Societatea digitală actuală are nevoie de o disponibilitate continuă a serviciilor și de o protecție eficientă a datelor sensibile. Activele informaționale și serviciile online sunt foarte importante pentru toate organizațiile și sunt vitale pentru crearea unei economii digitale sigure.
Deși atacurile cibernetice vizează fiecare industrie, sectorul financiar este afectat în mod disproporționat, fiind vulnerabil la foarte multe amenințări din ce în ce mai sofisticate, deoarece infractorii cibernetici știu că au acces la sume mari care le autofinanțează activitățile criminale. Securitatea cibernetică în organizațiile din sectorul bancar a devenit din ce în ce mai critică.
Mizele cresc atunci când vorbim despre confidențialitatea, integritatea și disponibilitatea activelor informaționale, precum și despre implementarea unor servicii și aplicații de ultimă generație(Fintech, Blockchain), care conduc la îmbunătățirea rezistenței împotriva amenințărilor cibernetice. Sectorul financiar recunoaște evoluția amenințărilor și riscurilor cibernetice, precum și ritmul accelerat al tehnologiei în permanentă schimbare.
Ca și în cazul altor infrastructuri informaționale, o parte din deciziile și soluțiile adoptate de conducere nu se pot baza strict pe politici și proceduri, ci au la bază incidente de securitate cibernetică cu impact asupra propriilor instituții, sau analize/ rapoarte ale experților în securitate cibernetică.
Toate acestea subliniază necesitatea de a proteja datele și tranzacțiile cu date sensibile și, prin urmare, de a (re)asigura încrederea în sectorul financiar.
Această analiză are ca subiect un atac cibernetic extrem de complex și cu o activitate infracțională foarte ridicată, deși totul pleacă de la o simplă informație găsită pe una dintre platformele monitorizate de echipa ProWin.
https://www.prodefence.ro/wp-content/uploads/2022/08/Ciminalitate-financiara-cibernetica-Romania.png482868Alexandru Anghelushttps://www.prodefence.ro/wp-content/uploads/2021/05/Logo-259x300.pngAlexandru Anghelus2022-08-24 18:25:572022-08-24 18:26:01Clienții băncilor din România, ținte ale infractorilor cibernetici
Zilele acestea o serie de mesaje ca cele afișate mai sus au ajuns sub formă de SMS pe telefoanele românilor. Gramatica, exprimarea, dar și modalitatea de scriere a acestor mesaje, denotă că au fost trimise, cel mai probabil, de programe automate de trimitere și traduse automat. De obicei, metoda de divizare a cuvintelor fiind folosită pentru a trece de filtrul cuvintelor cheie și evitarea blocării mesajelor(un exemplu fiind mesajele care ajung în SPAM deoarece sunt considerate malițioase). În cazul nostru, cuvintele principale fiind: mesaj, mesagerie, nou, acum, vocal, prietenii… nu au ”greutatea” cuvintelor: bancă, informații, actualizare, descarcă, încât să existe necesitatea divizării acestora.
Deși exista dorința analizării acestei situații, timpul necesar nu prea exista, până când a venit SMS pe numărul nostru… și nu am putut să îl ignorăm…
Adresă web: www.dom_ain.com/nvl/?kOpJM1yX-HAsEI8 Am început cu analizarea adresei oferite, pentru a putea înțelege atacul cibernetic. Vizitarea adresei de pe pc duce spre o eroare 404, ceea ce înseamnă că adresa nu există.. sau are restricții pe anumite dispozitive, platforme de analiză malware online, calculatoare virtuale etc. Adresa fiind obținută prin SMS, există șanse foarte mari ca accesarea sau acțiunile stabilite la accesare să fie posibile doar dacă vizitarea se face cu un dispozitiv mobil(telefon) sau în funcție de alte criterii(IP, browser etc).
Pentru a nu intra în detaliile tehnice legate de adresa web vom sări câțiva pași, dar vom menționa că este adresa unei pagini web compromise, aceasta fiind una dintre cele mai practicate metode ale hacker-ilor, folosirea paginilor web compromise reduce expunerea acestora, credibilitatea acțiunilor ilegale și reducerea costurilor.
Suntem în etapa în care am analizat structura paginii, am adunat informații și am descoperit că folderul /nvl/ conține un singur fișier index.php. Una dintre țintele analiștilor de securitate cibernetică fiind intrarea în posesia fișierelor folosite de infractorii cibernetici, de aceea este un pas important.
Un fișier care la accesarea cu dispozitivul acceptat ar trebui să arate ceva, să te direcționeze undeva sau să îți ofere ceva pentru descărcare. Sau cel puțin așa se manifestă majoritatea atacurilor de acest fel.
Așa cum se întâmplă de foarte multe ori, pagina web nu este singura compromisă.. ci întreg serverul, împreună cu toate paginile existente. Pagini care sunt folosite atât pentru acest atac prin SMS cât și multe alte campanii de phishing, fraudă etc.
Trecem la partea de dispozitiv mobil, pentru a vedea dacă adresa în cauză ne poate oferi și alte informații despre ceea ce deja știm că este un atac cibernetic.
La accesarea adresei direct din SMS, pagina care apărea cu eroare pentru pc, identificând dispozitivul ca fiind unul mobil, afișează acum informații despre serviciul de telefonie folosit, numărul nostru de telefon, un presupus timp al mesajului și desigur posibilitatea de a descărca aplicație necesară pentru a asculta mesajul vocal. Credibilitatea acestei ferestre este susținută de faptul că în colțul din stânga sus apare imaginea serviciului folosit și numele serviciului apare încă odată înainte de ”You have new voicemail”.
În cea de-a doua imagine am folosit tehnica descrisă și în cursul de phishing din cadrul proiectului Cyber AID, cu ajutorul căreia putem vedea ce se ascunde în spatele butonului și observăm o adresă.. destul de lungă. Accesăm adresă de pe calculatorul folosit ca și laborator de analiză malware, dar același rezultat ca la cealaltă adresă… adica nimic. Așa că o accesăm direct de pe telefon, pentru a descoperi secretul atacului, deși 99% ar trebui să fie vorba despre o aplicație malware.
Dar până la accesare, trebuie menționat un aspect foarte important, care poate reduce numărul victimelor. Sub butonul de descărcare există o informare care explică cum să schimbi setările dacă nu este permisă instalarea. În cazul acesta lipsa cunoștințelor tehnice de bază și a cunoașterii limbii engleze este un plus … în acest caz.
Apăsăm butonul într-un mod normal, pentru a vedea ce se întâmplă.
Se confirmă bănuiala în ceea ce privește tipul de atac cibernetic. Este o campanie de distribuire a unei aplicații mobile infectate cu virus, care poate extrage informații sau poate controla în totalitate dispozitivul.
15 din 63 nu este chiar ceva bun, dar rata de detecție va crește datorită faptului că am scanat online aplicația. Avem și o oarecare confirmare despre ceea ce urmărește atacatorul(Android, Banker, Dropper, Flubot..)
Must be required by an NotificationListenerService, to ensure that only the system can bind to it
android.permission.SEND_RESPOND_VIA_MESSAGE
Allows an application (Phone) to send a request to other applications to handle the respond-via-message action during incoming calls
android.permission.BIND_ACCESSIBILITY_SERVICE
Must be required by an AccessibilityService, to ensure that only the system can bind to it
Domenii asociate:
wiprniagitknuns.pw
ns0.centralnic.net. hostmaster.centralnic.net
rqybkmivdweeglt.kz
ns.nic.kz. hostmaster.nic.kz
wlexlwrphocarsf.host
ns0.centralnic.net. hostmaster.centralnic.net
vbqejyinxofjsxh.email
v0n0.nic.email. hostmaster.donuts.email
iaaukvtdrttacjr.com.ua
ho1.com.ns.ua. dnsmaster.hostmaster.ua
iekpphblviocqmh.top
a.zdnscloud.com. td_dns_gtld.knet.cn
ojtbquxjpvgvbfj.ru
ns1.ojtbquxjpvgvbfj.ru ns2.ojtbquxjpvgvbfj.ru
Toate aceste informații confirmă că scopul atacului cibernetic este de a prelua controlul dispozitivelor mobile care instalează aplicația. Permisiunile enumerate mai sus pot fi utile la urmărirea tranzacțiilor bancare, deoarece implică controlul asupra mesajelor pentru a vedea codurile suplimentare de autentificare, extragerea datelor bancare dar și folosirea dispozitivelor pentru răspândirea virusului către numerele de telefon stocate pe fiecare dispozitiv.
Până și accesul la setările vibrației și notificărilor telefonului sunt un aspect clar al activităților pe care le poate avea atacatorul, activități care se vor desfășura într-un mod silențios, pentru a nu atrage atenția proprietarului.
Ce se poate face pentru a evita un incident?
Ignorarea mesajelor care par suspicioase sau vin de la numere necunoscute,
Instalarea unui antivirus/ antimalware,
Chiar dacă ați descărcat aplicația din greșeala.. evitați să apăsați ”OPEN” sau ”INSTALL”,
Dacă totuși ați instalat apk-ul în telefon… închideți telefonul imediat!
Secretele evitării incidentelor cibernetice sunt:
Conștientizarea pericolului din mediul online și utilizarea tehnologiei,
Educația ciberntică, pentru a înțelege funcționalitatea atacurilor,
Acceptarea avertizărilor venite de la autorități(DNSC) și specialiști.
Pentru mai multe informații despre atacurile cibernetice vă așteptăm pe Cyber AID – https://www.cyberaid.eu/
După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.
Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.
Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă. În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!
Listă domenii afectate la momentul realizării articolului:
http://raufar.ro/
http://raufarwater.ro/
http://www.bigprintsolutions.ro/
http://militarywatch.ro/
http://imfarco.ro/
http://forsining.ro/
http://www.psihologmures.ro/
https://clubaventura.ro/
O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!
http://gestino.ro/ Plus încă una >> http://eurodinamic.ro/
Așadar aici suntem! Lucrurile evoluează în toate direcțiile! Nimic nu poate fi 100% securizat, dar măcar să încercăm!