bezpieczeństwo
4

Kradzież pieniędzy i… niestandardowe czcionki. Metoda sprytna, nie powiem

Chyba nikogo nie dziwi zjawisko polegające na podszywaniu się przez cyberprzestępców pod instytucje finansowe celem zbierania wrażliwych informacji klientów. Jednak tego typu ataki łatwo jest wykryć. Co jeśli można je bardzo sprytnie "zakodować" w taki sposób, aby uniknąć wykrycia i oszukać użytkownika?

Badacze z Proofpoint odkryli zupełnie nową metodę – nie tyle ataku, co zwyczajnie ukrywania go przed użytkownikiem. Co więcej, eksperci uważają, że to najprawdopodobniej nie pierwszy raz, gdy taka technika została użyta przez cyberprzestępców do ukrywania złośliwego kodu. Wszystko zasadza się na tym, że konkretna strona internetowa wykorzystuje niestandardową czcionkę „woff”, która po odpowiednim spreparowaniu na stronie powoduje, że kod źródłowy witryny zdaje się być niezłośliwy. Oczywiście, dla zautomatyzowanych systemów wykrywających takie ataki nie będzie to stanowiło większej przeszkody, podobnie dla dobrze zorientowanych użytkowników. Ale na pewno utrudnia to rozgryzienie jak w ogóle działa konkretna strona.

Co więcej, najczęściej funkcje zastępcze są prezentowane już w źródle strony z phishingiem w JavaScript – badacze z Proofpoint wskazują, że w ich przypadku nie można było znaleźć takiej cząstki kodu. Wszystko natomiast odbywało się w kaskadowym arkuszu stylów (CSS). Dalej eksperci wyodrębnili pliki niestandardowych czionek woff i woff2, aby przeanalizować stronę docelową kampanii. Opisywana kampania trwa mniej więcej od maja 2018 roku, jednak najprawdopodobniej została wykorzystana już znacznie wcześniej: wskazano również na adresy e-mail, które „zapraszały” użytkowników do udostępnienia swoich danych.

czcionki

Phishing w dalszym ciągu jest bardzo atrakcyjną metodą „zarabiania” na nieświadomości użytkowników

I jeszcze bardzo, bardzo długo tak będzie. Kampanie phishingowe to niezwykle lukratywny biznes: gdyby było inaczej, to cyberprzestępcy nie tworzyliby co chwila kolejnych akcji, w trakcie których liczą na udostępnienie im danych służących do logowania się np. w apletach bankowych. Nie trzeba raczej tłumaczyć co dzieje się, gdy niczego nieświadomy użytkownik poda loginy, hasła, a może nawet informacje o karcie płatniczej na specjalnie przygotowanej przez cyberprzestępców stronie internetowej. Niefrasobliwość kończy się najczęściej utratą pieniędzy.

Dlatego też, wiele zależy od samych użytkowników, którzy samodzielnie mogą sprawdzić, czy znajdują się na takiej stronie, na której powinni podawać swoje dane. Przede wszystkim – bank nigdy nie powiadomi Was mailem o tym, że musicie „ponownie aktywować swoje konto” – po każdej takiej wiadomości spróbujcie się zalogować do bankowości internetowej za pomocą standardowego adresu (sprawdzając, czy nie został podmieniony „w trakcie”). Jeżeli wszystko jest w porządku – powiadomcie usługodawcę o tym incydencie.

Nigdy też nie podawajcie kodów jednorazowych / kodów SMS w innych celach niż przeprowadzanie transakcji / aktywność w aplecie banku po bezpiecznym zalogowaniu. Na tego typu niewłaściwe zachowania użytkowników cyberprzestępcy też bardzo mocno liczą.