Kiberkriminal pod Alpami

KLIK

A tko: Če mi kdo nakaže 105 jurjev mu nardim brezplačni penetration testing.

denial> Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše :P

Jaz sem zato o vsebini sodil kar o SEO ojačanem URL naslovu :)

Da so AV-ji useless se tudi strinjam.

Useless za to vrsto nevarnosti. Imajo pa svoje mesto in uporabnost pri druge vrste napadih. njihova največja težava izhaja predvsem iz tega, da večini uporabnikov dajejo lažen občutek popolne varnosti. V resničnem življenju so se ljudje že navadili, da te čelada ne zaščiti pred klavirjem, ki ti pade na glavo, pri uporabi računalnikov se ta lekcija še ni dobro prijela.

Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše :P

Eh. Kriptičen naslov teme brez ene same besede za kaj točno se gre... človek bi mislil, da sploh nimaš nič za povedati.

Pogosto useless tudi za drugo vrsto nevarnosti: 0-day exploite. Dvomim, da je bil kakšen uporabljen v tem primeru.

Eh. Kriptičen naslov teme brez ene same besede za kaj točno se gre... človek bi mislil, da sploh nimaš nič za povedati.

Pač nimam kaj povedat. Imaš pa ti tolk več. Mogoče celo koga zanima.

Sem se srečal s podobnim napadom, pred 14 dnevi. Mogoče so storilci isti, mogoče ne:

Žrtev je večja firma z več 100 zaposlenimi, več sektorji, ...

Začne se s tem, da neka ženska (kriminalec1) pokliče na javno objavljeno številko in želi govoriti z odgovorno osebo iz računovodstva (žrtev1). Navede nek upravičljiv razlog zakaj jo rabi. Recepcija seveda pove ime in priimek, razloži kaj ta oseba dela in direktno številko.

Žrtev1 prejme fejk email iz podjetja, katerega informacijski sistem uporabljajo (mail je na infromacijsko_podjetje@hotmail.com —> na starih outlookih se domene ne vidi, uporabnik pa tudi ni pozoren). Email izgleda realen, opisan je postopek nadgradnje ki se bo izvajala, navodila za inštalacijo TeamViewerja + informacija kdaj jo bodo poklicali iz informacijskega podjetja.

Žrtev1 prejme telefonski klic iz mobilnega omrežja in s pomočjo kriminalca2 se začne inštalacija TeamViewerja ... Kriminalec2 pove da bodo nadgradnje izvajali v popoldanskem času, da ne bodo motili delovnega procesa... Telefonski klic se zaključi.

Na srečo je žrtev1 sedela ob računalniku in gledala kaj se dogaja, ko je kriminalec2 nalagal programe, med drugim tudi nek keylogger. Ko je opazila, je kontaktirala interni helpdesk. Helpdesk ubije TeamViewer povezavo. Kriminalec2 pokliče žrtev1 in jo nadere kaj jim ukinja povezavo če dela nadgradnje. Ko se predstavi helpdesk kriminalec2 odloži. Helpdesk kontaktira informacijsko podjetje in vpraša kaj se dogaja. Oni ne vedo nič. Sledi prijava na policijo.

@jukoz
Thanks za info. Torej kombinacija social engineeringa in spear phishinga. Zanimivo. Namestitev VNC-ja (OK, TeamViewerja) in keyloggerja je povsem smiselna. Računovodja ima na svoji kišti itak nameščen ceritfikat spletne banke. V primeru ko banka ne uporablja 2-fact auth potem je izvedba transakcije trivialna.

Me res zanima kako so nameravali dvigniti takšno vsoto denarja. Odtenek skromnosti bi najbrž bila bolj "stealth" metoda. 100K € namreč težko spregledaš :D

Kot 2-faktor avtentikacija je bil mišljen OTP, konkretno RSA SecurID token kot ga uporablja NKBM. Ne verjamem da so pobje razbil SecurID algoritem :D

denial je 9. okt 2011 ob 12:27 izjavil:

Kot 2-faktor avtentikacija je bil mišljen OTP, konkretno RSA SecurID token kot ga uporablja NKBM. Ne verjamem da so pobje razbil SecurID algoritem :D

Kot 2-faktor avtentikacijo se trenutno prodaja vse mogoče, vključno s kombinacijami dig.potrdilo + geslo. Pa je dobro omeniti, da takšne stvari ne zdržijo niti takšne osnovne vrste socialnega napada z uporabo komercialnih aplikacij.

Verjetnost uspešnega tovrstnega napada že z preprostim korakom odstranitve dig. potrdila iz računalnika zmanjšaš na znosno raven. Če že ne moreš zamenjati banke oziroma trenutno izbrana banka ne podpira varnostnih mehanizmov, ki jih je težje ogroziti.

Sej pa vidiš, kam je šel denar, če bom nakazal na offshore račun v panami, bo pa tak banka pred transkacijo klicala, če je to res..

Saj z sledenjem denarju so storilce tudi ujeli. Je pa bila škoda še vedno povzročena.

Boljš je VOiP hack.. Tut to pr nas delajo :=) posnifajo podatke o siolu pa lepo v egiptu nardijo SIP preko slovenske številke pa 72ur skupi visi na HOTLINE v Sierra Leone :=)

Pri Telekomu (SiOL-a že kakšna 4 leta več ni) je stvar deljena. Če imaš SiOL Komunikator ali M:Komunikator, potem si ranljiv, če ti kdo ukrade SIP up. ime/geslo. Če imaš SiOL Telefonijo, ki ima svoje omejitve, zgoraj opisanega preprosto ne boš mogel storiti, ker ne boš mogel izvesti prijave preko interneta.

Tri storitve, dva načina delovanja. Večina uporabnikov je na tisti VoIP storitvi, ki se je ta ranljivost ne tiče, pa tudi njihovo geslo za SIP ni trivialno za pridobiti, ker ga še sami ne vedo.

Kar pa je težava in dejansko mnogo večja težava, pa je redno skeniranje za SIP hišne centrale (razne Asterisk in podobne variante), ki nimajo istrezno izvedene zaščite. Potem se pa te minute, ki so preko tega PBX-a zvezane v VoIP, PSTN ali ISDN izkoristi bodisi za prodajo minut na črnem trgu tranzita, bodisi neposredno za filanje premijskih klicnih linij. Po mojih izkušnjah je število zlorab najmanj 1:9 v korist iskanja nezaščitenih PBX-ov, če ne še več.

Vdori v VoIP PBX-e: da, pogost pojav.
Kraja VoIP accountov: da, vendar je teh bolj za vzorec.

Postavi si Asterisk-a, naredi fake odzive, da bo izgledalo, kot da se klic dejansko opravi, vključi logiranje, potem pa glej in se čudi.

Trenutno je najbolj popularno omrežje +44...

Trik je v tem, da najdeš centralo kakšne večje ustanove, ki ima omogočeno klicanje na ARS izhod, ko si pa enkrat znotraj centrale pa uporabiš dialout...

Večjih ustanov je pri nas relativno malo. Ljudi (SOHO) s slabo zavarovanimi hišnimi centralami na IP-ju je mnogo več. Na celjskem koncu je recimo eno podjetje, ki se hvali z nekim znanjem in strokovnostjo, njihove stranke pa se potem tipično za glavo držijo, ko jih "obišče" kakšen vlomilec preko SIP-a. Sicer pa je čez palec škoda pri takšnih zlorabah nekje v rangu 100 - 300EUR. Ni malo, ni pa spet toliko, da se bi dalo medijem o temu pisariti. Ljudje pa še vedno nadrsajo...

Normalni ljudje pa v splošnem uporabljamo skype/gtalk/msn/... V bistvu še dodatno uporabna stvar, ker so podatki o teh 'klicih' našim lokalnim velikim bratom prektično nedostopni, če prej ne dobijo nekega utemeljenega suma, da se gre za čisto določeno osebo oziroma za čisto določen account. Brez tega pa so mrzli. Odpade ribarnje, ko bi oni želeli vse klice v neki regiji in podobne štose.

Majkl je 12. okt 2011 ob 13:45 izjavil:

Pa je ta novica sploh resnična?

Ker recimo tukaj zgleda kot fake in reklama za enega AV vendorja.

Je resnična. Trust me.