Phishing-ul bancar & 2FA bypass

Phishing-ul bancar este o formă de fraudă online în care infractorii cibernetici trimit e-mailuri sau mesaje false care par a fi de la o instituție bancară legitimă. Scopul acestor mesaje este de a păcăli destinatarii să dezvăluie informații sensibile, cum ar fi numerele de cont bancar, parolele, PIN-urile sau alte date personale. Aceste e-mailuri sau mesaje pot conține linkuri către site-uri web false, care imită aspectul și funcționalitatea site-urilor bancare reale, pentru a convinge victimele să introducă informațiile lor confidențiale. Odată obținute aceste informații, infractorii le pot folosi pentru a accesa ilegal conturile bancare ale victimelor sau pentru alte activități frauduloase.

Pagina oficială - OTP Bank | https://www.otpdirekt.ro/

Pagina falsă este o clonă perfectă a paginii oficiale OTP Bank, ceea ce poate induce în eroare utilizatorii care sunt direcționați către aceasta, mai ales dacă nu există un minim de educație cibernetică și atenția la detalii, mai ales deoarece discutăm despre actualizarea unor informații bancare, chiar dacă este una falsă!

Pagina falsă - OTP Bank | https://liberta-isha.......

Servere de Japonia compromise și aproximativ 380 de administratori care nu știu de prezența atacatorilor în infrastructura lor.

www5172.sakura.ne..jp – 124 users
www3781.sakura.ne..jp – 132 users
www3884.sakura.ne..jp – 133 users

Fiecare utilizator poate avea un număr X de pagini pe care le administrează și poate înțelege exploatarea malițioasă a acestora doar în urma unui audit și a unor configurări de securitate asupra serverului sau a paginilor administrate. Sau, exista posibilitatea ca numai o parte din acețtia să fie activi și să administreze pagini web.

Timpul limitat, dar și imposibilitatea de a audita serverele respective a permis identificarea 4 domenii compromise care rulează campanii de phishing bancar și susțin(involuntar) transmiterea informațiilor bancare și personale către infractori.

Campaniile identificate utilizează 2 modalități de transmitere a datelor colectate de la utilizator către #atacatorul #ciberetic.

Conectarea paginii false la un bot Telegram și primirea informațiilor sub formă de mesaje
Salvarea informațiilor bancare și personale pe serverul compromis, într-un fișier text

Cele două configurări asigură salvarea informațiilor de la utilizatori. Chiar dacă accesul pe pagină îi este restricționat, infractorul are acces la toate datele compromise.

Hmm… dacă există posibilitatea schimbării parametrilor celor două linii ”define” din 1 în 0, infractorii nu vor mai primi datele victimelor. Ce ați face?!? :)

Informațiile primite de la utilizatorii care ajung pe paginile false includ următoarele:

Nume, prenume
IP alocat și browser
ID bancar și parolă
Cod numeric personal
Număr telefon
Numărul cardului bancar, data expirării și codul
… în plus există și codul primit prin SMS pentru autentificarea dublă.

2FA – Autentificarea dublă este un plus de siguranță atunci când vine vorba se securizarea conturilor pe care le utilizăm, dar a devenit o necesitate clară datorită frecvenței cu care sunt furate informațiile de acces pentru diferite platforme sau aplicații. Acest plus de siguranță este inutil daca noi ca și utilizatori oferim codurile de siguranță unor persoane străine, la cererea acestora…

Campania de phishing bancar are în componența sa și obținerea acestui cod de siguranță pe care îl primește clientul băncii prin SMS. Iar pentru realizarea acestui aspect, utilizatorul este informat că urmează să primească aces cod, deși el este pe o pagină falsă, deoarece cu datele furnizate anterior atacatorul va încerca să acceseze contul bancar, iar aplicația bancară îi va cere codul trimis de serverele băncii.

Victima primește acel SMS și îl scrie în pagina falsă, iar infractorul în copie și îl trimite către bancă… astfel acesta a realizat autentificarea dublă cu ajutorul victimei, care nu realizează că cineva intermediază tot acest proces de autentificare. După această etapă infractorul este autentificat pe platforma bancară și poate acționa după bunul plac.

Am convingerea că sunt interesante informațiile incluse în articol, dar o mare parte dintre acestea nu sunt publice, ci obținute în urma investigațiilor atacului cibernetic.

Vom aborda 2 metode de obținere a informațiilor:

Auditarea/ testarea paginilor false și implici a întregului proces, de la prima accesare până la finalizarea phishing-ului și cel mai probabil direcționarea victimei către pagina oficială a băncii. Problema majoră în acest caz este că avem nevoie de aprobarea scrisă a infractorului (glumă… ha ha.) sau după caz a deținătorului de drept a serverului. Deci acest lucru se poate realiza doar pe cale legală sau…
OSINT – Obținerea de informații prin intermediul unor aplicații, motoare de căutare sau orice altceva îi trece prin minte specialistului care se ocupă de investigarea atacului.

În cazul nostru… OSINT, experiență și imaginație. Prin intermediul celor menționate au fost identificate fisierele care sunt utilizate în atacul de tip phishing asupra OTP Bank România și după o analiză amănunțită s-a reușit identificarea fișierelor din serverul compromis.

Fișiere care conțin informațiile despre configurări, API, ID-uri, vizitatori, victime și rezultatele phishing-ului.

Atacatorul cibernetic aka hacker-ul/ Infractorul poate fi oricine, de orice naționalitate și cu un nivel de pregătire tehnică nu neapărat ridicat, deoarece Internetul oferă multe lucruri gata pregătite, fiind suficient să le descarce și să le adapteze la ceea ce urmează să facă sau poate să le cumpere finalizate și doar să trimită spre potențialele victime.

Adresele de email se găsesc la tot pasul, este drept că fiind în legalitate nu ai dreptul să le folosești pentru un marketing fără consimțământul deținătorului(persoană fizică), dar infractorii le pot folosi fără probleme pentru activități ilegale(phishing, malware, fraudă…).

Servere/ pagini web compromise se găsesc de cumpărat, de descărcat la liber sau dacă există capabilitățile necesare pot fi compromise prin hacking(bla bla…) sau prin…. Phishiiiing.

Personajul din spatele atacului analizat, după cofigurarea campaniei de phishing, a trebuit să îți testeze ”creația” și pe cele 3 pagini analizate a lăsat:

5 IP-uri … Tangier & Casablanca – Morocco .
41.xxx.xx.xx9, 41.xxx.xxx.xx6, 105.xxx.xx.x1,105.xxx.xxx.xx2, 196.xx.xxx.xxx
3 dispozitive
– Google Chrome version 120.0.0.0, running on a Windows 10 system with a 64-bit
– Mozilla Firefox version 121.0, running on a Windows 10 system with a 64-bit
– Safari browser, version 17.2, running on an iPhone with iOS version 17.2.1

Datorită distanței dintre cele două locații, posibil persoane diferite, operatori diferiți sau utilizarea de wireless și date mobile.

Autoritățile care investighează activitățile infracționale sigur pot găsi mai multe detalii, datorită resurselor (experiență – timp – finanțare) și cu un oarecare efort susținut cu o colaborare între state… poate poate iese ceva.

Codul sursă al paginii false este destul de bine realizat, dar ceea ce ne interesează este să înțelegem funcționalitatea acestuia și scopul atacatorului cibernetic. Prin analizarea codului putem înțelege care sunt datele stocate de la prima interacțiune cu pagina falsă a utilizatorului, până la etapa finală unde acesta dobândește calitatea de victimă.

cybercrime investigation officer analyzing a cyber attack

Autoritațile care se ocupă de acest tip de investigații au nevoie de suficienți specialiști în domeniu, deoarece criminalitatea cibernetică a ajuns la cote destul de înalte și este în continuă creștere. Specialiștii nu sunt doar pentru ACUM. Cei actuali și cei noi au nevoie de continuă pregătire, pentru a putea face față provocărilor viitoare. Fraudele financiare, furtul de identitate, șantajul cibernetic și multe altele vor depăși numeric infracțiunile actuale…

Un alt aspect este combaterea acestor infracțiuni prin intermediul promovării cazurilor rezolvate, în care unii vor plăti, iar alții se vor gândi de două ori la desfășurarea de activități infracționale.

Dar, pentru realizarea acestor aspecte este nevoie și de echiparea specialiștilor cu tehnologie avansată, sisteme automatizate și continuă îmbunătățire a cunoștințelor.

bank customer engaging with a cyber-secure mobile banking application

Instituțiile financiare trebuie să înțeleagă că phishing-ul bancar este unui dintre cele mai utilizate metode de obținere a accesului în conturile clienților. 2FA(Autentificare dublă) și MFA(Autentificare multiplă) sunt eficiente atâta timp cât utilizatorul, clientul băncii știe ce face, știe care sunt pericolele, știe să identifice un atac cibernetic.

Educația cibernetică este o responsabilitate comună! Asta înseamnă că toți cei care pot, știu, au timp trebuie să se implice cumva. În cazul instituțiilor financiare și nu numai, clienții trebuiesc educați înainte de a avea acces la un card bancar sau un cont online. O mare parte dintre utilizatorii de tehnologie și Internet știu doar să ”dea cu degetul”, iar când sunt puși de infractori să își ”actualizeze” datele aceștia nu se gândesc la pericole sau la faptul că economiile lor vor dispărea…. Singura grijă a utilizatorilor este să demonstreze că ei au facut singuri totul și că au trimis toate datele…

Educație >> Card bancar
Educație >> Cont online

Mai puține reclamații, clienți frumoși și mulțumiți…

Acesta este finalul articolului.

Nu uita că astfel de informații îi pot ajuta pe alți utilizatori să stea departe de incidente cibernetice… Dacă ajunge informația la ei și dacă vor considera că lor ”are ce să le ia”, pentru că de obicei auzim varianta cunoscută ”și ce să îmi ia mie?”.

Dacă ai ajuns pană aici la final, îți mulțumesc! Un astfel de articol se realizează dificil, dar bucuria este pe masură atunci când cineva îl consideră util.

Alexandru ANGHELUȘ