Bezpečnost | Hacking | Phishing

„Hackerem“ může být opravdu každý, tahle služba za poplatek generuje phishingové stránky

  • Phishingové stránky je možné vygenerovat během několika minut
  • Malware-as-a-Service je stále oblíbenější
  • Podobně lze generovat také ransomware

Phishing je nejoblíbenější technikou podvodníků, kteří chtějí získat cizí údaje k internetovým službám. Může se jednat o online bankovnictví nebo v častějších případech e-mailové schránky a sociální sítě.

Mohlo by se zdát, že provozování phishingu vyžaduje alespoň základní znalost tvorby webu. Ten by se měl tvářit stejně jako původní služba a nepozorná oběť by do přihlašovacího formuláře měla zadat svoje údaje i navzdory nesmyslné a podezřelé URL.

Jenže to už také neplatí, na ruském webu funguje delší dobu služba Fake-Game, která nabízí tzv. MaaS, tedy malware-as-a-service. Upozornila na ni bezpečností skupina Fortinet.

FakeG2.png
„Vítejte na Fake-Game, v několika krocích vám poradíme, jak vytvořit podvodný web“ (zdroj: Fortinet)

Vytvoření podvodného webu tady zvládne každý, kdo dokáže vyplnit několik polí ve formuláři. Provozovatelé navíc nabízí i stručný návod pro opravdové začátečníky. Na výběr je z mnoha služeb, za něž se má web vydávat – nechybí Facebook, Gmail, Instagram, Yandex, ale najdeme zde i herní Steam, Wargaming nebo Tanks online.

FakeG3.png
Stačí vybrat službu, kterou má web napodobovat (zdroj: Fortinet)

Služba podle toho zvolí doménu třetího řádu, která bude obsahovat název vybraného webu a i adresa tak bude vypadat alespoň trochu přesvědčivě. Následně je vygenerována unikátní adresa s identifikátorem, který službě umožní přiřadit údaje zadané obětí do správné databáze. Následně stačí adresu rozeslat a čekat až se oběti začnou přihlašovat na podvodný Facebook nebo Gmail.

FakeG7.jpeg
Takto vypadá vygenerovaná stránka. Že nejde o opravdový Google zjistíte jen díky podvodné URL (zdroj: Fortinet)
FakeG6.jpeg
A tady už je výsledek - seznam přihlašovacích údajů, které oběti zadali do formuláře na vygenerovaném webu (zdroj: Fortinet)

Pětaosmdesát korun za měsíc „hackování“

Fake-Game poradí začínajícím „hackerům“ i s tím, jak získané údaje využít. Přímo odkazuje na další weby, kde se loginy dají prodat a přidává k tomu instruktážní videa. Pro úplné začátečníky potom nechybí ani online podpora v podobě textového chatu.

Jak už bylo zmíněno, Fake-game provozuje MaaS a nesmí tedy chybět ani byznys model. A provozovatelé se přiklonili k běžnému modelu freemium, kdy si uživatelé mohou zaplatit za tzv. VIP účet. Tím získají možnosti neomezeného množství uložených údajů, jejich lepší filtrování a exportování nebo možnost přesměrování z vlastních URL. Cena je lidová, 230 rublů (85 Kč) za měsíc.

FakeG2.png
Nevíte, co s kradenými údaji? Poradíme, jak a kde je zpeněžit (zdroj: Fortinet)

Provozovatelé Fake-Game se také chlubí počtem údajů, které byly pomocí jejich služby odcizeny a aktuálně statistika ukazuje přes 680 tisíc loginů. Ve srovnání s velkými úniky dat z posledních měsíců jde o směšně číslo. Nebezpečí této služby však spočívá především v možnostech útoků na konkrétní osoby, kdy útočníkovi nemusí jít pouze o případný prodej získaných údajů.

Ransomware-as-a-Service

Dalším oblíbeným útokem poslední doby je tzv. ransomware. Ten se postará o zašifrování uživatelských dat na pevném disku a znepřístupní je do doby, kdy je zaplaceno výkupné. Ani tento typ útoku není nijak sofistikovaný, a tak podobně jako v případě phishingu existují služby, které ransomware umožní vytvořit každému.

Tentokrát již běží v Toru v podobě skryté služby a služba je přímo označena jako Encryptor RaaS. Podobně jako v případě Fake-Game je vytvoření aplikace naprosto triviální. Ve třech polích stačí zadat adresu svojí bitcoinové peněženky kam bude chodit výkupné, částku kterou bude muset oběť zaplatit, případnou sumu k zaplacení po uplynutí první lhůty (tradičně se po několika dnech zvyšuje) a právě počet hodin, kdy platí první nižší cena.

1(1).png
Jak složité je vytvoření ransomwaru? Stejně jako vyplnění tří polí ve formuláři
(zdroj: Fortinet)

Následně web vygeneruje unikátní identifikátory, které jsou zároveň připojeny do Java aplikace, která je zkompilována a nabídnuta ke stažení.

Pokud nyní oběť na spustitelný soubor klikne, dojde k zašifrování většiny běžných souborů – nejdůležitější jsou dokumenty, fotografie, spustitelné soubory standardních aplikací, hudba, ale třeba také zálohy na případném připojeném NASu nebo externím disku. Zároveň dojde ve webovém prohlížeči k přesměrování na adresu ve formátu decryptoraveidf7.onion.to/vict?custXXX&guid=XXX, která v parametrech obsahuje identifikátory útočníka.

Picture7a.png
A takto vypadá web, který se oběti zobrazí po zašifrování souborů (zdroj: Fortinet)

Na stránce se zobrazí instrukce, jak získat bitcoinovou peněženku, jak Bitcoiny nakoupit a jakým způsobem je poslat v podobě výkupného. Nechybí ani upozornění, že po uplynutí zadané doby dojde ke zvýšení ceny. Služba využívá dobře známý CryptoLocker, který dokáže detekovat každý antivir. Pokud však v počítači chybí a oběť spustitelný soubor otevře, může jí to donutit k zaplacení částky. Útočníkovi přitom stačilo vyplnit čtyři formulářová pole.

Diskuze (4) Další článek: Bill Gates zastavil akvizici Slacku, Microsoft místo toho tvoří konkurenční řešení na bázi Skype a Yammeru

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,