14. 9. 2023
Poslední měsíce se na internetu a sociálních sítích dějí opravdu velké a velmi sofistikované útoky, které mají různé cíle. Rád bych trochu detailněji informoval o této problematice a popsal princip a scénář jednoho skutečného podvodu přes Facebook.
Začíná to nenápadně
V sobotu ráno se probudíte a kromě e-mailů na telefonu se podíváte také na nové notifikace na sociálních sítích. Tam je však zpráva ne od kamarádů, ale od Meta Security. Píše cosi o porušení duševních práv a že Vaše stránka může být zcela odstraněna.
foto: běžná zpráva, která se vydává za správce Facebooku
Starší ročníky, které minula angličtina na školách, mohou zkusit zadat zprávu do Google překladače. Záhadou se však nic nedozvědí.
foto: Google Translator zprávu nedokáže přeložit
I na to útočník myslel a proto mezi písmenka vložil netisknutelné mezery, které nejsou vidět. Zpráva s mezerami vypadá zhruba takto.
foto: text totiž obsahuje netisknutelné znaky, které Google nenahrazuje
Jak to vyřeším?
Rozruší Vás to. Mám někomu zavolat? Mám to řešit? Nechci, aby mi odstranili firemní stránku, tak dlouho jsme ji přeci budovali. Odkaz ve zprávě vede na Facebook, musí být neškodný, zkusím to prověřit.
foto: detail příběhu s falešným odkazem, který si útočník nedávno vytvořil
Zobrazí se detail příběhu, tentokrát zase od Meta Business Support, což je další podvodná stránka (všimněte si písmene a ve slově Meta - je azbukou, což je zcela odlišný znak ale vypadá stejně).
Zde je podobný text, zopakovaný s tím, že odkaz, který vidíte, ve skutečnosti díky precizním HTML znalostem útočníků vede někam jinam. Tady opouštíte facebook a jdete k útočníkům na web.
Jste nahlodaní, chcete to už vyřešit, ať se můžete věnovat jiným věcem. Máte důvěru, přestáváte přemýšlet a ověřovat. Pokračujete.
foto: útočník Vám na podvodné doméně informuje, že máte 24 hodin na potvrzení identity
To je vážné. Cítíte se v problémech, reagujete rychle, rozhodujete emocemi, iracionálně a nikoliv zdravým rozumem. Útočník zcela ovládl Vaši psychiku, pokračujete dále. Poté Vám zobrazí podvodný přihlašovací formulář, kde obsah z tohoto formuláře si ukládá v čitelné formě.
foto: falešné přihlášení pro sběr údajů útočníkem, žádné jiné odkazy nefungují
Nyní jste zcela mimo Facebook a vyskočí na Vás falešné přihlášení k FB. V prohlížeči s Facebookem nepracujete, proto ani neznáte, jak Facebook vypadá a funguje. Vtipné je, že žádné odkazy nefungují, jenom dvě políčka a odeslání formuláře je funkční.
foto: právě jste na subdoméně facebook pro doménu 2078100946361323.review
Pohledem do adresního řádku na mobilu vidíte facebook.2078100946361323.review. Více kvůli omezené šířce ji neuvidíte ani celou. Problém je, že doména, kde se nacházíte je "2078100946361323.review” a nikoliv facebook.com. Doména je útočníka, která běží na serverech Cloudflaru v USA, kde je velmi složité dokazování škodlivého obsahu a pomalá reakce ze strany provozvatele na případné bezpečnostní rizika.
foto: doména byla registrována 8.9.2023 na společnost Phung Duc Tuan u registrátora matbao.net ve Vietnamu
Údaje zadám, ať už mám klid
Zadám své údaje, ať už to vyřeším, říkáte si. V nejhorším možném případě tyto údaje používáte také k jiným službám, např. k e-mailu bez dvoufázového ověření. Těmto uživatelům bych doporučil co nejdříve zaplatit si 2-4 hodiny sezení s IT odborníkem a projít si kompletní bezpečnost účtů. Vyplatí se to.
Na závěr chtějí občanku. Opravdu?
foto: poslední krok je nahrání dokladu totožnosti
Místo zelené zprávy, že je vše vyřešeno, po Vás útočník chce poslední věc. Nahrát Vaši občanku, kde bude jasně vidět datum narození. Znejistíte. Komunikuji opravdu s Facebookem? Útočník sám zmíní, o co mu jde. Datum narození útočník použije pro obnovu hesla k Vašemu Facebookovému účtu.
Konečně, mám to vyřešené
Jsem z toho unavený. Dnes si naordinuji klid od sociálních sítí, je přeci sobota. Zatímco Vy si plánujete odpočívat, útočník začíná pracovat na plné obrátky.
foto: stránka po nahrání dokladu totožnosti
Útok může začít
Útočník použije přihlašovací údaje, anonymně přes VPN či nějaký napadený server přistupuje k Vašemu účtu. Podívá se, jak jej používáte a co spravujete. Ve zkratce, zda-li jste pro něj zajímavý. Pokud ano, pokračuje dále do reklam, a do reklamních účtů, kde si může přidat oprávnění pro svoji stránku / další firemní účet. Operace dělá rychle a upozornění za sebou maže, aby Vám nebylo nic divné. Na závěr odebere všechna oprávnění, aby za sebou zametl stopy.
Správa firemního účtu
Tady si nakliká reklamy, které potřebuje a které má připravené. Jde o další připravené a sofistikované útoky, které vypustí do celého světa pomocí reklam. Reklam vytvoří více, jelikož Facebook má nějaké počáteční limity. Když se spotřebuje první za 1.000 Kč, může vytvořit další za 2.500 Kč atd. Končí to kampaněmi po X x 20.000 Kč.
foto: takto může vypadat Váš výpis z účtu po 2 dnech práce profi hackera
Za tyto peníze útočník může oslovit stovky tisíc lidí po celém světě v dalším dobře sofistikovaném phishing útoku, např. na sběr údajů z debetních a kreditních karet. Ano, jste pouze součást celého scénáře útoku.
Při plošném dosahu statisícu lidí se může 1-3% nechat chytit a útočníkům své údaje o kartách vydat. Tam mohou probíhat již velmi rychlé nákupy např. kryptoměn do peněženek přes pofidérní či asijská kryptoměnová tržiště atd. V řádu hodin se útočník může dostat k ohromnému objemu peněz. Tyto typy útoků může útočník připravovat týdny až měsíce, pravděpodobně ve skupině více osob.
Co s tím?
Je třeba být velmi opatrný, mít svého "IT odborníka”, kterému důvěřujete. Pokud si nejste jisti, konzultujte s ním podobné věci. Ptejte se, raději více, než-li vůbec. Nepoužívejte stejná hesla (nejlépe nepoužívejte hesla vůbec - lepší jsou dlouhé náhodné řetězce, které častěji resetujete). Používejte dvoufázové ověření tam, kde je to možné (soc. sítě, online směnárny, různé databáze, e-mail apod.). Vždy když jde o nějaký nátlak (nutné rychlé jednání, časový limit atd.) zbystřete a zpozorněte, jde ve většině případů o podvod. Útoky mohou mít i jiné formy - telefonický vishing, e-mailový phishing atd. Díky AI jsou také velmi dobře propracované. Mluvte o kybernetických hrozbách s rodinou a s nejbližšími.
Závěrem
Legislativa v ČR v roce 2023 tyto problémy vůbec neumí uchopit. Český CSIRT tým má do zahraničí velmi malé a pomalé konexe (např. vypnutí hostingu na Cloudflare, spolupráce se soc. sítěmi, zahraničními partnery apod.), zákony v ČR jsou velmi krátké a nepropracované. Policie má zcela zoufalý a velmi malý počet IT odborníků, kteří nejsou schopni útočníky vypátrat a potrestat. Místo neustálého nakupování nesmyslných dálničních aut a neustálé obměny vozového parku bychom se měli již teď více soustředit na online prostředí, hledat a školit odborníky a přidělovat jim legislativou nové kompetence. Změna by měla proběhnout také na mezinárodní úrovni. Útočníci již nejezdí po dálnicích a neutíkají policii, již teď sedí v teple a okrádají lidi po celém světě. A funguje to.
Hodně štěstí.
Autor: Zdeněk Málek