Lietuvoje fiksuojama nauja labai pavojinga sukčiavimo banga, kuri iki šiol siautėjo JAV, Vokietijoje ir Slovakijoje. Nusikaltėliai naudoja itin įtikinamą apsimetimo metodą, kopijuodami populiarią susitikimų planavimo platformą „Calendly“ ir pasitelkdami modernias AiTM (Adversary-in-the-Middle) atakas.
Tokiu būdu jie sugeba pavogti net dviejų veiksnių autentifikavimo (2FA) kodus, todėl gali perimti jūsų „Google“, „Gmail“, „Google Workspace“, „Facebook Business Manager“ ir kitų paslaugų paskyras.
Lietuvoje jau buvo atvejų, kai per kelias minutes buvo ištuštintos įmonių reklamos sąskaitos arba pradėtos rodyti kenkėjiškos reklamos, kurių išlaidos krenta tiesiai aukai ant pečių.
Kodėl ši sukčiavimo kampanija tokia pavojinga?
El. laiškai atrodo visiškai tikri
Nėra gramatinių klaidų, nėra įtartinų nuorodų, logotipai profesionalūs. Laiškas gali būti nuo „įdarbinimo vadovo“, „partnerio“, „projektų vadovo“. Sukčiai naudoja tikrus vardus, žinomų įmonių prekės ženklus ir net el. pašto adresus, kurie atrodo patikimi.
Pirmas laiškas dažniausiai be nuorodos
Jie tiesiog prašo atsakyti. Jei atsakote – patvirtinate, kad adresas aktyvus ir verta jus atakuoti toliau.
Antrame žingsnyje – netikras „Calendly“ puslapis
Nuorodą paspaudus atsidaro identiska „Calendly“ kopija su veikiančiu CAPTCHA. Atrodo profesionaliai, nesukelia įtarimo, sunku aptikti automatiniams saugumo filtrams. Tačiau visa tai – tik tam, kad vartotojas pats suvestų prisijungimo duomenis.
Kaip tiksliai pavagiami prisijungimai?
AiTM: vagystė realiuoju laiku
Sukčiai per vidurinio taško ataką perima:
-
- el. pašto adresą,
- slaptažodį,
- 2FA kodą, kurį įvedate galvodami, kad jungiatės prie tikro „Google“ puslapio.
Duomenys akimirksniu persiunčiami į tikrą „Google“ serverį. Užpuolikas gauna galiojantį prisijungimo seansą – net jei vėliau keičiate slaptažodį.
„Browser-in-the-Browser“ triukas
Naršyklėje pasirodo langas, atrodantis kaip tikras „Google“ prisijungimo laukelis su teisingu URL. Bet tai – tik iššokantis langas svetainės viduje. Jis visiškai apgaulingas. Net patyrę vartotojai lengvai apsigauna.
Kodėl nusikaltėliai taikosi į įmonių paskyras?
- Pinigai. Įmonių „Facebook Business Manager“ ir „Google Ads“ sąskaitos dažnai susietos su kreditinėmis kortelėmis ir aukštais reklamos biudžetais.
- Greita nauda. Per kelias minutes sukčiai gali paleisti savo reklamas, reklamuojančias kenkėjiškas programas, kriptosukčiavimą ar netikras paslaugas.
- Prieiga prie vidinių sistemų. Iš vienos paskyros jie neretai patenka į CRM, dokumentus, darbuotojų duomenis ar vidinius serverius.
Tačiau paprastos „Gmail“ paskyros taip pat taikinys – jų pagalba galima atlikti daugybę kitų atakų.
Kaip apsisaugoti? Ekspertų rekomendacijos Lietuvai
1. 2FA nebeužtenka
AiTM atakos apeina net SMS ir „Authenticator“ kodus.
2. Naudokite fizinį saugos raktą (YubiKey, Google Titan)
Jis tikrina tikrą domeną, prie kurio jungiatės. Netikras puslapis tokio rakto neapgaus.
3. Visada tikrinkite, ar tikrai bendravote su ta įmone
Jei kažkas siunčia kvietimą į susitikimą, o jūs su jais neturėjote reikalų – tikrinkite du kartus.
4. Prisijungimo lange žiūrėkite į naršyklės adresą, o ne į atskirą langelį
Tikrieji langai rodo URL viršuje.
Netikri – gali rodyti jį tik vizualiai, bet ne naršyklės juostoje.
5. Nespauskite nuorodų, jei el. laiškas kelia menkiausią įtarimą
Geriau atidaryti tikrą svetainę rankiniu būdu.
Apibendrinimas
Ši sukčiavimo kampanija tokia pavojinga, nes:
- atrodo profesionaliai,
- vyksta keliais etapais,
- naudoja naujausias technologijas,
- gali apeiti net 2FA,
- taikosi į paskyras, kuriose sukasi realūs pinigai.
Lietuvoje vis daugėja atvejų, kai perimama „Google“ ar „Facebook“ paskyra, todėl būtina būti ypač budriems – ypač įmonėms, turinčioms didesnius reklamos biudžetus.
Šiuo metu tai viena pavojingiausių sukčiavimo schemų Europoje ir Baltijos šalyse. Be sąmoningumo ir stipresnių saugumo priemonių apsiginti nuo jos praktiškai neįmanoma.
Šaltinis: https://pushsecurity.com/blog/uncovering-a-calendly-themed-phishing-campaign#id-why-are-attackers-targeting-business-ad-management-accounts
