» »

Novinarji Bellingcata tarče sofisticiranega phishinga

Novinarji Bellingcata tarče sofisticiranega phishinga

Slo-Tech - Te dni so neznanci s phishing napadom na novinarje Bellingcata poskušali dobiti njihove podatke za vpis v storitev ProtonMail. Šlo naj bi za precej prepričljiv napad s ponarejenim sporočilom ekipe ProtonMaila, v katerem so iz "varnostnih razlogov" med drugim zahtevali vpis v storitev in spremembo gesla. CEO ProtonMaila Andy Yen je napad ocenil za enega najboljših, kar jih je kdaj videl, za njim pa naj bi po mnenju vpletenih stala ruska vojaška obveščevalna služba GRU, ki je novinarje Bellingcata pogosto ciljala že v preteklosti.

To pa ni bil prvi tak napad te vrste, že pred tem je podobna sporočila prejelo še nekaj posameznikov, prav zato so bili novinarji Bellingcata vnaprej opozorjeni in napad posledično ni uspel. So pa o zadevi obvestili švicarsko policijo ter MELANI, vladni urad za informacijsko varnost, ProtonMail ima namreč sedež v tej državi.

ProtonMail, ki sam sebe oglašuje za najbolj varno poštno storitev, je zadnja leta izjemno popularen med tistimi, ki pri svojem delu rokujejo z občutljivimi podatki. Bellingcat pa je spletna stran za raziskovalno novinarstvo in njihovi novinarji se pri svojih preiskavah pogosto ukvarjajo z Rusijo. V preteklosti so tako denimo razkrili domnevna ruska agenta, ki sta zastrupila Sergeja Skripala in njegovo hči, podobno so se ukvarjali z iskanjem krivca za sestrelitev malezijskega letala MH-17.

32 komentarjev

filip007 ::

Čudno, da nima "Support" rezervirano samo zase.
Trevor Philips Industries

Ales ::

filip007 je izjavil:

Čudno, da nima "Support" rezervirano samo zase.
Pa saj sporočilo ni dejansko prišlo od tam, From polje v sporočilu je ponarejeno.

Pa kar dva naslova so dodali v From... za vsak primer, zgleda, da ne zmanjka naslovov slučajno.

Sicer pa nič novega v propagandni vojni, Russians did it!

darkolord ::

Ales, nisi dobro prebral.

Iz ponarjenega @protonmail.ch naslova so poslali na @protonmail.ch in še to brez da bi se sprožili spam mehanizmi oz. zahteva za avtentikacijo.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Ales ::

Po moje, da sem kar dobro prebral. From naslov je ponarejen, kakor sem napisal.

Izjava Protonmaila je tukaj, podrobnejša analiza napada pa tukaj.

Iz analize:

The “from” email addresses were most likely spoofed. The email header shows that the message was sent from legitimate Mail.de infrastructure and lists notifysendingservice@mail[.]uk as the return path email address. At this time, we do not know if this is an email address belonging to a legitimate service that the actor leveraged or an actor-controlled account. We have contacted Mail.de for additional information.

darkolord ::

Ja, to je jasno, da je spoofed. Ni pa to ta osnovna varjanta, kot jo poizkuša večina s[pc]ammerjev

D3m ::

Sem že mislil, da je Pac-man avtor novice.
|HP EliteBook|R5 6650U|

Zgodovina sprememb…

borko ::

Kot zmeraj bo večina komentarjev o tem, da rusija pa že ne.. če pa že pa tudi drugi
Putinversteher @ Wikipedia

secops ::

Zakaj pa ProtonMailovi mail serverji ne zavržejo takih mailov. Če vidiš, da naj bi email priletel iz tvojih serverjev to enostavno preveriš.

jype ::

poweroff ::

Ker je protonmail.com, napadalci so pa registrirali mailprotonmail.ch.

Dobra finta drugače (ker je to Swiss based firma).
sudo poweroff

bluefish ::

Pa protonmail.ch je tudi veljaven.

Pac-Man ::

En od ciljanih, od 24.7. piše o napadu
https://twitter.com/christogrozev

Svoje so v enakem časovnem okvirju dodali tudi uraden Bellingcat račun, Higgins in ProtonMail, sploh pri Protonu so zanimivi tudi odgovori
https://twitter.com/bellingcat
https://twitter.com/EliotHiggins
https://twitter.com/ProtonMail

in še boljši prevod Dobrokhotkovega tvita
https://twitter.com/christogrozev/statu...
The ideal subject of totalitarian rule is not the convinced Nazi or
the convinced Communist, but people for whom the distinction between fact and
fiction and the distinction between true and false no longer exist.

Ales ::

secops je izjavil:

Zakaj pa ProtonMailovi mail serverji ne zavržejo takih mailov. Če vidiš, da naj bi email priletel iz tvojih serverjev to enostavno preveriš.

V tem se skriva catch in najbrž je vsaj delno zanimivo pri tem prav to, da sta dva naslova v From polju. Lepo bi bilo videti dejansko kodo tega phishing maila.

Protonmail omenja, da ta phishing napad skuša izkoriščati še nepopravljeno napako v odprtokodnem programu za prepoznavanje spama. Sam to to interpretiram ravno v smislu, da so napadalci uspeli ali vsaj poskušali zaobiti preverjanje, ali je email dejansko prišel od tam, od koder navidez prihaja.

c3p0 ::

poweroff je izjavil:

Ker je protonmail.com, napadalci so pa registrirali mailprotonmail.ch.

Dobra finta drugače (ker je to Swiss based firma).


Torej niti ni bilo tako sofisticirano in bi na finto padel le kdo naiven ali nepazljiv.

poweroff ::

Čeprav se mi zdi, da je Bellingcat precej povezan s tajnimi službami. Tako kot je bil oni "novinar" Khasogghi v resnici obveščevalec.

Tako da bi se novica morala pravilno glasiti: Agenti ruske GRU so izvedli sofisiciran phishing napad na agente britanske MI6, ki se v javnosti predstavljajo kot novinarji... ;)
sudo poweroff

darkolord ::

c3p0 je izjavil:

Torej niti ni bilo tako sofisticirano in bi na finto padel le kdo naiven ali nepazljiv.
To kar je Matthai napisal velja samo za povezavo v mailu.

Spoofan "From" je še vedno iz pravega naslova oz. je vsaj prikazan, kot da je.

Tako da bi se novica morala pravilno glasiti: Agenti ruske GRU so izvedli sofisiciran phishing napad na agente britanske MI6, ki se v javnosti predstavljajo kot novinarji... ;)
Samo zato, ker se tebi to zdi?

Občasno spremljam njihove članke in tudi če so "fake novinarji" oz. je to njihov side job, to delo bolje opravljajo od večine "tapravih novinarjev", tako da s to klasifikacijo ne vidim nobenega problema.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Semafor ::

Ruski hekerji so pa res #1 na planetu.

c3p0 ::

darkolord je izjavil:

c3p0 je izjavil:

Torej niti ni bilo tako sofisticirano in bi na finto padel le kdo naiven ali nepazljiv.
To kar je Matthai napisal velja samo za povezavo v mailu.

Spoofan "From" je še vedno iz pravega naslova oz. je vsaj prikazan, kot da je.


Furthermore, the attackers attempted to exploit an unpatched vulnerability in an open source software that is widely used by email providers in an effort to bypass spam and abuse filters. We were previously aware of this vulnerability and have already been watching it for some time, but we will not disclose it here because the software in question is not developed by ProtonMail, and it has not yet been patched by the software maintainers. This vulnerability, however, is not widely known and indicates a higher level of sophistication on the part of the attackers.


OK, torej imajo dostop do neke pomanjkljivosti, verjetno postfixa ali exima, ki še ni javno znana. Ne rabiš bit ravno "KGB" za dostop do tega, v starih časih in pravih krogih sem imel na voljo marsikaj, pa nisem bil nobena zverina ali na plačilni listi kake tro-črkovne agencije ;)

Markoff ::

Semafor je izjavil:

Ruski hekerji so pa res #1 na planetu.

Še dobro, da jih enkrat letno vabimo na kapelco, sicer bi nam že pokazali vraga.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

poweroff ::

darkolord je izjavil:

Samo zato, ker se tebi to zdi?

Občasno spremljam njihove članke in tudi če so "fake novinarji" oz. je to njihov side job, to delo bolje opravljajo od večine "tapravih novinarjev", tako da s to klasifikacijo ne vidim nobenega problema.

No, saj morda se motim. In se strinjam, njihovi članki so dobro raziskani. In niso usmerjeni samo proti Rusiji.

Samo se mi vseeno zdi pomembno poudariti dejstvo, da niso ravno tipični novinarji, pač pa bolj obveščevalci. Tako kot je bilo to dejstvo pomembno pri Khasoggiju.

Meni je recimo pozornost vzbudilo tole:

Newly obtained telephone metadata logs from a telephone number registered in the name of the (cover) persona “Sergey Fedotov” has allowed us to analyze Denis Sergeev’s telephone usage – including calls and data connections – in the period of May 2017 – May 2019. The data – and especially the cell-ID metadata that we have been able to convert to geo-locations – allowed us to recreate Sergeev’s movements. These movements were both in Russia and abroad, as well as his pattern of communications during his overseas operations. Bellingcat obtained the telephone metadata records from a whistleblower working at a Russian mobile operator, who was convinced s/he was not breaching any data privacy laws due to the fact that the person to whom this phone number was registered (“Sergey Fedotov”) does not in fact exist.


Tole mi smrdi kot tipičen obveščevalni pristop. ;)
sudo poweroff

c3p0 ::

poweroff je izjavil:


Tole mi smrdi kot tipičen obveščevalni pristop. ;)


Točno tako, kako bi drugače pridobili te podatke? Ali sami vdirajo, ali pa, bolj verjetno, jim jih kdo da po nalogu "državne varnosti".

jukoz ::

c3p0 je izjavil:

poweroff je izjavil:


Tole mi smrdi kot tipičen obveščevalni pristop. ;)


Točno tako, kako bi drugače pridobili te podatke? Ali sami vdirajo, ali pa, bolj verjetno, jim jih kdo da po nalogu "državne varnosti".



Haha, ameri vračajo Rusom - eni imajo Wikileaks, drugi pa Bellingcat =)

Fritz ::

poweroff je izjavil:


Tole mi smrdi kot tipičen obveščevalni pristop. ;)

In ne samo tole. Vse kar si prej napisal, vključno s Kashoggijem, v celoti drži a je treba upoštevati, da v teh koncih medijsko narativo nadzoruje druga skupina kot na vzhodu.
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

Semafor ::

Muh Russia.

Malaysia: 'No proof' of Russian involvement in MH17 downing

"We are very unhappy because from the very beginning, it became a political issue on how to accuse Russia of the wrongdoing," he told reporters. "Even before they examine (the debris), they already say Russia. So it is very difficult for us to accept that."

MIHAc27 ::

Za trenutek dajmo na stran iz kje je ta email prišel.

Mene bolj moti, ker je to stara fora. Stran, kjer si registriran prosi da se vpišeš. To menda nikjer ne delajo.
Tudi če bi sam dobil kak tak email od npr. banke, ne grem klikat linka v emailu ampak se bom logiral notri preko običajne povezave.

tech level ::

MIHAc27 je izjavil:

Za trenutek dajmo na stran iz kje je ta email prišel.

Mene bolj moti, ker je to stara fora. Stran, kjer si registriran prosi da se vpišeš. To menda nikjer ne delajo.
Tudi če bi sam dobil kak tak email od npr. banke, ne grem klikat linka v emailu ampak se bom logiral notri preko običajne povezave.

to ni sofisticiran napad, to so sofisticirani idioti da padejo na take fore. Konc debate.

MrStein ::

darkolord je izjavil:

c3p0 je izjavil:

Torej niti ni bilo tako sofisticirano in bi na finto padel le kdo naiven ali nepazljiv.
To kar je Matthai napisal velja samo za povezavo v mailu.

Spoofan "From" je še vedno iz pravega naslova oz. je vsaj prikazan, kot da je.

Kje?

Na sliki je protonmail.ch, prav pa bi bilo .com

To zgleda kot čisto amaterski phishing, le nekdo poskuša zgodbo napihniti.

poweroff je izjavil:

Ker je protonmail.com, napadalci so pa registrirali mailprotonmail.ch.

Na sliki je From: protonmail.ch

Je ta domena od pravega ponudnika ali ni?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Ales ::

c3p0 je izjavil:

OK, torej imajo dostop do neke pomanjkljivosti, verjetno postfixa ali exima, ki še ni javno znana. Ne rabiš bit ravno "KGB" za dostop do tega, v starih časih in pravih krogih sem imel na voljo marsikaj, pa nisem bil nobena zverina ali na plačilni listi kake tro-črkovne agencije ;)

Zvenelo je bolj kot luknja pri preverjanju SPF, DKIM ali podobnega (mogoče je problematičen celo sam DNS zahtevek, kdo ve...), ne kot luknja v samem poštnem strežniku. Vsa ta preverjanja za spam se izvajajo z ločenimi programi. Spamassassin recimo bi lahko bil krivec.

@MrStein, protonmail.com in protonmail.ch sta legitimni domeni ponudnika. Napadalci so med ostalim registrirali druge, npr. mailprotonmail.ch in protonmail.sh.

Zgodovina sprememb…

  • spremenil: Ales ()

c3p0 ::

Ales je izjavil:


Zvenelo je bolj kot luknja pri preverjanju SPF, DKIM ali podobnega (mogoče je problematičen celo sam DNS zahtevek, kdo ve...), ne kot luknja v samem poštnem strežniku. Vsa ta preverjanja za spam se izvajajo z ločenimi programi. Spamassassin recimo bi lahko bil krivec.


Lahko je tudi to, ja. Sem mislil, da je kak smtp header trik. Bomo že izvedeli.

darkolord ::

MrStein je izjavil:

darkolord je izjavil:

c3p0 je izjavil:

Torej niti ni bilo tako sofisticirano in bi na finto padel le kdo naiven ali nepazljiv.
To kar je Matthai napisal velja samo za povezavo v mailu.

Spoofan "From" je še vedno iz pravega naslova oz. je vsaj prikazan, kot da je.

Kje?

Na sliki je protonmail.ch, prav pa bi bilo .com

To zgleda kot čisto amaterski phishing, le nekdo poskuša zgodbo napihniti.

poweroff je izjavil:

Ker je protonmail.com, napadalci so pa registrirali mailprotonmail.ch.

Na sliki je From: protonmail.ch

Je ta domena od pravega ponudnika ali ni?
Protonmail.ch je legitimna domena Protonmaila.

Non-authoritative answer:
protonmail.ch MX preference = 5, mail exchanger = mail.protonmail.ch
protonmail.ch MX preference = 10, mail exchanger = mailsec.protonmail.ch
protonmail.com MX preference = 5, mail exchanger = mail.protonmail.ch
protonmail.com MX preference = 10, mail exchanger = mailsec.protonmail.ch

Zgodovina sprememb…

  • spremenilo: darkolord ()

poweroff ::

darkolord je izjavil:

Protonmail.ch je legitimna domena Protonmaila.

Ja, ampak jaz sem nekje zasledil, da so registrirali mailprotonmail.ch. To je pa drugo kot mail.protonmail.ch.

To je tako kot bi registriral mailgov.si (kar ni isto kot mail.gov.si).
sudo poweroff

darkolord ::

Ja ja, to že, ampak tukaj se pogovarjamo o dveh zadevah:

1) mail je navidezno prišel iz legitimnega naslova na protonmail.ch
2) povezava v mailu je kazala na fake mailprotonmail.ch


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Novinarji Bellingcata tarče sofisticiranega phishinga

Oddelek: Novice / Varnost
328781 (6825) darkolord
»

Napad na ProtonMail trajal teden dni

Oddelek: Novice / Kriptovalute
85812 (4230) dexterboy
»

DDoS-napad na ProtonMail vztrajal tudi po plačilu odkupnine

Oddelek: Novice / Kriptovalute
1512318 (9925) boolsheat

Več podobnih tem