Zaznamenali jsme novou vlnu phishingu cílenou na klienty ČSOB, která však byla v lecčem jiná

Českem se přehnala nová vlna phishingu cílená na klienty ČSOB, jejíž nebezpečnost by se dala hodnotit jako nízká.

Útočníci v této kampani evidentně vsadili na jednoduchost, a snahu vydávat se za automatický systém banky.

Odpovídala tomu délka zprávy a strohost e-mailu, který však byl zasílán i neklientům ČSOB, takže se rozhodně nejednalo o spear phishing. Ale ani tak krátký e-mail nezvládli útočníci napsat bez chyb, a také adresa, z které byl e-mail odeslán a odkaz, který byl v e-mailu uveden, vedl na stránky umístěné různě v zahraničí na již dříve hacknutých webech.

Tohle bylo oproti předchozím kampaním jiné. Zatímco dříve bylo rovněž rozesláno velké množství e-mailů z různých adres, a odkaz směřoval na jednu či několik málo domén, tak tentokrát odkazy vedly na větší počet stránek umístěných na hacknutých webech povětšinou v zemích bývalého východního bloku.

Jednalo se např. o Maďarsko, Rumunsko, Chorvatsko, Bosnu a Hercegovinu, Litvu a potom tak trochu stranou stála Indonésie. Otázka je, proč si útočník vybral zrovna tyto země a co měly tyto hacknuté weby společného. Na první pohled je nic nespojuje, běžely na různých systémech, ale nějaká zranitelnost v nich evidentně být musela.

Důvod, proč se útočník rozhodl rozjet v phishing stránky na větším počtu hacknutých webů, je prostý. Chtěl se jednak vyhnout rychlé detekci, a také docílit toho, že i v případě odhalení několika webů, budou ostatní stále dostupné. Nehledě na to, že web, který je zneužit k phishingu a nachází se v jiné zemi nelze tak snadno odstavit, protože by si mohl stěžovat jeho skutečný vlastník. Něco jiného je to u webů založených jen za účelem phishingu, na kterých nic jiného neběží.

Pokud útočník vytvoří jen několik málo domén s ne nepodobným názvem jako je web banky a opatří je případně i certifikátem, tak v okamžiku, kdy na ně začnou přistupovat klienti banky, výrazně vzroste síťový provoz z ČR na tyto domény.

Tato anomálie by se dala poměrně snadno detekovat, protože tyto za účelem phishingu založené domény, jsou nové, a nikdy v minulosti na nich takový provoz zaznamenán nebyl.

Jinak tomu však je u hacknutých webů. Ty již mají nějakou historii a můžeme předpokládat, že i rostoucí návštěvnost. Když jim pak tato návštěvnost ještě o něco vzroste, není to z pohledu nástrojů provádějících detekci anomálií na síti nic až tak výjimečného.

Samozřejmě záleží na tom, jak jsou tyto NBA nástroje nastaveny a jaká je jejich umělá inteligence. Problém je, že i když mluvíme o velkém počtu e-mailů a zvýšení provozu, tak z pohledu těchto nástrojů je to jako flusanec do vody, a proto tato detekce selhává.

A nejinak je tomu i s detekcí těchto phishing zpráv na mailovém serveru. V tom množství různých automaticky generovaných zpráv, je rovněž velice obtížné vytvořit účinné pravidlo, ale dalo by se.

Není také nic zvláštního na tom, že mnohé z odkazů uvedených v e-mailu dokonce ani nefungovaly. O likvidaci některých phishing stránek se postarali hned v zárodku samotní provozovatelé hacknutých webů. Otázka však je, jestli už nebylo pozdě.

Pokud odkaz vedl na málo navštěvovaný web, tak si jeho správce po počátečním nadšení z náhlého zvýšení návštěvnosti podíval, která že to stránka mu tu návštěvnost tak zvedla, a ke svému překvapení zjistil, že to není stránka, kterou by tam on sám publikoval, ale že mu nejspíš někdo hacknul web, a tak tuto stránku neprodleně odstranil.

Je třeba si uvědomit, které že to weby byly vlastně hacknuty. Weby, které nejsou až tak často aktualizované, mají menší návštěvnost. Jejich správce vidí hned, které stránky se mu podílejí na návštěvnosti. Něco jiného by bylo, kdyby se útočníkovi podařilo hacknout nějaký hojně navštěvovaný web a phishing stránku umístit tam. Ty jsou ale naštěstí lépe zabezpečeny.

Problém je, že banka těmto útokům nemůže nijak zabránit, a byť se snaží o bezpečnostní osvětu a na svých stránkách uvádí, že by si klient měl vždy zkontrolovat adresu webu, certifikát a co vlastně potvrzuje, tak vždy se může najít někdo, kdo se těmito pokyny nebude řídit.

Pokud jde o vlastní phishing e-mail, tak ten vypadal takto:

Máte jednu novou důležitou zprávu
Chcete-li číst tuto zprávu, klikněte prosím: přihlásit
Toto je automaticky generované e-mail – prosím, neodpovídejte na něj.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2017. Zaznamenali jsme novou vlnu phishingu cílenou na klienty ČSOB, která však byla v lecčem jiná. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zaznamenali-jsme-novou-vlnu-phishingu-cilenou-na-klienty-csob-ktera-vsak-byla-v-leccem-jina/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Zaznamenali jsme novou vlnu phishingu cílenou na klienty ČSOB, která však byla v lecčem jiná” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: