Téged vertek már át így?

A Symantec közölte, hogy szakemberei nemrégiben felfigyeltek arra, hogy az egyik igen kártékony adathalász-átverés eseteinek száma komoly növekedést mutat. A módszer lényege, hogy a támadók a levelező rendszerek jelszó-helyreállítási funkcióját használják fel az áldozatok e-mail fiókjához való hozzáféréshez.

A csalás két okból sikeres: a becsapás egyszerű, a felhasználók döntő többsége pedig megbízik a hivatalosnak látszó dolgokban. Ez a két tulajdonság a kiberbűnözés világában is jól működik, és erre a módszer jó példával szolgál.

A módszer

A szakértők először azt vették észre, hogy jelentősen emelkedik az egyik adathalász-átverés eseteinek száma, amelynek célja az áldozatok e-mail fiókjai fölötti kontroll megszerzése. A pszichológiai manipulációs (social engineering) támadások nagy részét a Gmail, Hotmail és a Yahoo Mail felhasználóinál észlelték.

A támadás kivitelezéséhez a bűnözőknek tudniuk kell az áldozatok e-mail címét és mobiltelefonszámát – ezek megszerzése egy ilyen csoportnak nem jelent komoly feladatot. A támadók a levelezőszolgáltatások jelszó-helyreállítási funkcióját használják fel, amely segít a felhasználóknak, hogy elfelejtett jelszó esetén is hozzáférjenek fiókjaikhoz (leginkább azt a típust, amely a mobiltelefonra küld azonosító kódot). Egy Gmail-felhasználónál például az alábbi módszerrel lehet megszerezni a belépési adatokat:

  • az áldozat regisztrálja a mobiltelefonszámát a Gmail rendszerében, így ha elfelejti jelszavát, akkor a Google küld számára egy azonosító kódot, amelynek segítségével hozzáférhet a fiókjához
  • a támadó meg akarja szerezni az áldozat fiókját, de nem tudja a jelszót, azonban ismeri a felhasználó e-mail címét és mobilszámát. A Gmail belépőoldalán megadja az áldozat e-mail címét, és a „Kér segítséget?” linkre kattint, amelyet a felhasználók általában akkor használnak, ha elfelejtik belépési adataikat
  • a felkínált lehetőségeket elutasítva a támadó kivárja, amíg megjelenik a mobiltelefonra küldött azonosító kód lehetősége, majd elfogadja az opciót, amely hatjegyű azonosítót küld az áldozat telefonszámára
  • a felhasználó mobiltelefonjára megérkezik a hatjegyű kód
  • a támadó szintén küld az áldozat telefonjára egy hivatalosnak látszó szöveges üzenetet: „A Google gyanús tevékenységet észlelt a fiókjában. Kérjük, válaszként küldje el hatjegyű azonosítókódját, hogy megakadályozzuk az illetéktelen tevékenységet fiókjában.”
  • az áldozat azt gondolja, hogy az üzenetet a Google küldte, így válaszában elküldi a kódot közvetlenül a támadó telefonjára, aki az ideiglenes jelszó birtokában belép a felhasználó fiókjába

A Symantec szakemberei néhány esetben további párbeszédet is észleltek a támadó és az áldozat között, ha esetleg az azonosító kód nem működik: „Továbbra is illetéktelen belépési kísérletet észleltünk fiókjában. A Google újra elküldte önnek az azonosító kódot, kérjük, fiókjának biztonsága érdekében válaszoljon üzenetünkre.”

A támadó a belépés után többek között egy másodlagos e-mail fiókot is létre tud hozni, amelyre a feltört postaláda automatikusan elküld minden üzenetet. Mindezek után a hacker elküldi az ideiglenes jelszót az áldozatnak is, aki nem tudja, hogy a leveleit illetékteleneknek továbbítja a rendszer: „Köszönjük, hogy elküldte Google fiókjának azonosító kódját. Az ön ideiglenes jelszava [IDEIGLENES JELSZÓ].” Ez a lépés még hihetőbbé teszi az adathalásztámadást, mivel a felhasználó azt gondolja, hogy hivatalos üzeneteket kapott és fiókja biztonságban van.

A Symantec szakembereinek megfigyelései szerint a kiberbűnözők általában nem pénzügyi visszaélésekhez (például bankkártyaadatok ellopásához) használják ezt az átverést, és nem tömegesen támadják a felhasználókat, hanem pontosan kiválasztott áldozatokat választanak. Ez a módszer nagyban hasonlít azokra az átverésekre, amelyeket az APT-csoportok (advanced persistent threat – célzott támadás) használtak korábban. Az átverés sokkal hatékonyabb és olcsóbb, mint egy megtévesztő domén regisztrálása és egy weboldal létrehozása, mivel ebben az esetben csak egy sms árába kerül a fiókadatok megszerzése.

A probléma kezelése

A Symantec azt tanácsolja, hogy a felhasználóknak gyanúsnak kell tekinteniük minden olyan üzenetet, amely azonosító kódot kér, különösen akkor, ha ők maguk nem kezdeményezték ennek elküldését. Ha bizonytalanok vagyunk egy kéretlen üzenettel kapcsolatban, akkor nézzük meg a szolgáltató oldalát, hogy megbizonyosodjunk az üzenet valódiságáról. A hivatalos üzenetek csak a kódot tartalmazzák, sosem kérik, hogy válaszoljunk valamilyen módon ezekre.

Azóta történt

Előzmények