perjantai 30. toukokuuta 2014

Vanha niksi tiedonkalastelua vastaan toimii yhä

Eilen huomasin Facebookissa parin tutun levittävän epäilyttävää kutsua:

Suomenkielinen kutsu tutuilta hämää tehokkaasti.
Linkkiä napsauttamalla aukeni Facebookin kirjautumissivu, joka näytti varsin aidolta:

Kirjautuminen joulupukkina paljastaa huijauksen.
Mutta oliko se aito? Olen käyttänyt yksinkertaista kikkaa kalastelusivujen paljastamiseen: kirjoitan takuulla väärän käyttäjätunnuksen ja salasanan. Yleensä kalastelusivu ei tarkista, ovatko tiedot oikein, sillä tietojen validointi edellyttäisi kirjautumista oikeaan palveluun. Sitä ei ole aivan helppo ohjelmoida, eivätkä kalastelijat muutenkaan ole mitään ruudinkeksijöitä. Lisäksi kirjautumisskriptit kuormittaisivat konetta, joka on yleensä kaapattu palvelin.

Oikea Facebook antaisi vääristä tunnuksista virheilmoituksen, mutta kalastelusivu hyväksyi joulupukin mukisematta ja alkoi kysellä lisätietoja:

Minun isoisäni oli astronautti.
Varsinainen pihvi oli vasta viimeisellä sivulla:

Luottokortin tiedot, kiitos.
Ilmoitin kuvitteellisen luottokortin numerot -- tekeepähän hieman kiusaa hakkereille, kun yrittävät käyttää luottokortteja luvatta. Hyvässä lykyssä saman henkilön useat ostoyritykset väärillä numeroilla voivat johtaa jopa rosvon paljastumiseen.

Osa kalastelusivuista tarkistaa, että luottokortin numero on oikean näköinen. Vastaavasti netistä löytyy palveluita, joilla voi generoida kuvitteellisia, loogisesti oikeita luottokorttinumeroita kaikkine tietoineen.

Kun kalastelija oli saanut kaiken tarpeellisen, uhri palautettiin takaisin oikeaan Facebookiin, eikä hän luultavasti edes huomannut tulleensa huijatuksi. Sen jälkeen hänen tunnuksiaan alettiin käyttää uusien uhrien houkutteluun.

Väärien kirjautumistietojen kokeilu on yksinkertainen, mutta varsin toimiva kikka. Mainitsin siitä aamulla Twitterissä ja ilmeisesti niksiä pidettiin hyvänä, koska se sai paljon retwiittejä ja Digitoday teki siitä jopa uutisen.

Niksi Twitterissä.
Itse kikka ei ole mikään uutinen -- esittelin sen jo vuonna 2006 ilmestyneen Paranna tietoturvaasi -kirjani sivulla 298. Olen noin kymmenen vuoden ajan kokeillut kikkaa eri huijauksissa, eikä vielä ole tullut vastaan yhtään kalastelijaa, joka oikeasti tarkistaisi kalastelemiensa tunnusten toimivuuden reaaliajassa (tosin yksi huijaus tarkisti, että salasana oli riittävän pitkä). Yleensä tunnukset kerätään vain tekstitiedostoon, joka käydään imuroimassa myöhemmin parempaan talteen.

Ellei halua tehdä joulupukista uhria, voi tietenkin käyttää omaa tunnustaan -- kunhan salasana on varmasti väärä. Oman tunnuksen käyttö kertoo kuitenkin huijarille, että uhri on mennyt lankaan. Jos kyse on FB:n tapaan sähköpostiosoitteesta, se kertoo myös, että tälle henkilölle kannattaa lähettää huijauksia jatkossakin.

Kalastelut pitäisi ensi sijassa tunnistaa väärennetyn osoitteen, puuttuvan ssl-suojauksen tai jonkin muun tekijän avulla. Väärien tietojen hyväksyminen on varma merkki huijauksesta, mutta vaikka tuloksena olisi virheilmoitus, se ei vielä takaa palvelun aitoutta. Siksi kikka on vain yksi lisätekijä arvioitaessa palvelun luotettavuutta.

Tässä tapauksessa ensimmäisen sivun osoiterivi näytti oikealta, mikä varmaankin lisäsi huijauksen tehoa:

SIvun osoite on hämäävästi oikean näköinen.
Osoiteriville on saatu mahtumaan www.facebook.com, mutta todellinen domain on tässä tapauksessa com-gb.co.uk. Luulisi osoiterekisterien ylläpitäjällä olevan sen verran maalaisjärkeä, etteivät myöntäisi näin helposti huijattavia osoitteita lainkaan.

Yleensä kalastelusivut pyörivät kaapatuissa palvelimissa. Silloin kannattaa kokeilla toista kikkaa: osoiterivin perästä poistetaan kaikki ylimääräinen niin, että vain domain-osuus jää jäljelle. Jos kyse on huijauksesta, selaimeen ilmestyy kaapatun palvelimen oikea kotisivu. Tässä tapauksessa siitä on vain vähän hyötyä, sillä com-gb.co.uk:n kansisivu on aivan tyhjä. Ilmeisesti osoite on varattu juuri tätä huijausta varten..

Huolestuttavaa on se, että näin avoimesti huijaava sivu saa olla toiminnassa ilman, että se päätyy Firefoxin ja Chromen sulkulistalle.

Kirjautumissivun jälkeen palvelu vaihtaa toiseen, ilmeisesti kaapattuun osoitteeseen. Sen domain-nimi www.exsazen.com antaa selvän osoituksen vaarasta:

Toinen niksi: kokeile osoitetta pelkällä domain-nimellä.

7 kommenttia:

Anonyymi kirjoitti...

Whois-kysely paljastaa että tuo domaini on rekisteröity proksipalvelun kautta (kuten huijaussivustot yleensä). Google translate tunnistaa että viimeisen kuvan vikailmoitus on indonesiaa, ja antaa käännökseksi "Sivuston estetty Operator. Avataan vain illalla."

Asian vierestä: joko Järvinen on lukenut TrueCrypt -ohjelman äkillisestä lopettamisesta? sivustolla on enää saatavissa versio 7.2 joka sallii vain salattujen tiedostosäiliöiden purkamisen. Lisäksi sivustolla on iso varoitus jonka mukaan truecrypt saattaa sisältää tietoturva-aukkoja, sekä ohjeet kuinka ottaa käyttöön bitlocker.
Lisätietoa:
https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html

Anonyymi kirjoitti...

Jos luottokorttitietoja kysytään, eikö olisi hyvä olla olemassa tietoturva-ammattilaisille sellaisia numeroita jotka pankki nähdessään tunnistaa viestiksi huijausyrityksestä. Nyt esimerkiksi Järvinen olisi voinut hakea jostankin suojatusta yhteydestä sellaisen numerosarjan joka keskustelee pankkien järjestelmien kanssa ja pankit tunnistaa heti mistä on kyse.

Petteri Järvinen kirjoitti...

"Miinoitetut" luottokorttinumerot olisikin hauska idea. Samanlaista suunnittelin itse pankkikorttien pin-koodeille, siitä on blogikirjoitukseni parin vuoden takaa.

TrueCrypt on kiinnostava juttu. Siitä on turha blogata nyt, kun kenellekään ei tunnu olevan faktoja, mitä oikein on tapahtunut. Mutta seurataan tarkasti, mitä tästä sopasta vielä paljastuukaan.

Zarr kirjoitti...

Varsin moni pankki Yhdysvalloissa tarjoaa kertakäyttöisiä luottokorttinumeroita. Minusta on suorastaan ihmeellistä ettei näitä ole käytössä suomalaisilla pankeilla. Johtuisiko NETSin (ex-luottokunta) rajoituksista?

Esim. https://www.bankofamerica.com/privacy/accounts-cards/shopsafe.go

Sinänsä duress-codet esim. PIN-koodeina on vanha juttu, vastaavan voisi varmaan ympätä tuohonkin.

sinep kirjoitti...

Kertakäyttöiset luottokortit onnistuvat ainakin Elisa Lompakon kautta. Virtuaalikortteja, joille ladataan saldoa tarpeen mukaan.

Anonyymi kirjoitti...

Väärien tunnusten lisäksi voi tietysti vain katsoa että mikä kyseisen sivuston SSL sertifikaatti on... tuota Phishing sivustoa ei ole salattu, eli url on http://www.facebook.yms, kun taas luonnollisesti oikea sivusto on aina https://www.facebook.yms...

Myöskään mikään linkki tuolla hienolla pikku PHP sivulla ei näyttänyt toimivan... yllättävän tarkka kopio muuten Facebookin sivusta.

LyhjeHylje kirjoitti...

Eikö tuota huijauslinkkiä voisi hyödyntää? Skripti joka syöttää phissaajan tietokannan täyteen valetunnuksia?