ethical.blue Magazine

// Cybersecurity clarified.

Phishing: Żniwiarz zbierający numery PESEL

08.05.2022   Dawid Farbaniec
...
Dzisiaj (tj. 2022-05-08) do laboratorium trafiła wiadomość SMS o treści:
PGE: Na dzien 09.05 zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci: https://pge-online[.]news/{id_here}



Już na pierwszy rzut oka można rozpoznać, że wiadomość jest podejrzana. Jeśli jednak Ty lub Twoi bliscy nie są tego pewni, to warto zadać sobie następujące pytania.

💥 Czy spodziewaliśmy się tej wiadomości?
Przykładowa odpowiedź: Nie, bo wiadomość otrzymała żona, a faktury są zawsze na dane męża.

💥 Czy znamy nadawcę wiadomości?
Przykładowa odpowiedź: Nadawca to jakiś przypadkowy numer komórkowy, a nie oficjalny numer firmy.

💥 Czy nadawca próbuje wywołać presję i pośpiech?
Przykładowa odpowiedź: Wiadomość jasno sygnalizuje, żeby kliknąć jak najszybciej, bo inaczej wyłączą energię elektryczną.

💥 Czy link podany w wiadomości to prawdziwa strona firmy/instytucji?
Przykładowa odpowiedź: To jakiś egzotyczny adres URL. Zawsze korzystam z elektronicznego biura obsługi klienta, które ma inny adres.

Te podstawowe pytania zawsze są na plus i mogą ochronić nas w przypadku ataku typu phishing lub innego podobnego. W prostych słowach jest to niespodziewana wiadomość od nieznanego nadawcy, której treść wywołuje presję i namawia do kliknięcia w niebezpieczny adres URL (tzw. link).

Żniwiarz numerów PESEL

Nie powinniśmy pod żadnym pozorem klikać w linki od nieznajomych. Witryna phishingowa, którą możemy po prostu zamknąć to jeden z najłagodniejszych scenariuszy. Nigdy nie wiadomo, czy pod linkiem nie kryją się zestawy eksploitów (ang. exploit kits), które mogą zainfekować nasze urządzenie (np. telefon czy komputer). Jednak w celu zaprezentowania działania machiny do zbierania numerów PESEL postanowiłem uruchomić link w środowisku izolowanym dla celów edukacyjnych.

Pierwszy ekran do strona, która ma imitować witrynę firmową z informacją o małych, zaległych należnościach.



Szablon HTML tworzony w pośpiechu, niedokładnie.



Fałszywa prośba o podanie numeru telefonu komórkowego.



Fałszywy ekran wyboru sposobu płatności.



Wybrałem losowy bank i otrzymałem fałszywy panel logowania.



Kolejny krok to próba wyłudzenia numeru PESEL.



Ostatni krok to wysłanie wprowadzonych informacji do atakującego.



Mechanizm, który przypuszczam to zbieranie numerów PESEL wraz z numerami telefonu. To już bardzo dużo. Takie dane można powiązać z danymi adresowymi, które na przykład wyciekły z jakiegoś sklepu internetowego. Po czymś takim mają komplet danych osobowych.

Robić podobnie?



Szybka forsa z umiejętności programistycznych 💵
💰 napisz narzędzie do hackingu, ale sprzedaj je legalnej grupie Red Team w jakiejś firmie,
💰 odezwij się do agencji robiącej witryny internetowe, że napiszesz im szablon w poprawnym HTML/CSS,
💰 odezwij się do jakiegoś czasopisma czy chcą jakiś fajny tekst o cybersecurity,
💰 napisz program lub grę komputerową i sprzedaj prawa autorskie (źródła są zawsze droższe od licencji dla użytkownika),
💰 etc.

Pozostań etyczny.

Indicators of Compromise (IoCs)

(pol. Wskaźniki kompromitacji)
+48572724424 (572724424, 572 724 424)
https://pge-online[.]news/{id_here}
https://xednsk[.]online/pge/{id_here}/{id_here}/

Podsumowanie

Pozostańcie bezpieczni.

Wykaz literatury

Analysis based on provided SMS message. 📱