          Odpowiedz
  3. Ciekawe kto pierwszy po przeczytaniu tego artykułu zapełni pisherom baze jakimiś losowymi danymi ;)

    Odpowiedz
  4. Perfekcyjnie?

    Mimo błędów językowych?

    Odpowiedz
  5. JasKapela

    Mamy 21 wiek, po co uzywac google?

    Odpowiedz
  6. Janko

    Ten URL nie jest podejrzany – ten url krzyczy „jestem oszustwem”. Naprawdę za mało uczymy ludzi podstawowej rzeczy jaką jest sprawdzanie url

    Odpowiedz
  7. Mike

    „Warto również skonfigurować na swoim koncie tzw. dwuczynnikowe uwierzytelnienie (najlepiej z wykorzystaniem sprzętowych kluczy U2F).”

    A jeśli na podstawionej stronie wyskoczy prośba o użycie klucza, który następnie zostanie użyty przez przestępcę?
    Jak długo taki klucz jest ważny?

    Odpowiedz
    • Nie no

      To nie działa tak. Klucz „nie przepisujesz” tylko autoryzujesz. Ten proces jest gwarantem bezpieczeństwa by nie odseparowywać czynnika od strony weryfikującej. Klucz sam sprawdza domenę ale hasło podaje i jeśli nie jest 1:1 to nie wejdzie i nie da się ominąć (dosłownie jak ssl tylko od Twojej strony jest certyfikat i Ty go wydajesz, jeśli pasuje matematycznie do domeny to pozwoli przejść)

      Odpowiedz
      • Małgorzata

        Problem w tym, że taki klucz można podpiąć do wielu kont, co wykorzystali hakerzy, którzy przejęli moje Google. I żadną zwykłą metodą nie da się go odzyskać. Wszystko zautomatyzowane, trwało, jak wynika z powiadomień na adresie pomocniczym, całe 3 minuty. Obeszli dwustopniową weryfikację z kodem na numer telefonu, zmienili hasło, usunęli numer i adres pomocniczy, zmienili moje dane osobowe tak, że formularz odzyskiwania nie znajduje tego konta przez imię i nazwisko. Za to podpięli U2F, cholera wie jaki. A U2F ma priorytet nad każdą inną metodą logowania, więc narzędzie odzyskiwania odbija mi czkawką „użyj klucza” albo „podaj jeden z ośmiocyfrowych kodów, które dostałeś przy jego podpinaniu” . Ewentualnie czasami wysyła kod na – uwaga – ten właśnie zhakowany adres, który próbuję odzyskać, tylko zaliasowany bez kropki (kropki w adresie mają dla Googla znaczenie czysto kosmetyczne. Google umywa ręce – narzędzie odzyskiwania jest jedyną metodą, której można użyć, powtarza to każdy support, do jakiego się dobijam, a samo dopadnięcie żywego supportu graniczy z cudem. I tak rzeczy składowane w chmurach google przez dwadzieścia lat poszły się kochać. Mądra po szkodzie (20 lat bezpiecznego użytkowania i czujności, parę razy próbowali mnie zhakować, ale nie przeszło) kupiłam w zewnetrzniaki ssd po 2 tera i wszystko co szło do chmury, zwłaszcza zdjęcia i projekty, idą na nie. Ale projekty grupowe z docsów straciłam, zwłaszcza te starsze.

        Jeszcze się nie poddałam, ale po miesiącu bardzo czarno widzę możliwość odzyskania konta i danych.

        Jak mnie podeszli – nie mam pojęcia. Tego dnia nigdzie się nie autoryzowałam, poprzedniego wylogowało mnie w przeglądarce Vivaldi po jej aktualizacji – może podeszli mnie phishingowym smsem, wyglądającym normalnie – Vivaldi w systemie Windows, Google nie podaje lokalizacji (w odróżnieniu od wszystkich normalnych serwisów tego rodzaju).

        Odpowiedz
  8. Piotrek

    Zgłosić z wnioskiem o ściganie karne do najbliższej jednostki Policji lub Prokuratury, resztę oni wykonają, bo po to są.

    Odpowiedz
    • BRUNO

      Buuua ha ha ha – z całym szacunkiem, jak podałem na tacy szanownej Policji sprawcę to nawet nie raczyli odpisać, o wszczęciu działań to już nawet nie będę wspominał. Tacy oni dziarscy i prężni w te klocki.

      Odpowiedz
    • Małgorzata

      Ja zgłosiłam. Nawet jeszcze nie dostałam numeru sprawy – po 25 dniach. Stawiam zresztą na to, że zrobiły to orki, z użyciem vpn-a maskującego lokalizację. W dodatku wyczyścili mi konto bankowe, kupując z użyciem mojego imienia i nazwiska jakieś usługi na youtube. Pewnie krypto. Bank przyjął reklamację, kasa wróciła, konto google nieodzyskiwalne.

      Odpowiedz

Odpowiedz