Phishing: Żniwiarz zbierający numery PESEL
08.05.2022 Dawid Farbaniec

Dzisiaj (tj. 2022-05-08) do laboratorium trafiła wiadomość SMS o treści:
Już na pierwszy rzut oka można rozpoznać, że wiadomość jest podejrzana. Jeśli jednak Ty lub Twoi bliscy nie są tego pewni, to warto zadać sobie następujące pytania.
💥 Czy spodziewaliśmy się tej wiadomości?
Przykładowa odpowiedź: Nie, bo wiadomość otrzymała żona, a faktury są zawsze na dane męża.
💥 Czy znamy nadawcę wiadomości?
Przykładowa odpowiedź: Nadawca to jakiś przypadkowy numer komórkowy, a nie oficjalny numer firmy.
💥 Czy nadawca próbuje wywołać presję i pośpiech?
Przykładowa odpowiedź: Wiadomość jasno sygnalizuje, żeby kliknąć jak najszybciej, bo inaczej wyłączą energię elektryczną.
💥 Czy link podany w wiadomości to prawdziwa strona firmy/instytucji?
Przykładowa odpowiedź: To jakiś egzotyczny adres URL. Zawsze korzystam z elektronicznego biura obsługi klienta, które ma inny adres.
Te podstawowe pytania zawsze są na plus i mogą ochronić nas w przypadku ataku typu phishing lub innego podobnego. W prostych słowach jest to niespodziewana wiadomość od nieznanego nadawcy, której treść wywołuje presję i namawia do kliknięcia w niebezpieczny adres URL (tzw. link).
Pierwszy ekran do strona, która ma imitować witrynę firmową z informacją o małych, zaległych należnościach.
Szablon HTML tworzony w pośpiechu, niedokładnie.
Fałszywa prośba o podanie numeru telefonu komórkowego.
Fałszywy ekran wyboru sposobu płatności.
Wybrałem losowy bank i otrzymałem fałszywy panel logowania.
Kolejny krok to próba wyłudzenia numeru PESEL.
Ostatni krok to wysłanie wprowadzonych informacji do atakującego.
Mechanizm, który przypuszczam to zbieranie numerów PESEL wraz z numerami telefonu. To już bardzo dużo. Takie dane można powiązać z danymi adresowymi, które na przykład wyciekły z jakiegoś sklepu internetowego. Po czymś takim mają komplet danych osobowych.
Szybka forsa z umiejętności programistycznych 💵
💰 napisz narzędzie do hackingu, ale sprzedaj je legalnej grupie Red Team w jakiejś firmie,
💰 odezwij się do agencji robiącej witryny internetowe, że napiszesz im szablon w poprawnym HTML/CSS,
💰 odezwij się do jakiegoś czasopisma czy chcą jakiś fajny tekst o cybersecurity,
💰 napisz program lub grę komputerową i sprzedaj prawa autorskie (źródła są zawsze droższe od licencji dla użytkownika),
💰 etc.
Pozostań etyczny.
PGE: Na dzien 09.05 zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci: https://pge-???[.]news/{id_here}

Już na pierwszy rzut oka można rozpoznać, że wiadomość jest podejrzana. Jeśli jednak Ty lub Twoi bliscy nie są tego pewni, to warto zadać sobie następujące pytania.
💥 Czy spodziewaliśmy się tej wiadomości?
Przykładowa odpowiedź: Nie, bo wiadomość otrzymała żona, a faktury są zawsze na dane męża.
💥 Czy znamy nadawcę wiadomości?
Przykładowa odpowiedź: Nadawca to jakiś przypadkowy numer komórkowy, a nie oficjalny numer firmy.
💥 Czy nadawca próbuje wywołać presję i pośpiech?
Przykładowa odpowiedź: Wiadomość jasno sygnalizuje, żeby kliknąć jak najszybciej, bo inaczej wyłączą energię elektryczną.
💥 Czy link podany w wiadomości to prawdziwa strona firmy/instytucji?
Przykładowa odpowiedź: To jakiś egzotyczny adres URL. Zawsze korzystam z elektronicznego biura obsługi klienta, które ma inny adres.
Te podstawowe pytania zawsze są na plus i mogą ochronić nas w przypadku ataku typu phishing lub innego podobnego. W prostych słowach jest to niespodziewana wiadomość od nieznanego nadawcy, której treść wywołuje presję i namawia do kliknięcia w niebezpieczny adres URL (tzw. link).
Żniwiarz numerów PESEL
Nie powinniśmy pod żadnym pozorem klikać w linki od nieznajomych. Witryna phishingowa, którą możemy po prostu zamknąć to jeden z najłagodniejszych scenariuszy. Nigdy nie wiadomo, czy pod linkiem nie kryją się zestawy eksploitów (ang. exploit kits), które mogą zainfekować nasze urządzenie (np. telefon czy komputer). Jednak w celu zaprezentowania działania machiny do zbierania numerów PESEL postanowiłem uruchomić link w środowisku izolowanym dla celów edukacyjnych.Pierwszy ekran do strona, która ma imitować witrynę firmową z informacją o małych, zaległych należnościach.

Szablon HTML tworzony w pośpiechu, niedokładnie.

Fałszywa prośba o podanie numeru telefonu komórkowego.

Fałszywy ekran wyboru sposobu płatności.

Wybrałem losowy bank i otrzymałem fałszywy panel logowania.

Kolejny krok to próba wyłudzenia numeru PESEL.

Ostatni krok to wysłanie wprowadzonych informacji do atakującego.

Mechanizm, który przypuszczam to zbieranie numerów PESEL wraz z numerami telefonu. To już bardzo dużo. Takie dane można powiązać z danymi adresowymi, które na przykład wyciekły z jakiegoś sklepu internetowego. Po czymś takim mają komplet danych osobowych.
Robić podobnie?

Szybka forsa z umiejętności programistycznych 💵
💰 napisz narzędzie do hackingu, ale sprzedaj je legalnej grupie Red Team w jakiejś firmie,
💰 odezwij się do agencji robiącej witryny internetowe, że napiszesz im szablon w poprawnym HTML/CSS,
💰 odezwij się do jakiegoś czasopisma czy chcą jakiś fajny tekst o cybersecurity,
💰 napisz program lub grę komputerową i sprzedaj prawa autorskie (źródła są zawsze droższe od licencji dla użytkownika),
💰 etc.
Pozostań etyczny.