Konec koncev je to šibek svet – Krebs o varnosti

Samooklicana skupina za kibernetski kriminal Ekipa Disneylanda izdatno uporabljal vizualno zmedene lažne domene, ki ponarejajo priljubljene bančne blagovne znamke PunycodeInternetni standard, ki spletnim brskalnikom omogoča upodabljanje imen domen v nelatinični pisavi, kot je cirilica.

Spletni vmesnik ekipe Disneyland, ki jim omogoča interakcijo z žrtvami zlonamerne programske opreme v realnem času za lažno predstavljanje njihovih poverilnic za prijavo z lažnimi bančnimi spletnimi mesti.

Ekipa Disneylanda uporablja običajne napačno črkovane besede za najboljše bančne blagovne znamke na svojih področjih. Na primer, ena domena, ki jo tolpa uporablja od marca 2022, je uho[.]com — ki je bil ustvarjen za lažno predstavljanje strank ameriške banke.

Toda ta skupina pogosto uporablja tudi Punycode, da bi njihove lažne bančne domene izgledale bolj legitimne. Ameriško podjetje za finančne storitve Ameriprise uporablja domeno ameriprise.com; domena Disneyland Team za stranke Ameriprise je https://www.xn--meripris-mx0doj[.]com [brackets added to defang the domain]ki je v URL vrstici brskalnika prikazan kot ạmeriprisẹ[.]com.

Poglejte natančno in opazili boste majhne pike pod “a” in drugi “e”. Lahko bi vam bilo oproščeno, če bi eno ali obe piki zamenjali za prah na zaslonu računalnika ali mobilnega telefona.

Ta odkrit pogled na ekipo Disneylanda izvira iz Alex Holdenustanovitelj svetovalnega podjetja za kibernetsko varnost s sedežem v Milwaukeeju Hranite varno. Holdenovi analitiki so pridobili dostop do spletne nadzorne plošče, ki jo kriminalna združba uporablja za spremljanje poverilnic žrtev (glejte zgornji posnetek zaslona). Komisija je ugotovila, da je skupina večino leta 2022 upravljala na desetine lažnih domen, ki so temeljile na Punycode.

Oglejte si Punycode v tej domeni lažnega predstavljanja ekipe Disneyland: https://login2.xn--mirtesnbd-276drj[.]com, ki se v vrstici URL brskalnika prikaže kot login2.ẹmirạtesnbd[.]com, domena, ki cilja na uporabnike Emirates NBD Bank v Dubaju.

Tukaj je še ena domena, ki jo je letos registrirala ekipa Disneylanda: https://xn--clientchwb-zxd5678f[.]com, ki ponaredi stran za prijavo finančnega svetovalca Charles Schwab s ciljno stranjo cliëntșchwab[.]com. Ponovno opazite pike pod črkama “e” in “s”. Druga njihova domena Punycode pošilja potencialne žrtve na cliẹrtschwạb[.]com, ki združuje napačno črkovano blagovno znamko s Punycode.

Enako dinamiko vidimo pri domeni Punycode ekipe Disneyland https://singlepoint.xn--bamk-pxb5435b[.]com, kar pomeni singlepoint.ụșbamk[.]com — ponovno lažno predstavljanje strank ameriške banke.

kaj se tukaj dogaja? Holden pravi, da je ekipa Disneylanda rusko govoreča – če nima sedeža v Rusiji – vendar sama po sebi ni lažno predstavljanje. Namesto tega ta skupina uporablja lažne bančne domene v povezavi z zlonamerno programsko opremo, ki je že na skrivaj nameščena v računalniku žrtve.

Holden je dejal, da so bile domene ekipe Disneyland Team ustvarjene za pomoč skupini pri kraji denarja žrtvam, okuženim z močno različico bančne zlonamerne programske opreme, ki temelji na sistemu Microsoft Windows, znano kot Gozi 2.0/Ursnif. Gozi je specializiran za zbiranje poverilnic in se v glavnem uporablja za napade na spletno bančništvo na strani odjemalca za lažja bančna nakazila. Gozi prav tako omogoča napadalcem, da se povežejo s spletnim mestom banke prek računalnika žrtve.

V preteklih letih so prevaranti, kot so ti, uporabljali po meri “spletno vbrizgavanje” za manipulacijo tega, kar žrtve Gozija vidijo v svojem spletnem brskalniku, ko obiščejo spletno mesto svoje banke. Te spletne injekcije so zlonamerni programski opremi omogočile sprotno prepisovanje kode HTML banke ter kopiranje in/ali prestrezanje vseh podatkov, ki bi jih uporabniki vnesli v spletni obrazec, kot sta uporabniško ime in geslo.

Vendar je večina proizvajalcev spletnih brskalnikov leta dodajala varnostne zaščite za blokiranje takšnih nečednih dejavnosti. Posledično ekipa Disneylanda preprosto poskuša svoje domene videti čim bolj resnične in nato žrtve usmerja k interakciji s temi lažnimi spletnimi mesti.

“Razlog, zakaj je neizvedljivo, da uporabljajo vbrizgavanje brskalnika, vključuje varnostne ukrepe brskalnika in operacijskega sistema ter težave pri manipulaciji dinamičnih strani za banke, ki zahtevajo večfaktorsko avtentikacijo,” je dejal Holden.

V resnici lažna bančna spletna stran, prekrita z zlonamerno programsko opremo ekipe Disneyland, preusmeri dejavnost brskalnika žrtve na pravo spletno stran banke, medtem ko napadalcem omogoči posredovanje vseh sekundarnih zahtev za prijavo iz banke, kot so skrivna vprašanja ali izzivi večfaktorske avtentikacije.

Ekipa Disneylanda je vključila navodila za svoje uporabnike, pri čemer ugotavlja, da ko žrtev vnese svoje poverilnice za prijavo, vidi številčnico, ki se vrti 10 sekund, čemur sledi sporočilo: »Čakam na odobritev zaledne pisarne za vašo zahtevo. Prosim, ne zapirajte tega okna.”

Prekrivanje lažnega spletnega mesta PNC ali “web inject”, ki prikaže sporočilo, katerega namen je uporabniku začasno preprečiti dostop do njegovega računa.

Gumb »PRESKOČI« na zgornjem posnetku zaslona pošlje uporabnika na dejansko stran za prijavo v banko, »če nas račun ne zanima,« pojasnjuje priročnik. “Ta preusmeritev deluje tudi, če nobeden od naših operaterjev takrat ne dela.”

Gumb »VZEMI« na nadzorni plošči ekipe Disneyland omogoča uporabnikom ali podružnicam, da zahtevajo lastništvo določenega okuženega stroja ali bota, kar nato izključi druge uporabnike iz interakcije s to žrtvijo.

V primeru, da nekako traja dolgo, da se žrtev (bot) poveže z nadzorno ploščo Disneyland Team, ali če je treba transakcijo odložiti, lahko uporabniki pritisnejo gumb, ki zahteva, da se na zaslonu žrtve prikaže naslednje sporočilo:

»Vaša identifikacijska številka primera je 875472. Predstavnik podpore za spletno bančništvo vas bo kmalu kontaktiral. Prosimo, navedite ID številko vašega primera in NE zaprite te strani.”

Uporabniški priročnik Disneylanda pojasnjuje, da je ploščo mogoče uporabiti za prisilitev žrtve, da se znova prijavi, če predloži neveljavne poverilnice. Ima tudi druge možnosti za odložitev žrtev, medtem ko so njihovi računi porabljeni. Drugo lažno sporočilo, ki ga lahko ustvari panel, žrtvi prikaže sporočilo, ki pravi: »Trenutno delamo na posodabljanju našega varnostnega sistema. Morali bi se lahko prijaviti, ko se odštevanje konča.«

V uporabniškem priročniku piše, da ta možnost uporabniku dve uri blokira dostop do svojega računa. “S tem gumbom je mogoče blokirati za eno uro, v tem primeru bodo manj razočarani, v nekaj urah bo ddos ​​ubil njihovo omrežje.”

Skupine kibernetskih kriminalcev bodo včasih izvajale porazdeljene napade zavrnitve storitve (DDoS) na strežnike podjetij, ki jih poskušajo oropati – kar je običajno z namenom, da bi žrtve odvrnili od njihovega runačeprav je Holden dejal, da ni jasno, ali ekipa Disneylanda uporablja tudi to taktiko.

KrebsOnSecurity je dolga leta spremljal vsakodnevne dejavnosti podobne ekipe zlonamerne programske opreme, ki je uporabljala spletne injekcije in robote za kradejo na desetine milijonov dolarjev malim in srednje velikim podjetjem po ZDA.

Na koncu vsake zgodbe bi zaključil s priporočilom, naj vsi, ki jih skrbi zlonamerna programska oprema ukradla njihove bančne podatke, razmislijo o izvajanju spletnega bančništva iz namenskega, varnostno utrjenega sistema, ki se uporablja samo za ta namen. Seveda pa namenski sistemski pristop deluje le, če vedno uporabljajte ta namenski sistem za upravljanje svojega računa na spletu.

Te zgodbe so tudi opozorile, da je velika večina zlonamerne programske opreme, ki se uporablja v cyberheists, zasnovana za delovanje samo v računalnikih z operacijskim sistemom Microsoft Windows, zato je za ta namenski bančni sistem smiselno izbrati računalnik, ki ni Windows, na primer različico Mac ali celo Linux. Še vedno ostajam pri tem nasvetu.

Če koga zanima, tukaj (PDF) je seznam vseh lažnih domen, ki jih trenutno in v preteklosti uporablja ekipa Disneylanda.

Leave a Reply

Your email address will not be published. Required fields are marked *