Začněme základním přehledem zprávy, kterou jsme obdrželi

Spam email
Spamový e-mail
Díky správnému nastavení filtrů byl okamžitě přesunut do složky se spamem. Ne všechny systémy však mají tato nastavení zapnutá nebo správně nakonfigurovaná. Předpokládejme tedy, že stejně jako u 60 % firemních e-mailových schránek ani ta naše je nemá.

Co můžeme pozorovat:
1. Výzva k akci. „Je třeba jednat
2. Manipulace s „důležitostí“. „Zpožděné důležité zprávy
3. Manipulace s odesílatelem. Odesílatel je zároveň příjemcem

Odesílatel je zfalšován pomocí speciálně vytvořené SMTP zprávy. E-mail také prošel přes proxy server a využil kompromitované přihlašovací údaje z pákistánské vzdělávací instituce, jak je patrné z nezpracovaných hlaviček e-mailu:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. První pohled

Otevřeme odkaz ze zprávy. Varování: Neotevírejte podezřelé odkazy na svých zařízeních – mohou obsahovat virus.

Scam "Mail Portal"
Podvod „Mail Portal“

Odkaz měl následující formát: https://****.gitlab.io/#clients@pwn-all.net

Proč v odkazu vidíme „GitLab“?

Protože útočník využil schopnost GitLabu hostovat statické webové stránky. Samotný hosting není nic neobvyklého, ale důvěra spojená s doménou gitlab.io pomáhá zvýšit důvěryhodnost domény a obejít filtry některých systémů.

Krok 1. Podívejme se na to

Podívejme se, co se stane, když na tento odkaz klikneme, a proč se nám zobrazí domovská stránka našeho webu (i když trochu pokřivená).

Fake mail portal displaying the spoofed company homepage in the background

Vidíme, že útočník využívá legitimní služby k:
Google & ClearBit: získání faviconu
Thum: získání snímku obrazovky webové stránky o šířce 1200 pixelů

Cílem je především zvýšit důvěru běžného uživatele ve falešný web – aby v pozadí viděl známé logo a známý firemní web.

Krok 2. Odeslání údajů

Představme si, že jsme běžný uživatel, který nedával pozor a zadal své údaje. Co se stane dál?

Outbound network requests triggered after the victim submits their credentials

Zde již můžeme vidět odkazy na služby třetích stran, jako jsou:
1. ipinfo — ke shromažďování informací o IP adrese uživatele, konkrétně: země, region, organizace, přibližná poloha, časové pásmo a PSČ. S největší pravděpodobností slouží k určení, které proxy servery nebo VPN použít pro následná přihlášení, nebo k přípravě e-mailu pro další taktiku sociálního inženýrství.
2. Google DNS — k získání záznamu MX, který udává, kde se nachází vstupní bod e-mailové schránky. Pravděpodobně za účelem pokusu o ověření přes SMTP
3. Žádost je ve skutečnosti odesílána na webový server útočníka, nikoli na proxy.

Co tedy obsahuje užitečné zatížení pro tento server?

Data payload sent from the phishing page to the attacker's server

V zásadě jde o standardní sadu. Ale… odpověď ze serveru nebyla standardní.

Response
Odpověď

Odpověď obsahovala cestu k místu, kde byla data uložena. Může to vypadat jako vtip, ale není.

Krok 3. Uvnitř

Inside the attacker's collected-data store showing the operator's own test entries

Ohromující hloupost útočníka a neuvěřitelné štěstí výzkumníků. Zde si můžeme okamžitě všimnout něčeho, co vypadá jako testy provedené samotným útočníkem pomocí IP adresy z Kypru. Vidíme také jeho časové pásmo, které není pro kyperskou IP adresu typické – konkrétně západoafrický standardní čas. To by hypoteticky mohlo naznačovat skutečnou polohu spammera.

Log entry showing a Cyprus IP address paired with a West Africa time zone

A, no, asi jsme měli štěstí. Po kontrole jeho protokolů se nám podařilo identifikovat opakující se IP adresu z Lagosu v Nigérii.

Log entry revealing a recurring IP address from Lagos, Nigeria

A znovu jsme zahlédli IP adresu z Nigérie; v tuto chvíli můžeme pravděpodobně s jistotou říci, že se jednalo o test provedený samotným spammerem.

Bohužel na tento trik naletělo několik lidí, včetně zaměstnance banky, knihovny, realitní kanceláře a dalších. Spammer pravděpodobně mazal své protokoly. Oběti i poskytovatelé hostingu již byli informováni.

Abychom vám pomohli vyhnout se tomuto podvodu, nabízíme naše firemní řešení ve formě pluginů pro vaše e-mailové klienty a služby monitorování úniků dat pro firemní uživatele. K dispozici je také řešení pro jednotlivce, které se zaměřuje na důvěrnost a ochranu soukromí při vyhledávání jejich údajů v úniku dat od zlodějů dat, na napadených webových stránkách nebo v příspěvcích na dark webu, v aplikacích Telegram či Discord z více než 600 zdrojů. Klikněte na odkaz a dozvíte se více o službě DarkWeb Monitor.

Krok 4. Doporučení

Abyste zabránili tomu, že se podobné phishingové e-maily dostanou do schránek uživatelů, zavedte přísné ověřování odesílatelů na úrovni SMTP brány.

Doporučená opatření:

  • Zveřejněte a udržujte přísný záznam SPF končící na -all.
  • Podepisujte všechny odchozí e-maily pomocí DKIM.
  • Prosazujte DMARC s politikou odmítnutí