Phishing w wykonaniu FBI

Phishing kojarzy nam się zwykle z działalnością przestępczą. Tymczasem, jak wynika z niedawno upublicznionych dokumentów sądowych, również FBI ucieka się do tworzenia stron phishingowych.

W czerwcu 2017 roku, na adres księgowości dużego producenta dźwigów – firmy Gorbel – przyszedł email z prośbą o przygotowanie czeku na kwotę ponad 80 tysięcy dolarów i wysłanie go FedExem na wskazany adres. Email był podpisany imieniem szefa firmy, a księgowość… no cóż… polecenie wypełniła.

Sprawa została dość szybko zauważona, ale w międzyczasie czek został już zrealizowany. Złodziej jednak postanowił kontynuować dobrą passę, i kilkanaście dni później ponowił prośbę o przesłanie czeku – tym razem na ponad 130 tysięcy dolarów. W międzyczasie Google zamknęło mu konto, ale szybko założył sobie nowe. Tym razem księgowość była przygotowana i opóźniała wysłanie czeku do momentu, aż FBI stworzy stronę FedexTrackingPortal.com – a następnie wysłała informację o wysłanym czeku, wraz z odnośnikiem do fałszywego systemu trackingowego.

source: fbi.govFałszywa strona trackingowa wyświetlała komunikat “Access Denied, This website does not allow proxy connections”, by zachęcić złodzieja do wyłączenia TORów i VPNów. System zanotował kilka prób połączenia z różnych adresów, jednak ewidentnie te dane nie wystarczyły do zidentyfikowania przestępcy. W związku z tym FBI wystąpiła do sądu o prawo wysłania maila, udającego mail z informacją o trackingu, w którym zawarta byłaby grafika ściągana z sieci. W momencie otwarcia takiego maila (i załączonego pliku, i kliknięcia “chcę dociągnąć brakujące elementy”), komputer przestępcy powinien – według agenta zajmującego się sprawą – połączyć się z serwerem FBI z pominięciem serwerów proxy i zdradzić swój rzeczywisty adres IP.

Prawie identyczny w treści wniosek złożono w innej sprawie, tym razem dotyczącej kradzieży około 1,2 miliona dolarów. Jak zauważa Motherboard, na serwerze, który przez chwilę obsługiwał fałszywy portal trackingowy, wcześniej przez krótki czas znajdowała się strona kancelarii prawnej, o której nikt nie słyszał i nikt nie wie. Może to sugerować, że FBI wcześniej wykorzystywała ten sam serwer do wykrycia sprawcy innego ataku.

Co poszło nie tak?
Procedury w firmie Gorbel pozostawiają sporo do życzenia. Wysyłanie czeku na podstawie maila od prezesa nie wygląda na prawidłowo zaimplementowany system bezpiecznego zarządzania pieniędzmi. Fakt, że adres email, z którego przysłano fałszywe polecenia, nie pokrywał się z rzeczywistym adresem szefa firmy, jest już tylko wisienką na torcie. Weryfikacja nadawcy źródłowego emaila nie wystarczy, bo przejęcie rzeczywistego konta mailowego szefa korporacji nie zawsze jest trudnym wyzwaniem.

W celu uniknięcia tego rodzaju ataku, konieczne jest wprowadzenie dodatkowych procedur zatwierdzania przelewów powyżej pewnej sumy – zwłaszcza, jeśli polecenie przychodzi kanałem trudny do zweryfikowania. Podpis elektroniczny również zaoszczędziłby firmie sporych strat.

Źródła:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →

3 Comments on “Phishing w wykonaniu FBI”

    1. Rozumiem, że chodzi o ostatnie zdanie – “Podpis elektroniczny również zaoszczędziłby firmie sporych strat”?

      Jakakolwiek weryfikacja nadającego – może to być komercyjny certyfikat kwalifikowany – taki, jak można kupić w Polsce od firm typu Unizeto – ale w korporacji łatwo też zaimplementować odgórnie dowolne inne rozwiązanie. Nawet GPG w komunikacji wewnętrznej się sprawdzi – dzięki pluginom do popularnych programów pocztowych, jest banalne w skonfigurowaniu i użyciu.

      Oczywiście model paranoiczny mówi “klucz koniecznie na karcie – bo co będzie, gdy zła osoba przejmie kontrolę nad komputerem” – i będzie miał rację, ale w ten sposób dość szybko zniechęci się ludzi do korzystania z e-podpisu i wszystko wróci do normy.

      Efekt, który chcemy uzyskać, to myśl u księgowej: “nie ma kłódeczki przy requeście od szefa, to ja jednak zadzwonię i dopytam”.

      Ł.

Comments are closed.