SMiShing & Bancos e Dados Canadenses
No início desta primavera, tomou conhecimento de um novo ataque cibernético (Smishing) que se espalhou pelos EUA depois de migrar pela Ásia. Este novo ataque, como você já deve ter adivinhado, foi SMiShing e, posteriormente, seu primo próximo Vishing. Todos os principais bancos canadenses têm aplicativos móveis e a maioria das instituições financeiras no Canadá tem a forma de um aplicativo móvel que permite que seus clientes interajam com eles. Eu mencionei os ataques SMiShing que ocorrem ao sul da fronteira no trabalho, pois eu esperava não alardear muito, no entanto, eu ainda não tinha ouvido falar de muitas tentativas de ataques SMiShing no Canadá. De alguma forma, consegui deixar meu número de telefone no banco de dados certo, ou tenho alguns amigos nefastos que estão registrando meu número em algum lugar no InterWebs, porque ontem recebi um ataque SMiShing direcionado ao meu dispositivo móvel e direcionado usando o Canadian Imperial Bank of Commerce (CIBC). Tendo uma carreira em segurança de software, reconheci a tentativa pelo que era, sem mencionar que não faço banco com o CIBC. O que se segue é uma análise de nível de superfície do ataque SMiShing dirigido, mais tarde serei vítima do ataque SMiShing em um dispositivo de pesquisa e analisá-lo desse ponto de vista também.
O que é SMiShing?
O Smishing é um ataque muito semelhante em princípio ao Phishing, pelo qual o invasor tenta fazer com que a vítima clique em um link de destino que a vítima controla para fins de exploração de algumas informações da vítima, download de malware para o dispositivo em que a vítima clicou no link ou tentar comprometer o dispositivo ou segredos de alguma outra maneira. A principal diferença entre um ataque de phishing e um ataque SMiShing é a maneira pela qual a carga útil do ataque (mensagem) é entregue à vítima. Em um ataque de phishing, a mensagem geralmente é entregue por e-mail. Em contraste, um ataque Smishing é entregue por SMS. No exemplo de phishing, o invasor deve conhecer um email ou, no mínimo, um grupo de domínio para direcionar os e-mails depois. Na situação do ataque Smishing, o invasor só precisa saber um número de telefone. Como a maioria dos números de telefone são números de 10 dígitos em todo o mundo, o invasor só precisa adivinhar aleatoriamente os números de telefone para enviar um vetor de ataque válido. Isso levanta sérias questões sobre números de telefone dentro de qualquer organização e a necessidade de a referida organização proteger os números de telefone de seus clientes e requer uma revisita quanto à classificação de dados dos números de telefone.
O ataque SMishing
Esta foi a mensagem de texto que recebi. Na grande escala de quão eficaz essa mensagem foi, eu a classificaria como 5/10 (10 sendo a mais eficaz). A grande bandeira vermelha para mim foi que eu não faço transações bancárias ou tenho qualquer conta no CIBC. O primeiro fato interessante sobre esta mensagem foi como os atacantes decidiram tentar entrar em contato comigo, eu nunca fui ou me inscrevi para mensagem de texto de um banco no Canadá. Agora, meu entendimento é que, alguns bancos fornecem serviços de mensagens de texto, no entanto, o número certamente não é um número Cdn e parece que está sendo falsificado de algum lugar. Normalmente, eu não consideraria falsificar um número como um sinal de alerta sério, estive envolvido em situações em que as chamadas estão sendo feitas a partir de um número de saída e queria que os entrevistados respondessem a um número diferente, um exemplo perfeitamente legítimo de falsificação de números.
No entanto, se você pesquisar no Google 222-220-000, notará que ele foi usado em tentativas de SMiShing em outros bancos canadenses, não apenas no CIBC. O outro aspecto peculiar é que o número não é dígitos suficientes para um sistema telefônico canadense, usamos 10 discagem digital e mensagens para tudo. No entanto, se o número não foi considerado suspeito, outros fatores desta mensagem certamente deveriam ser.
O endereço de email associado a esta mensagem mjdkmi@cibc.net. Eu não tenho ideia se este é um endereço de e-mail legítimo ou não, ou apenas um endereço de e-mail que foi falsificado para fazer esta mensagem parecer legítima. Eu suspeito que este foi um E-mail -> Text estilo Smishing hit de milhões de números de telefone colhidos de um banco de dados em algum lugar. No entanto, o que deve ser imediatamente suspeito sobre esta mensagem é que o domínio do endereço de e-mail é CIBC.net, não CIBC.com. Um rápido google de CIBC.net me remete para algum site francês de formação profissional certamente não CIBC operando na França.
Se eu executar uma consulta whois no CIBC.net certamente parece estar registrado no grupo que opera o site em algum lugar da França, no entanto, muito longe de CIBC.com operações bancárias canadenses.
A última parte suspeita desta tentativa de Smishing foi o link que me pediram para clicar para restaurar o acesso às minhas contas bancárias canadenses no CIBC, que eu não tenho. O link cibc.ilies.ro. “Ro” é o sufixo de domínio para a Romênia. Investigando rapidamente isso um pouco mais, noto que cibc.ilies.ro está estacionado subdomínio em ilies.ro.
O melhor cenário é que alguns invasores do Smishing criaram um site para se parecer com o CIBC para tentar roubar minhas credenciais de um banco de acesso. Eu digo que este é o melhor cenário porque, eu tenho uma grande confiança no software de detecção de fraude dos bancos canadenses e departamentos para detectar isso e parar usos não autorizados de minhas contas.
Um caso pior do que o melhor caso
No início deste post eu mencionei que eu daria a este ataque Smishing um 5/10. A razão é para um usuário de tecnologia uniformizado e todos nós sabemos que esse tipo de situação pode ser extremamente aterrorizante. Para piorar a situação, seria aterrorizante se o referido usuário de tecnologia uniformizado estivesse no meio de uma tentativa de algum negócio financeiro e acreditasse legitimamente que a conta estava bloqueada. Eu posso entender totalmente como a pessoa uniformizada pode ser muito bem tentada a clicar no link.
Se a vítima desavisada clicasse no link, ela poderia ser levada a uma página que se assemelhasse muito ao site do CIBC para roubar suas credenciais e pior ainda se esse site empregasse o uso doAngler Exploit Kit. Com o Angler Exploit Kit, os invasores poderiam, teoricamente, implantar malware em um dispositivo não corrigido, especialmente se for um dispositivo Android não corrigido. Uma vez que o malware é implantado no dispositivo, ele pode ser executado imediatamente, ele pode não ser executado imediatamente, no entanto, a regra # 1 das10 regras imutáveis de segurançaacabou de ser violada e as chances são de que haverá mais.
Uma situação um pouco pior aqui não é apenas a vítima ter suas credenciais comprometidas, eles também recebem malware implantado em seu dispositivo que pode custar-lhes financeiramente, como o crypto locker, o malware pode roubar dados do dispositivo, alterar permissões violando mais das leis imutáveis de segurança, ou pode apenas ainda roubar outras credenciais ou dados críticos, como os dados do cartão de crédito das vítimas, tudo por causa de uma mensagem SMS SMishing errante.
Melhorando o ataque SMishing
Este ataque só ganhou um 5/10 na minha opinião por causa de suas inúmeras bandeiras vermelhas que eu espero que a maioria das pessoas detecte e não responda, no entanto, mesmo enquanto escrevo isso, sei que esse não é o caso. Um invasor seriamente dedicado pode melhorar essa tentativa de SMishing das seguintes maneiras.
- Faça alguma pesquisa e aprenda que CIBC.net é totalmente diferente do que CIBC.com, CIBC.com é um banco, e CIBC.net não é, neste caso, estou supondo que o endereço de e-mail está lá em uma tentativa de tornar este oficial olhando ou necessário como E-mail -> funcionalidade de texto. muito poucas vítimas estão indo para E-mail o endereço mais vai clicar no link. Portanto, a pessoa que envia este e-mail poderia ter colocado alex@cibc.com ou algum outro endereço fictício ou CIBC.com de e-mail na esperança de marcar uma pessoa real e seu endereço.
- Eu tentaria ofuscar o endereço para o qual o atacante queria que a vítima fosse, por isso não é tão óbvio que a URL de ataque seja originária da Romênia. Isso pode ser feito com um simples encurtador de URL. Pode ser difícil usar um respeitável, como o do Google, no entanto, tudo o que um encurtador de URL é, é um serviço da Web / chamada de site que recebe um token, procura o token em um banco de dados e redireciona o usuário. Você poderia escrever um em uma tarde e até mesmo hospedar em uma url com aparência canadense, que redirecionaria para a URL de ataque completa.
- Faça o número de telefone parecer canadense através de um sim queimador canadense ou melhor falsificação
SMishing & Segurança de Software
Muitos desenvolvedores, gerentes com quem falo extensivamente sobre segurança de software concordam até certo ponto, talvez, talvez, como o orçamento permite, que a segurança de software é importante, mas coisas como redirecionamentos abertos e vulnerabilidades de script entre sites não são sexy, eles não estão protegendo o “big data”, não estamos criptografando um banco de dados cheio de dados de clientes quando corrigimos essas vulnerabilidades nos sites. Se os invasores podem usar redirecionamentos abertos ou vulnerabilidades de script entre sites refletidas em seus sites para redirecionar o usuário para algum código nefasto em execução em um servidor na Romênia e esse código pode enganar seus usuários para inserir credenciais bancárias, realmente importa o quão bem você criptografou os dados desse usuário? Eles apenas deram as chaves do reino. Agora você pode argumentar, esse é o problema do usuário e não o nosso … .Eu concordaria até certo ponto, no entanto, se as vulnerabilidades em seu site estão permitindo que os usuários usem um site legítimo para redirecionar os usuários que estão atacando, então eu diria que a responsabilidade é 50/50, porque foi o seu site e sua reputação que ajudaram e atacaram na execução bem-sucedida de um ataque Smishing contra seus usuários.
NB: Eu não estou sugerindo, sei ou tenho qualquer prova de que o Canadian Imperial Bank of Commerce, sabia deste ataque, ou sua infraestrutura ou código foi de qualquer forma complacente neste ataque, o cenário descrito acima seria mais uma maneira de melhorar o ataque se tal vulnerabilidade existisse em qualquer código de instituições.
_
SMiShing & Dados
Com incidentes vistos no ano passado, e dados de usuários sendo roubados de instituições financeiras, companhias de seguros. Muitas organizações estão em uma enorme corrida para criptografar, proteger e proteger os dados através de todos os meios possíveis. Muitas organizações assumiram tarefas enormes para encontrar dados, definir o que é crítico e quais dados devem ser absolutamente protegidos a todo custo ou custaria à organização 1000 dólares e perda de reputação.
Muitas dessas organizações, como mencionado anteriormente, possuem muitos aplicativos móveis para que os usuários interajam com a instituição, facilitando a vida de seus usuários. Eu estaria disposto a ser que muitas coisas que essas organizações estão armazenando são os números de telefone dos usuários. Quando você pensa em um número de telefone por conta própria, muitos argumentariam que um número de telefone em si não é um dado de PII, é digno de ser protegido da mesma forma que a reivindicação de saúde de alguém ou os dados de benefícios, os números de conta de investimento são muito mais importantes para proteger do que um número de telefone, certo? Ou os detalhes do seguro de alguém?
Com um número de telefone baixo, mesmo sem saber quem o possui, pode levar ao comprometimento dos dados do seu usuário que você está tentando realmente proteger. Um vazamento de milhares de números de telefone cria uma lista de alvos com 1.000 de alvos em potencial. Tudo o que você precisa é de um número.