19:29
18/3/2010

Nasza-Klasa i atak typu phishing

Napisał do nas Michał (nazwisko do wiadomości readakcji), skarżąc się, że pomimo wielokrotnych zgłoszeń błędu w serwisie Nasza-Klasa.pl, portalowy zespół bezpieczeństwa od 3 miesięcy nie reaguje… Zakładamy zatem, że skoro nie reaguje, to błąd musi być błahy — postanowiliśmy zatem zademonstrować przykładowy atak typu phishing na portal Nasza-Klasa, oczywiście w oparciu o ten błahy błąd…

Przykład Phishingu na serwis Nasza-Klasa.pl

Aby atak się udał, potencjalna ofiara musi spełnić następujące warunki:

  1. być wylogowana z Naszej-Klasy
  2. kliknąć na http://nasza-klasa.pl/login?target=https://niebezpiecznik.pl/nk_login.htm
  3. i zalogować się

Natychmiast po zalogowaniu ofiara zostanie “przeniesiona” na podastawiony przez phishera adres (u nas: https://niebezpiecznik.pl/nk_login.htm), a tam, jak to się zazwyczaj zdarza w tego typu atakach, powita ją informacja, że wystąpił błąd logowania i należy zalgować się ponownie. Jeśli tylko ofiara zaloguje się, jej login i hasło do konta trafią w ręce złego phishera. PROFIT!

Michał napisał:

Na 61 osób na których testowałem, dostałem 28 haseł, reszta zapewne była zalogowana.

Podana w naszym przykładzie strona celowo wygląda kiepsko (pewnie i tak znajdą się tacy, którzy dadzą się nabrać…). Nic jednak nie stoi na przeszkodzie, żeby wyglądała tak:

Przechwytująca hasło strona może być idealnym odwzorowaniem portalu

Przestrzegamy, że z reguły phisherzy podsyłają tego typu linki przez komunikator lub e-mail. Często zaciemniają też wygląd linka za pomocą:

Omawiany przez nas wczoraj typosquatting też wydaje się być dobrym sposobem na zwiększenie skuteczności takiego ataku. Zamiast groźnie wyglądającego “niebezpiecznik.pl” ofiara może zobaczyć np. nasza-kIasa.pl/login.php Zauważ, że w słowie “klasa” nie występuje literka “L” ale duże “i” — oops, ta domena jest jeszcze wolna!

Przekierowanie: czy to poważny błąd?

Znaleziony przez naszego Czytelnika błąd to tzw. “open redirect“. Znajduje się on na liście 10 najpopularniejszych błędów w webaplikacjach wg OWASP-u oraz 25 najgroźniejszych błędów jakie może popełnić programista.

Ostrzegamy, że błąd może zostać wykorzystany zarówno do zaprezentowanego przez nas wykradzenia hasła, jak i do wykorzystania zaufania do danej strony (NK) i zmuszenia użytkownika do pobrania złośliwego oprogramowania (link zamiast na stronę z błędem poprowadzi wprost do wirusa/trojana):

Hej stary, zaloguj sie na Naszą-Klasę i zobacz jaki zaje**sty programik do wyszukiwania fotek fajnych lasek dają:
http://nasza-klasa.pl/login?target=http://szuk.aj/laski.exe

P.S. Nie sądzimy, żeby Nasza-Klasa bagatelizowała tego typu błędy — najprawdopodobniej zgłoszenie błędu wysłane kilkukrotnie przez Michała nie trafiło na biurko programistów lub bezpieczników. Ponieważ wiemy, że pracownicy NK są naszymi regularnymi czytelnikami (pozdrawiamy!) postanowiliśmy im odrobinkę pomóc odnaleźć ten błąd w gąszczu ticketów ;-) W razie czego, służymy też darmową radą, jak zaimplementować to przekierowanie zewnętrzne w sposób bezpieczny.

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. Wygląda na to, jakby już załatali ;) Wasz przykład przenosi na ” http://nasza-klasa.pl/#https://niebezpiecznik.pl/nk_login.htm “, resztę podobnie ;)

  2. “ta domena jest jeszcze wolna!”
    Już nie ]:->

  3. Nie mam siły już do tego serwisu – pitolenie o milionach kont, śledziach i edukacji internatów – widać kto to kogo edukuje tam jakaś banda matołów musi pracować…

  4. Ciekawe. Ale zastanawiam się, w jaki sposób oni sami tego nie zauwazyli?

  5. Hej, już kiedyś mieli bardzo podobny błąd w reklamach. Zainspirowany tą luką napisałem krótką historyjkę, w wyniku której od uzyskania hasła przechodzimy aż do kradzieży auta, a wszystko przez Internet. Zapraszam do lektury: http://zpociagu.blogspot.com/2010/01/jak-ukrasc-samochod-przez-internet.html

  6. http://nasza-klasa.pl/#http://dzek.metal.info/
    da nam podobny efekt jak ktos jest zalogowany

  7. U mnie dalej przekierowuje na stronę NK/niebezpiecznik.
    Swoją drogą, to za co ci goście ‘od komputerów’ tam biorą kasę ? Za doglądanie licznika odwiedzin ?

  8. mi na normalnym koncie nie działa, pojawia sie 404
    na koncie fikcyjnym natomiast przenosi na złośliwą stronę, dziwne…

  9. […] tych rozważań skłonił mnie wpis Nasza-Klasa i atak typu phishing, choć od dawna mam wątpliwości co do wpływu błędów takich jak open redirect na ryzyko. […]

  10. NK jest swiezo po pentescie :> widac, ze P.F.[wymoderowano nazwisko. powód: rzucasz imienne oskarzenia, miej odwage sie podpisac] zrobil po lebkach, nie polecam!

  11. Ciekawe jak wyglądałaby historia w przypadku http://www.goIdenIine.pl/logowanie :)
    Domena wolna.

  12. Ale wtopa, i to jeszcze tak banalna :/
    Masakra, aż strach myśleć jakie błędy popełnili głębiej

  13. teraz wszyscy pojdziecie siedziec — nk pozwie was z tytulu zaklocenia dzialania systemu informatycznego i wyliczy swoje straty na 10^6 miliardow dolarow.

  14. @ged: eurogąbek…

  15. @up
    to był jeden z powodów, dla których chciałem o tym napisać
    ‘Nagłośnijcie tą sprawę jeżeli uważacie to za błąd
    wielkiego “profesjonalnego serwisu, który traci miliony złotych przez pare
    fikcyjnych kont”.’

  16. w waszej phisherskiej stronie zamknijcie sobie znacznik FORM poprawnie ;P

  17. co do sprawy z fikcyjnymi kontami.
    mam wrazenie, ze gdyby ci kolesie, ktorzy je tworzyli, nie mieli zadnego pirackiego softu w domu / na dysku i nie przyznaliby sie do zarzucanego czynu, czyli do zaklocania dzialania systemu teleinformatycznego (o ile dobrze pamietam), to nic by im sie nie stalo — nawet gdyby doszlo do rozprawy, to mysle, ze zdolaliby udowodnic niedorzecznosc zarzutow. moze jakis prawnik sie wypowie?

    warta odnotowania jest tez skutecznosc wroclawskiej prokuratury, ktora niezwykle ochoczo bada kazde zgloszenie z n-k. stawiam, ze chodzi glownie o PR — kazda tego typu akcja odbija sie glosnym echem przynajmniej w internecie. z boku wyglada to troche tak, ze n-k wchodzi na komende i zamawia aresztowania, jak kotlety w barze :P

  18. @kuba: Nasza “phisherska” strona, specjalnie nie działa. Przecież ona nie powstała żeby “wykradać” hasła, tylko aby zobrazować mechanizm i ostrzec czytelników.

  19. a czemu u mnie to nie działa na normalnym koncie? tylko mam to 404 ?

  20. @Marek
    załatali

  21. A może ktoś napisze jak uniknąć takiego (banalnego) błędu OR jakiś link do “tutka” please.

  22. @Mariusz: Wystarczy przestrzegać najważniejszej zasady. Nigdy nie ufać danym wejściowym. Dane przekazywane przez użytkownika należy zawsze weryfikować. Tu by wystarzyły wyrażenia regularne lub proste PHP’owe explode(), a następnie sprawdzenie co siedzi w tablicy.

  23. @Mariusz: Pracownik NK? :D JOKE ;-)

  24. mi sie pojawia od jakiegoś czasu białą strona jak wchodze na nk

  25. od 3 dni jestem systematycznie blokowana wieczorem i to na 6 godzi, co za idiota to robi
    prosze o natycmiastowa odpowiedz……..bo załatwie to inaczej…natychmiast

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.