Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Właściciele kont Google/Gmail – uwaga na SMSy perfekcyjnie podszywające się pod Google!
Jeden z czytelników podesłał nam takiego SMSa, którego otrzymał przed chwilą:
Co tutaj się wydarzyło?
Po pierwsze ktoś wysłał SMSa, który jest wysłany od nadawcy „Google” (tzw. SMS spoofing). Swoją drogą pewien czas temu ktoś w Polsce podszywał się pod nadawcę „SANEPID”:
Po drugie, telefon widząc nadawcę „Google”, umieścił fałszywą wiadomość w tym samym wątku, co poprzednie prawdziwe wiadomości od Google! Tym bardziej więc nieuważny odbiorca może się nabrać na to oszustwo.
Po trzecie domena id-98756259635[.]com jest podejrzana (chociaż ma https/kłódkę) i na pierwszy rzut oka nie jest związana z Google. Na obecną chwilę pierwsze silniki antywirusowe oznaczają ją jako złośliwą/phishing:
Po czwarte, na serwerze, na którym jest udostępniana ta domena, widać również inne złośliwe domeny, tworzone wg podobnego schematu:
Nie dajcie się nabrać i nie podawajcie na tego typu domenach / adresach swoich danych logowania do Google! Warto również skonfigurować na swoim koncie tzw. dwuczynnikowe uwierzytelnienie (najlepiej z wykorzystaniem sprzętowych kluczy U2F).
~Michał Sajdak
Po trzecie domena id-98756259635[.]com jest podejrzana (chociaż ma https/kłódkę) i na pierwszy rzut oka nie jest związana z Google. Na obecną chwilę pierwsze silniki antywirusowe oznaczają ją jako złośliwą/phishing… << gdzie to można sprawdzić?
Widoczne jest to na zrzucie ekranowym w poście (virustotal.com)
Samo wejście w link coś powoduje?
Zazwyczaj nie
A w tym wypadku?
To jest ciężkie do absolutnie pewnej odpowiedzi. Bo można zrobić tak:
1) wszystko działa OK, kieruje na dobrą domenę
2) pstryk i kieruje na złą, albo tylko użytkowników np. Androida kieruje na złą
3) „zła” nie musi też koniecznie oznaczać wykorzystującej np. dziury w przeglądarce (to zdarza się b. rzadko).
Ciekawe kto pierwszy po przeczytaniu tego artykułu zapełni pisherom baze jakimiś losowymi danymi ;)
Mimo błędów językowych?
Mamy 21 wiek, po co uzywac google?
Ten URL nie jest podejrzany – ten url krzyczy „jestem oszustwem”. Naprawdę za mało uczymy ludzi podstawowej rzeczy jaką jest sprawdzanie url
„Warto również skonfigurować na swoim koncie tzw. dwuczynnikowe uwierzytelnienie (najlepiej z wykorzystaniem sprzętowych kluczy U2F).”
A jeśli na podstawionej stronie wyskoczy prośba o użycie klucza, który następnie zostanie użyty przez przestępcę?
Jak długo taki klucz jest ważny?
To nie działa tak. Klucz „nie przepisujesz” tylko autoryzujesz. Ten proces jest gwarantem bezpieczeństwa by nie odseparowywać czynnika od strony weryfikującej. Klucz sam sprawdza domenę ale hasło podaje i jeśli nie jest 1:1 to nie wejdzie i nie da się ominąć (dosłownie jak ssl tylko od Twojej strony jest certyfikat i Ty go wydajesz, jeśli pasuje matematycznie do domeny to pozwoli przejść)
Problem w tym, że taki klucz można podpiąć do wielu kont, co wykorzystali hakerzy, którzy przejęli moje Google. I żadną zwykłą metodą nie da się go odzyskać. Wszystko zautomatyzowane, trwało, jak wynika z powiadomień na adresie pomocniczym, całe 3 minuty. Obeszli dwustopniową weryfikację z kodem na numer telefonu, zmienili hasło, usunęli numer i adres pomocniczy, zmienili moje dane osobowe tak, że formularz odzyskiwania nie znajduje tego konta przez imię i nazwisko. Za to podpięli U2F, cholera wie jaki. A U2F ma priorytet nad każdą inną metodą logowania, więc narzędzie odzyskiwania odbija mi czkawką „użyj klucza” albo „podaj jeden z ośmiocyfrowych kodów, które dostałeś przy jego podpinaniu” . Ewentualnie czasami wysyła kod na – uwaga – ten właśnie zhakowany adres, który próbuję odzyskać, tylko zaliasowany bez kropki (kropki w adresie mają dla Googla znaczenie czysto kosmetyczne. Google umywa ręce – narzędzie odzyskiwania jest jedyną metodą, której można użyć, powtarza to każdy support, do jakiego się dobijam, a samo dopadnięcie żywego supportu graniczy z cudem. I tak rzeczy składowane w chmurach google przez dwadzieścia lat poszły się kochać. Mądra po szkodzie (20 lat bezpiecznego użytkowania i czujności, parę razy próbowali mnie zhakować, ale nie przeszło) kupiłam w zewnetrzniaki ssd po 2 tera i wszystko co szło do chmury, zwłaszcza zdjęcia i projekty, idą na nie. Ale projekty grupowe z docsów straciłam, zwłaszcza te starsze.
Jeszcze się nie poddałam, ale po miesiącu bardzo czarno widzę możliwość odzyskania konta i danych.
Jak mnie podeszli – nie mam pojęcia. Tego dnia nigdzie się nie autoryzowałam, poprzedniego wylogowało mnie w przeglądarce Vivaldi po jej aktualizacji – może podeszli mnie phishingowym smsem, wyglądającym normalnie – Vivaldi w systemie Windows, Google nie podaje lokalizacji (w odróżnieniu od wszystkich normalnych serwisów tego rodzaju).
Zgłosić z wnioskiem o ściganie karne do najbliższej jednostki Policji lub Prokuratury, resztę oni wykonają, bo po to są.
Buuua ha ha ha – z całym szacunkiem, jak podałem na tacy szanownej Policji sprawcę to nawet nie raczyli odpisać, o wszczęciu działań to już nawet nie będę wspominał. Tacy oni dziarscy i prężni w te klocki.
Ja zgłosiłam. Nawet jeszcze nie dostałam numeru sprawy – po 25 dniach. Stawiam zresztą na to, że zrobiły to orki, z użyciem vpn-a maskującego lokalizację. W dodatku wyczyścili mi konto bankowe, kupując z użyciem mojego imienia i nazwiska jakieś usługi na youtube. Pewnie krypto. Bank przyjął reklamację, kasa wróciła, konto google nieodzyskiwalne.