Case study: Scam „na zablokowaną pocztę”

Szacunkowy czas czytania: 3 minut

 

Spersonalizowany scam

W dzisiejszym wpisie opisuję specyficzny atak, wycelowany w moją stronę internetową javaheri.pl.

Otrzymałam e-mail, który najpierw odczytałam na iPhonie, a dopiero później w przeglądarce na komputerze. Gmail zablokował link w wiadomości, natomiast odczytując maila na telefonie byłam w stanie w niego kliknąć.

Wiadomość została wysłana z adresu support@rochestermusicguild.org, a jako nazwę nadawcy dodano Mail Delivery System. Nadawca (amerykańska gildia muzyczna Rochester Music Guild) prawdopodobnie została, albo zhackowana i jej konta przejęte, albo adres e-mail został zespoofowany (pole nadawcy = pole „od” zostało sfałszowane). 

 

Złośliwa wiadomość

Tytuł był sugestywny, dlatego w ogóle zajrzałam do środka –> [6] Pending New Messages – Delivery Process Failed 10/18/2022 12:23:58 am 090
A co było w środku? Informacja, że czekają na mnie niedostarczone wiadomości. A nie zostały dostarczone ze względu na nieokreślone ograniczenia (limity). Nadmienię, że adres e-mail wymieniony w tym powiadomieniu to adres powiązany z moim sklepem z e-bookami. Jakby się zastanowić, jakiekolwiek opóźnienia i limity w dostarczaniu e-maili od klientów nie byłyby korzystne, jeśli oczywiście byłaby to prawda. I tutaj działa klasyczna socjotechnika (presja, potencjalne straty biznesowe).

 

Filtry Gmaila nie zawodzą

Po raz kolejny przekonałam się, że filtry Gmaila nie zawodzą. Niestety czasami nas nie ochronią, czyli np. gdy korzystamy z urządzenia mobilnego i klienta poczty (w moim przypadku natywny klient iOS).

Gmail oznaczył wiadomość jako spam, zablokował link oraz wyświetlił informację o potencjalnym zagrożeniu.

Aby odblokować możliwość kliknięcia w taki podejrzany link, wystarczy odkliknąć „Wygląda bezpiecznie” na czerwonym banerze. [róbcie to tylko, gdy wiecie co robicie 🙂 ]

 

 

Analiza ataku

Link w treści wiadomości prowadził do strony w domenie siasky.net

Sama strona siasky.net to projekt pozwalający na hostowanie plików. Zgodnie z tym co można na niej przeczytać, to niebawem usługi Siasky przestaną działać (15 listopada 2022). Wektor ataku polega tu głównie na tym, że na stronę Siasky można wrzucić dowolny plik, np. złośliwy skrypt i podsyłać ofiarom linki. Taki plik nie będzie przeskanowany pod kątem złośliwego oprogramowania przez żadne narzędzie. Należy tu podkreślić, że strona Siasky nie jest powiązana bezpośrednio z atakiem – ona tylko hostuje czyjeś pliki.

Z tego co można przeczytać w sieci, osoby które nabrały się na ten atak, otrzymywały niechciane reklamy na komputerach stacjonarnych (atak przeglądarkowy z wiadomościami typu push).

 

Jak się pozbyć niechcianych pushy?

Najbardziej uniwersalnym sposobem na pozbycie się subskrypcji, jeśli już nieświadomie się na nią zgodziliśmy, będzie przeszukanie zainstalowanych dodatków w naszej przeglądarce. Sprawdźmy czy w ustawieniach przeglądarki nie ma podejrzanych, nieznanych nam, dodatków (pluginów, add-onów). Jeśli coś takiego znajduje się na liście, należy to usunąć. W Chrome zainstalowane dodatki znajdziecie pod adresem: chrome://extensions/

 

Podsumowanie

Oczywiście wpis dotyczy tylko tego jednego, konkretnego przypadku, przy użyciu narzędzia Siasky. Podobne ataki mogą dotrzeć z zupełnie innych źródeł.

Oto kilka rad jak nie dać się zwieść:

  • jeśli Twoja poczta się przepełni, otrzymasz ewentualną informację na ten temat od swojego usługodawcy, a nie od przypadkowego nadawcy (gildia muzyczna?),
  • ewentualne powiadomienie otrzymasz w języku w którym rejestrowałeś usługę,
  • w razie wątpliwości skontaktuj się z usługodawcą (np. przez chat, formularz kontaktowy, telefon),
  • nie działaj pod presją czasu – wtedy najłatwiej popełnić błąd.