Marketingový "průzkum" pro zjištění obětí na další útok

3.2.2018 04:32 | Přečteno: 3646× | vent | poslední úprava: 3.2.2018 04:32

Měl jsem dnes nevyžádaný telefonát, který se snažil vypadat a byl na začátku deklarován jako průzkum hospodářské situace v ČR. Místo slíbených 8 minut trval 22, obsahoval řádově 100 otázek, z nichž byli mnohé hodně citlivé a jsem si celkem jistý, že to byl "socially engineered recon" cílen na nalezení lidí, kteří používají mobilní bankovnictví nebo platby a nejsou moc technicky zdatní, tudíž představují lehké oběti - mobilní banking/platební aplikace de facto nejsou chráněny dvou-faktorovou ochranou, tudíž lze je mnohem jednodušeji napadnout než kombinaci internetbanking v PC + ověřovací SMS (na to potřebujete SS7 přístup nebo dva trojany na obou platformách).

Firma se představila jako Data Collect, číslo volajícího se zobrazovalo jako +420 778 168 002, které je pravděpodobně podvrženo (třeba přes VOIP bránu; nebo alespoň automaticky blokuje příchozí hovory). Nevyžádané hovory z čísla jsou celkem běžné. Blokování/spoofovaní čísla vypadá podezřele, ale firma uvádí jiné kontaktní telefonní číslo, to alespoň vyzvání. I když to vůbec nemusela být tahle firma a někdo jiný spoofnul její číslo.

Zákazníci pokud to chápu správně mají možnost dodat skript, podle kterého se budou operátoři call centra dotazovat.

Dotazník jsem absolvoval vymýšlením si odpovědí, abych vytvořil určitý profil, protože mě zajímá, jak fungují různé podvody.

Otázky začínají relativně nevinně

Na začátku vám sdělí údajný záměr: má se jednat o průzkum názoru na hospodářskou situaci v ČR. Otázky začínají v deklarovaném duchu, ptají se na věci, jestli jste si polepšili v zaměstnání za poslední rok platem, jestli si myslíte, že se to zlepší. Jaké máte vzdělání, formu příjmu (podnikatel/zaměstnanec). Ptají se, jaká je a jaká si myslíte že bude inflace. Zda spoříte a jestli plánujete koupi drahých věcí (elektronika, nemovitost, rekonstrukce nemovitosti...). Padne otázka, do jaké platové kategorie patříte (je to formulováno jako počet lidí v domácnosti a do jaké příjmové kategorie patříte). Zde jsem si představil skript, který čte telefonistka a viděl jsem větev, do které jsem vstoupil. Dává to přehled o vašich disponibilních naspořených financích. Red flag #1.

Tak to byl první zlom...

Otázky jsou křížově referencovány - nenapadá mě přesný český termín, ale ve výzkumech se tohle používá na detekci, jestli někdo neodpovídá úplně náhodně (nebo bez rozmyslu nelže). Údajně podle jednoho příspěvku na vyhledatcislo.cz zavěsili, pokud jim nezapadlo PSČ do jejich "množiny vhodných PSČ" (může to být ale atribut konkrétního průzkumu):

Volala mne pani, a řekla že je to nejaky pruzkum. (V jake obhodni centra chodim) Pak se zeptala na PSČ, a řekla že bydlim v meste, ktere nevyhovuje jejim požadavkum na ten pruzkum

Začnou se vyptávat, zda máte smartphone a jaký operační systém používáte. Následuje několik velmi podrobných otázek, zda používáte aplikace pro mobilní bankovnictví nebo jiné způsoby mobilních plateb (NFC, placené app store aplikace, atd). Red flag #2. Vůbec nesedí s deklarovaným původním záměrem hovoru. Red flag #3.

Just throw more red flags at me, will you?

Dále chtějí vědět jak hodnotíte různá rizika na mobilní platformě - phishing, spyware/malware, rizika sdílené wifi někde v restauraci, riziko hackerského útoku. Další otázky už jen v bodech:

• jestli jsem byl nějakou metodou z předchozích rizik již napaden, ohodnotit na škále nikdy - pravděpodobně ne - ... - pravděpodobně ano - určitě ano
• velmi podrobné dotazy na to, jaké způsoby obrany (aplikace) používáte - antiviry, firewally, různé jiné aplikace řešící třeba odcizení

Verdikt

If it looks like a duck, swims like a ducks and quicks like a duck, then it is a duck.

Nikdo omylem nevytvoří takhle zavádějící dotazník začínající nevinně a vedoucím dotazující se na velmi citlivá data. Jedná se rozhodně o sbírání informací před útokem. Těžko s jistotou říct, jestli bude útok cílit na obrání vás přes mobilní platební aplikace, vybrat vám byt, nebo jinak odposlouchávat/sledovat. Nebo třeba zjišťovali, zda víte o tom, že máte smartphone napaden? (ne moc pravděpodobné)

Zajímalo by mě, kam ty výsledky povedou. Má smysl se jich ptát na velikost vzorku?

• když je v tom firma nevinně, tak asi nebudou lhát
• když je spolupachatel, bude lhát
• když bylo číslo spoofnuto místo originální firmy, nebude o tomhle "průzkumu" nic vědet, ale stejně o nějaké studii nemusí vědet ani osoba, kterou se na to budete ptát (neprůkazné; taky může lhát pokud je spolupachatel)
• jak by útočník mohl využít Data Collect na profilování obětí? Použít několik malých množin cílových čísel a pak z toho odvodit správné kandidáty? (podobně jako týpek, co zacílil Facebook reklamy na svého spolubydliče)

Kdybych si měl tipnout, je to profilování obětí před útokem, nebo alespoň studie proveditelnosti/dopadu útoku tohoto typu. Pravděpodobně by to cílilo phishing na nějaké staré Androidy, kde po nainstalování aplikace již lokální eskalace privilegií není složitá.        

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru