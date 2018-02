×

Marketingový "průzkum" pro zjištění obětí na další útok

dnes 04:32 | Přečteno: 100× | vent | poslední úprava: dnes 04:32

Měl jsem dnes nevyžádaný telefonát, který se snažil vypadat a byl na začátku deklarován jako průzkum hospodářské situace v ČR. Místo slíbených 8 minut trval 22, obsahoval řádově 100 otázek, z nichž byli mnohé hodně citlivé a jsem si celkem jistý, že to byl "socially engineered recon" cílen na nalezení lidí, kteří používají mobilní bankovnictví nebo platby a nejsou moc technicky zdatní, tudíž představují lehké oběti - mobilní banking/platební aplikace de facto nejsou chráněny dvou-faktorovou ochranou, tudíž lze je mnohem jednodušeji napadnout než kombinaci internetbanking v PC + ověřovací SMS (na to potřebujete SS7 přístup nebo dva trojany na obou platformách).

Firma se představila jako Data Collect, číslo volajícího se zobrazovalo jako +420 778 168 002, které je pravděpodobně podvrženo (třeba přes VOIP bránu; nebo alespoň automaticky blokuje příchozí hovory). Nevyžádané hovory z čísla jsou celkem běžné . Blokování/spoofovaní čísla vypadá podezřele, ale firma uvádí jiné kontaktní telefonní číslo , to alespoň vyzvání. I když to vůbec nemusela být tahle firma a někdo jiný spoofnul její číslo.

Zákazníci pokud to chápu správně mají možnost dodat skript, podle kterého se budou operátoři call centra dotazovat.

Otázky začínají relativně nevinně

Tak to byl první zlom...

vyhledatcislo.cz

Volala mne pani, a řekla že je to nejaky pruzkum. (V jake obhodni centra chodim) Pak se zeptala na PSČ, a řekla že bydlim v meste, ktere nevyhovuje jejim požadavkum na ten pruzkum

Just throw more red flags at me, will you?

jestli jsem byl nějakou metodou z předchozích rizik již napaden, ohodnotit na škále nikdy - pravděpodobně ne - ... - pravděpodobně ano - určitě ano

velmi podrobné dotazy na to, jaké způsoby obrany (aplikace) používáte - antiviry, firewally, různé jiné aplikace řešící třeba odcizení

Verdikt

Dotazník jsem absolvoval vymýšlením si odpovědí, abych vytvořil určitý profil, protože mě zajímá, jak fungují různé podvody.Na začátku vám sdělí údajný záměr: má se jednat o průzkum názoru na hospodářskou situaci v ČR. Otázky začínají v deklarovaném duchu, ptají se na věci, jestli jste si polepšili v zaměstnání za poslední rok platem, jestli si myslíte, že se to zlepší. Jaké máte vzdělání, formu příjmu (podnikatel/zaměstnanec). Ptají se, jaká je a jaká si myslíte že bude inflace. Zda spoříte a jestli plánujete koupi drahých věcí (elektronika, nemovitost, rekonstrukce nemovitosti...). Padne otázka, do jaké platové kategorie patříte (je to formulováno jako počet lidí v domácnosti a do jaké příjmové kategorie patříte). Zde jsem si představil skript, který čte telefonistka a viděl jsem větev, do které jsem vstoupil. Dává to přehled o vašich disponibilních naspořených financích. Red flag #1.Otázky jsou křížově referencovány - nenapadá mě přesný český termín, ale ve výzkumech se tohle používá na detekci, jestli někdo neodpovídá úplně náhodně (nebo bez rozmyslu nelže). Údajně podle jednoho příspěvku nazavěsili, pokud jim nezapadlo PSČ do jejich "množiny vhodných PSČ" (může to být ale atribut konkrétního průzkumu):Začnou se vyptávat, zda máte smartphone a jaký operační systém používáte. Následuje několik velmi podrobných otázek, zda používáte aplikace pro mobilní bankovnictví nebo jiné způsoby mobilních plateb (NFC, placené app store aplikace, atd). Red flag #2. Vůbec nesedí s deklarovaným původním záměrem hovoru. Red flag #3.Dále chtějí vědět jak hodnotíte různá rizika na mobilní platformě - phishing, spyware/malware, rizika sdílené wifi někde v restauraci, riziko hackerského útoku. Další otázky už jen v bodech:If it looks like a duck, swims like a ducks and quicks like a duck, then it is a duck.

Nikdo omylem nevytvoří takhle zavádějící dotazník začínající nevinně a vedoucím dotazující se na velmi citlivá data. Jedná se rozhodně o sbírání informací před útokem. Těžko s jistotou říct, jestli bude útok cílit na obrání vás přes mobilní platební aplikace, vybrat vám byt, nebo jinak odposlouchávat/sledovat. Nebo třeba zjišťovali, zda víte o tom, že máte smartphone napaden? (ne moc pravděpodobné)

Zajímalo by mě, kam ty výsledky povedou. Má smysl se jich ptát na velikost vzorku?

když je v tom firma nevinně, tak asi nebudou lhát

když je spolupachatel, bude lhát

když bylo číslo spoofnuto místo originální firmy, nebude o tomhle "průzkumu" nic vědet, ale stejně o nějaké studii nemusí vědet ani osoba, kterou se na to budete ptát (neprůkazné; taky může lhát pokud je spolupachatel)

jak by útočník mohl využít Data Collect na profilování obětí? Použít několik malých množin cílových čísel a pak z toho odvodit správné kandidáty? (podobně jako týpek, co zacílil Facebook reklamy na svého spolubydliče)

Hodnocení: 100 % špatné • dobré

Anketa

Co si myslíte, že se stalo v tomhle případě? někdo zaplatil Data Collect, aby změřil pravděpodobnost úspěšnosti phishing útoku na bankovní/platební aplikace ( 0 % )

někdo využil toho Facebook ad triku na profilování cílů přes Data Collect ( 0 % )

Data Collect neanonymizuje v tomhle případě data a umožňuje profilování úmyslně ( 0 % )

někdo zjišťuje efektivitu skrývání již nainstalovaného malware tímhle dotazníkem ( 0 % )

jiné (uveďte v komentáři) ( 100 % )

Celkem 1 hlasů



Komentáře

Kdybych si měl tipnout, je to profilování obětí před útokem, nebo alespoň studie proveditelnosti/dopadu útoku tohoto typu. Pravděpodobně by to cílilo phishing na nějaké staré Androidy, kde po nainstalování aplikace již lokální eskalace privilegií není složitá.

Vložit další komentář

dnes 05:58

Re: Marketingový "průzkum" pro zjištění obětí na další útok dnes 05:58 ZAH | skóre: 42 | blog: ZAH Re: Marketingový "průzkum" pro zjištění obětí na další útok