15:25
20/10/2022

Ciekawy atak na polskie firmy

Większość ataków socjotechnicznych na polskie firmy jest mało wymuskana, a ich skuteczność bazuje raczej na nieświadomości danego zagrożenia po stronie pracownika-ofiary. Czasem jednak scenariusz ataku jest ciekawszy, nie tyle nowatorski, co bardziej dopracowany niż te wszystkie masówki straszące, że “skończyło Ci się miejsce na twoim koncie Sharepoint, więc wpisz tu login i hasło bo inaczej konto zostanie zablokowane”.

Jednym z takich scenariuszy oberwała firma naszego Czytelnika, Karola. Zobaczcie jak próbowali go podejść.

Zaczyna się od niewinnego maila

Oto treść pierwszej wiadomości otrzymanej przez Karola, na jego firmową skrzynkę

From: Lenia Kalevi dowsuomioy@gmail.com
Sent: Wednesday, October 19, 2022 10:29 AM
To: KAROL, Koleżanka Karola
Cc: Kolega Karola
Subject: OFERTY:Export to Finland

Greeting and how are you doing,
I’m Lenia Kalevi, Import-Export Manager from DOW SUOMI OY, Please kindly let me know if you can export your products to Finland.
Waiting to read back from you.

Thanks
Lenia Kalevi
Import-Export Manager

DOW SUOMI OY
ADDRESS: Bulevardi 7, 00120 Helsinki, Finland
PHONE NUMBER: +358 20 7767550
EMAIL: dowsuomioy@gmail.com

E-mail niewinny. Standardowa prośba o ofertę. Żadnych “podejrzanych” linków ani “złośliwych” załączników. Skrzynka na GMailu — fakt — małoprofesjonalna, ale wiele mniejszych firm i klientów prywatnych nie ma swoich domen.

Karol odpowiedział więc, że z Fińczykami to oczywiście i chętnie i że nie jedno Salmiakki już wychylił, więc co potrzeba, to będzie dostarczone. W odpowiedzi Lenia przesłała mu to:

Dear Karol
Thanks so much for your feedback, Find below SharePoint link containing our Product quantity, Sample image, Company profile and Delivery requirement and issues us your PI www.SharePoint.com. Kindly click on the download as we have personally linked up your company email address to the link which means you can only access the file by using your email password as it was linked to enable you to have full access to the file.
Waiting to read back from you.

W tym e-mailu adres “SharePoint.com” był linkiem, ale prowadzącym pod taki adres:

hxxps://fluffy-woolly-topaz.glitch[.]me/in.html?[ID]=MAILKAROLA

A pod linkiem, znajdowała się strona udająca Sharepointa:

Co działo się po kliknięciu? To, na co uczulała Lenia, że oferta tylko dla oczu Karola, wiec musi się zalogować do konta Microsoft, aby potwierdzić swoją tożsamość:

Dobre, nie?

Podsumowując, gdyby ta domena na której postawiono “lewego” Sharepointa była trochę bardziej dopracowana, ten atak miałby bardzo wysoką liczbę ofiar. Jesteśmy tego pewni, bo regularnie realizujemy dla naszych klientów symulacje różnych ataków phishingowych i jeden z naszych scenariuszy jest bardzo podobny, więc mamy dobry ogląd statystyk nie tylko klikalności ale także podawania danych.

Niestety, jesteśmy też pewni, że nawet bez dopracowanego URL-a ofiar też będzie nie mało… Dlatego podeślijcie linka do tego artykułu swoim pracownikom / kolegom z pracy. Niech uważają na zapytania ofertowe, nie tylko od Leni.

A jakbyście chcieli przetestować swoich pracowników zestawem kilku różnych ataków socjotechnicznych, nie tylko w kanale e-mailowym ale także telefonicznym i fizycznym to dajcie nam znać. Z przyjemnością się do Was włamiemy :-) …a potem oczywiście uświadomimy Wasz zespół na szkoleniu w sprawie tego, co poszło nie tak, co udało się nam pozyskać i co zrobić, aby ani nam ani nikomu innemu w przyszłości podobne ataki na Was nie wyszły.

PS. Tak, wiemy, Finowie. Sprawdzamy kto nie doczyta do końca i da się zmanipulować. To jeden z przykładów jak można w dość przewidywalny sposób posterować zachowaniem ofia, tfu, ludzi ;)

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. He he “Fińczyki” trzymają się mocno. ;-)
    Jak doszedłem do tego fragmentu to pomyślałem, że chodzi o jakieś Finki, więc wzruszyłem ramionami i kontynuowałem czytanie (tak, do końca). ;-)

    Pozdro dla Redakcji.

  2. Ja dziś to miałem. Dostałem maila z własnej domeny mailto:secured_file13666@moja domena.pl i link kierował do https://s3.amazonaws.com/appforest_uf/f1664868029703x348612013674109600/indexNew%20%281%29.html# moja domena
    Na ten Amazonaws.com można się nabrać. Do tego w treści pliku jest logo microsoft a przechodzimy na stronę sharedpiont

  3. Salmiakki to cukierki, a wychylać to można Koskenkorvą ;-)

  4. Chiński – fiński
    Chińczycy – Fińczycy

    Nikt nie wmówi, że jest inaczej.

  5. Uznałem, że nabijacie się z Chińczyków a nie Fińczyków ;)

  6. Mało interesujący. Już myślałem że znaleźliście atak z użyciem pacynek, ale to ordynarny atak na popup. Nic szczególnie ciekawego. Motywacja jak każda inna, tutaj na chęć zysku. Może nieco nietypowe jest zbędne gadanie o konieczności logowania, bo to może faktycznie zepsuć skuteczność ataku, choć jest też elementem “prosta instrukcja”. Dzisiaj jeśli ktoś w pracy dostaje link do zasobów które ma obejrzec/wypelnic/pobrać i pojawią się monit o hasło, wpisuje to hasło automatem. TO HASŁO. Czyli najczęściej używane hasło logowania do domeny firmowej. To automatyczna relacja, a ten scenariusz jest zastanawiający tylko w kontekście nadmiarowej instrukcji, która nie występuje w innych podobnych, gdzie skuteczność ataków jest wysoka.
    Zaskoczcie mnie na serio ciekawym atakiem a nie wariantem czegoś popularnego jak seriale na Netflixie…
    Bezpieczności

  7. Szkoda tylko że strona zrobiona na odwal. Po sumowaniu wielkości plików wychodzi 6,6mb a na dole jest info, że wykorzystano 3,29mb z 5gb.

  8. ale jazda

  9. Jeden z klientów dostał kilka dni temu maila że wygasa hasło do poczty. W mailu był przycisk z linkiem do formularza odnowienia hasła. Na szczęście zadzwonił zapytać co z tym zrobić.

    • Hahahaha…wygasa haslo do poczty, LOL…

      Fińczycy, rzymianie ostatecznie :-(

      Z ciekawosci gugluje ten adres w Helsinkach… Jest jakis biurowiec.

      Pozdro.

    • Nam także próbowano wmówić “nowe hasło” do konta poczty, bo nam wygasło

  10. Atak małosprytny, ale i tak sporo osób może się nabrać – w końcu te okienka z prośbą o logowanie wyskakują w tylu miejscach, że jedno więcej nie robi różnicy.

    Oczywiście lampkę alarmową powinien zapalić fakt, dlaczego mam się logować na MOJE konto, żeby zobaczyć CZYJEŚ dane udostępnione MI na CZYIMŚ koncie :)

    • Ale czemu? Jeżeli udostępniasz coś komuś to on musi potwierdzić że to on. Nie tworzysz nowego loginu u siebie.

    • Bo właśnie tak działa SharePoint? Udostępniasz komuś plik czy katalog po adresie email, to są dwie opcje:
      1. Korzystasz z uslugi M365 i wtedy system to wykrywa i każe Ci się zalogować na swoje konto.
      2. Jeśli nie korzystasz i w systemie M365 nie ma Twojego adresu, to musisz potwierdzić kodem z maila, że Ty to Ty.

      Więc to wbrew pozorom dobrze zaplanowane.

  11. Takie zapytania ofertowe które po odpowiedzi przeradzają się w scam to ostatnio norma – ostatnio na uczelniany mail dostałem informacje od rzekomej agencji pracy która może zaoferować 15 Ukraińców do pracy na wózku widłowym – agencji która uznała za dobry target dla takich pracowników uczelnie wyższą. Tutaj odpowiedz otrzymałem po minucie od wysłania kropki w treści a link do podejrzanej domeny rzekomo miał kierować na microsoftowe formsy gdzie miałem wypełnić formularz dotyczący zapotrzebowania – dalszy schemat pewnie identyczny jak tutaj.

    Z prywatnej analizy – rejestratorem wszystkich domen z których przychodzą maile jest aftermarket.pl (kiedyś był jeszcze Home) a serwery stoją na Arubie. W moim przypadku zarówno na korporacyjny e-mail jak i uczelniany takie maile potrafią przychodzić prawie codziennie od tych samych ludzi i z tych samych domen – na korporacyjnym większość wpada w spam (a jak nie wpada to pomagam żeby na przyszłość wpadały :) ale na uczelnianym przechodzi wszystko pomimo zgłoszeń do DSK.

    • Przykładowo udostępnij pliki przez Google Drive na osobę, podając jej e-mail.
      By zobaczyć MOJE pliki na MOIM koncie udostępnione TOBIE musisz się zalogować na TWOJE konto Google wpisując TWÓJ login i hasło.

      Wszystko jest tu legitne i bez żadnego scamu.
      Wystarczy to tylko podrobić by proces wyglądał tak samo.

  12. Jeden z youtuberów którego czasem filmy oglądam, w podobny sposób stracił swoje konto google, dostał email z ofertą współpracy z linkiem do tego co chcą u niego reklamować na kanale a ten kliknął i bum… następnego dnia całe konto, z wszystkimi filmami ktoś przejął. Nie miał wyjścia, założył nowy kanał ale wielu filmów nie odzyskał (nie wszystko trzymał na dysku), wrzucił natomiast filmik o w którym opowiedział jak się dał w ciula zrobić.

    • “dostał email z ofertą współpracy z linkiem do tego co chcą u niego reklamować na kanale a ten kliknął i bum…”

      Dzieki. Kurna, na przestrzeni ostatnich kilku miesiecy dostalem z 10 takich maili,
      na poczatku myslalem ze ktos wreszcie docenil moj kanal, haha ( ale i tak czulem ze cos nie halo.)

      Takie myslenie mnie opuscilo po dokladnej analizie maila, i kolejnych, pisanych oczywiscie na jedno kopyto.

      Jednakze oni pisza do tylu ludzi ze nawet jesli dwa procent da sie nabrac to hoho, brrr…

  13. Nie wiem czym się zajmuje firma Karola, ale każdy, kto ma choć odrobinę do czynienia z szeroko rozumianą branżą chemiczną od razu zauważy nazwę DOW. DOW to olbrzymia firma i nigdy nie pozwoliłaby na używanie nazwy DOW przez inną firmę oferującą produkt z tego samego przemysłowego sektora. Parę minut googlania pokazuje, że DOW SUOMI OY jest firmą zależną od DOW. Dostać mejla od DOW z domeny gmail.com, to jak dostać mejla z Philipsa, Microsoftu, Amazona z domeny gmail.com.

    Oczywiście może się zdarzyć, że firma Karola zajmuje się np. handlem firanami i nigdy o Dow nie słyszała, ale nawet w tym wypadku podszywanie się (faktyczne bądź mimowolne) pod spółkę będącą częścia światowego giganta ze skrzynką na gmail trudno nazwać podejściem finezyjnym. Zresztą bardziej wygląda to na “bait” niż podszywanie. Osobną kwestią jest też wchodzenie w biznesy z kimś, komu nie poświęci się 5 min aby go choć odrobinę sprofilować. Te 5 minut wystarczy, żeby znaleźć np. profil biznesowy z linkiem do http://www.dow.com, gdzie można sobie wyrobić zdanie nt. adekwatności użycia skrzynki gmail, jeśli już nawet jesteśmy w tej branży firan.

  14. Wszystkiemu winni Fińczycy

  15. Salmiakki to słone cukierki

  16. “Karol odpowiedział więc, że z Fińczykami” chyba z Finami redaktorski o#le

    • Gratulacje, wygrales talon na olimpiade dla przyglupow

  17. Może prześladowany pracownik blokował dostęp do Internetu.

  18. To jeszcze poprawcie R w słowie ofiar :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: