Hlavní navigace

Kam vás dovede dotazník z podvodné stránky?

Martin Šebela

Kam uživatele zavede dotazník, který slibuje iPhone nejnovější řady za vyplnění čtyř otázek? Kdekdo by se nad tímto typem podvodné stránky jen usmál a ignoroval ji. Jak ovšem zareaguje nepoučený uživatel?

Doba čtení: 7 minut

Autor článku se na dotazník dostal zcela náhodou (resp. návštěvou stránek, kde byl pravděpodobně infikovaný redakční systém). Vzhledem k tomu, že autor právě pracuje na své bakalářské práci, ve které se věnuje sociálnímu inženýrství, vlastnímu systému pro rozesílání cvičného phishingu a právě i podvodným (podvrženým) webovým stránkám, rozhodl se nenechat návštěvu dotazníku bez povšimnutí a pustil se do jeho „vyplňování“ a následné analýzy.

K článku byla pořízena celá řada obrázků, všechny je včetně popisků najdete v přiložené galerii. Určitě si ji projděte, je velmi poučná:

Návštěvnický průzkum a odměna za jeho vyplnění

Dotazník může být obecně chápán jako prostředek k získání odpovědí z řad veřejnosti na určité otázky. Aby ale uživatelé dotazník vyplnili, je třeba je obvykle něčím motivovat. Nejinak tomu bylo i v tomto případě, kdy útočník svou oběť motivoval šancí získat iPhone nejnovější řady, s jediným rozdílem – získané odpovědi uživatelů jsou naprosto irelevantní a cílem je získat osobní údaje uživatelů.

Ke zkoumanému dotazníku (viz obr. 1) se uživatel dostal automatickým přesměrováním z nijak podezřelých českých stránek běžících na protokolu HTTPS a redakčním systému WordPress. Aby přesměrování nebylo tak nápadné, docházelo k němu pouze v určitých případech (resp. znovu jej vyvolat bylo možné až po určitém časovém intervalu). Vygenerovaná URL adresa dotazníku navíc fungovala pouze po určitou dobu (cca 1 hodina). Podle vzhledu dotazníku byli cílem především uživatelé mobilních zařízení, což potvrdil i zdrojový kód, v rámci kterého útočník pomocí JavaScriptu (resp. funkce navigator.vibrate) každou půl sekundu rozvibroval mobilní telefon.

Samotný dotazník byl relativně jednoduše zpracovaný a zároveň personalizovaný uživatelem použitým webovým prohlížečem a městem (viz např. obr. 2). Potenciální oběť tak mohla mít pocit, že právě ona má jedinečnou příležitost něco získat. Jako zdroj dat pro personalizaci obsahu útočník využíval jinou podezřelou doménu (popř. jí podobné variace, stačí jen inkrementovat číslo na konci názvu domény, viz obr. 10 v galerii), která na základě IP adresy uživatele vrátila data ve formátu JSON. V nich lze nalézt přibližnou polohu uživatele, tedy název města v různých národních jazycích, PSČ, název ISP apod.

Dotazník obsahoval čtyři otázky, na které mohl uživatel odpovědět jakoukoliv ze tří neutrálních nabízených odpovědí (obr. 1–4). Ve finále se uživatel vždy dostal na stránku, kde docházelo k, cituji: „ověřování odpovědí, IP adresy uživatele a dostupnosti nějakých dárků na skladě“ (viz obr. 5–7).

Na uživatele ve všech testovaných případech vždy zbyl poslední iPhone, přičemž místo 40 460 Kč stačilo zaplatit pouhých 25 Kč (viz obr. 8). To mohlo vyvolávat podezření, nicméně pod informací o výhře bylo několik komentářů ve vzhledu zdatně imitující Facebook. Útočník automaticky předpokládal, že uživatel je na zmíněné sociální síti registrovaný i přihlášený, tudíž například tlačítko „To se mi líbí“ po stisku reagovalo změnou na „Unlike“, byť autor článku celý dotazník vyplňoval v anonymním režimu webového prohlížeče (pozn. ostatní tlačítka, jako např. „Sdílet“, nefungovala vůbec).

Komentáře se navíc snažily uživatele přesvědčit o důvěryhodnosti celé akce. Borek Prokop tak v jednom z komentářů sděloval: „Jsem tak rád, že jsem vyhrál! Zadal jsem svůj e-mail a teď už jen čekám, než mi iPhone dorazí :)“. Pravoslav Holeček podle svého křestního jména určitě nelže a jeho komentář je také velmi povzbuzující: „Zrovna dnes mi dorazil iPhone. Moc děkuji!“. Některé z komentářů dotazník částečně zpochybňovaly, ale bylo jich minimum. „Ten kvíz byl až moc lehkej, tak doufám, že iPhone opravdu dostanu!,“ napsal Lubor Rušil. Aby stránka nevypadala jako dopředu připravená, nechal útočník navíc po určitém časovém intervalu pomocí AJAX vypsat další komentáře (viz obr. 9). Kombinace všech použitých křestních jmen a příjmení byla relativně exotická – uživatel ale přece vyhrál a má jedinečnou příležitost něco získat a ještě k tomu téměř zadarmo. V případě, že uživatel této nabídce i tak důvěřoval, stačilo následovat velké zelené (správná barva) tlačítko „Klikněte zde“.

Vaše osobní údaje, prosím

Po stisku zeleného tlačítka došlo k opuštění dotazníku a několika přesměrování. Nakonec se uživatel dostal na graficky povedené stránky s formulářem, kde už bylo cílem útočníka získat osobní údaje uživatele (obr. 11 a 12). Stránky samozřejmě běžely na protokolu HTTPS s důvěryhodným certifikátem vydaným certifikační autoritou COMODO. Překvapením ovšem může být název domény – nejednalo se o doménu, která by obsahovala pouze změť nesmyslných znaků, podle kterých by mohl uživatel odhalit, že něco není v pořádku. Pokud by se uživatel rozhodl navštívit úvodní stránky domény (resp. kořen, viz obr. 14), došel by k závěru, že se nachází na webových stránkách kulinářské společnosti, která nabízí chutné delikatesy.

To může u pozornějšího uživatele vzbudit podezření, protože neočekává dodávku mobilního telefonu od kuchařů. Stránka je ale v pořádku a bez upozornění indexována vyhledávačem Google, běží na důvěryhodném HTTPS, obsahuje kontakt, možnost refundace peněz (pozn. jedná se o iframe na další univerzální stránku na cizím serveru), IČO (VAT number), fotku kulinářského týmu v sekci „About us“ (obr. 15), tak kde by mohl být problém? Předpokladem je, že fotka kuchařů by měla být pouze na této stránce. Pokud se ovšem autor článku pokusil stejnou fotografii vyhledat pomocí Google Images, výsledkem vyhledávání bylo, že se jedná o fotografii studentů z kulinářského semináře na škole ve Velké Británii. Důvěryhodnost tedy začíná opět pokulhávat.

Dále lze očekávat, že v Certificate Transparency (viz crt.shbude někde záznam o vydání důvěryhodného certifikátu – těch ovšem nebylo málo (viz obr. 16). V jednom z vydaných certifikátů navíc byly v popisu informace o dalších doménách, pro které byl certifikát rovněž vydán.

Prozkoumáváním dalších uvedených domén bylo zjištěno, že se jedná o naprosto stejný druh útoku – na první pohled graficky velmi zdařilé stránky, zabezpečené důvěryhodným certifikátem, ovšem opatřeny i stejným VAT number. Aby to nebylo tak jednoduché, rozhodl se útočník na některých ze stránek napsat kontaktní údaje (včetně VAT number) buď formou obrázku, nebo textově, ovšem zrcadlově obráceně (viz obr. 25 a 26). Pomocí CSS vlastností direction: rtl a unicode-bidi: bidi-override je pak uživateli zobrazil ve správné podobě, vyhledávače je nicméně indexovaly tak, jak útočník požadoval.

Na dalších doménách se dalo například narazit na weby nabízející psí žrádlo, populární knihy, potřeby pro miminka, stránky přepravní společnosti, stránky pro nákup kadeřnických nástrojů a další (viz obr. 17 až 22).

V některých případech si útočník i detailně vyhrál s fotografiemi. Například na stránkách přepravní společnosti byly v úvodní slideshow vyobrazeny zásilky s logem firmy, další snímek obsahoval rovnou kamion s logem firmy přes celý návěs a nezapomnělo se ani na zaměstnance, kteří měli slušivé čepice a polotrička se stejným natištěným logem (viz obr. 22 až 24).

Na všech nalezených doménách jsou navíc v patičce loga Visa a MasterCard, uživatel je tak opět přesvědčován, že vše je v naprostém pořádku. Všechny nalezené domény ale mají jeden zásadní společný jmenovatel. Na všech doménách běžela na stejné URL adrese naprosto totožná stránka pro sběr osobních údajů, na kterou jsou uživatelé přesměrováni z dotazníku (viz obr. 11, 18 a 20). V podstatě je tak každá z domén velmi zdařilá zástěrka, kterou na první pohled není důvod blokovat. Jasnou vypovídající hodnotou je i fakt, že v DNS je TTL u A záznamů u každé z těchto domén nastaveno na hodnotu 5 minut (technika fast flux). Záznamy ve WHOIS databázi domén samozřejmě neobsahují nic převratného.

Nyní už jen číslo vaší platební karty

Uživatel ovšem na stránce může setrvat a s vidinou výhry předat útočníkovi i své osobní údaje včetně e-mailu a platební karty (viz obr. 11 a 12). Po zadání osobních údajů došlo k přesměrování na opět jiné stránky, tentokrát ovšem už na platební bránu. Ta je samozřejmě opatřena nadpisem první úrovně Bezpečná platba, opět logy jako Verified by VISA a MasterCard SecureCode.

Web je opět v pořádku indexován, název domény je opět naprosto bezproblémový a na stránce je nasazen důvěryhodný certifikát od CA COMODO. TTL v DNS se opět shoduje s hodnotou 5 minut. Úvodní stránka platební brány (resp. kořen) zobrazila jen prázdnou webovou stránku s tím, že jediné, co zdrojový kód obsahoval, byl skript Google Analytics.

Autor článku do samotné platební brány již jen zkoušel zadávat náhodně generovaná čísla platebních karet (pomocí nástroje PayPal Credit Card Generator), přičemž výsledek vždy končil zobrazením chybové hlášky: „Platba byla zamítnuta. Zkuste to prosím znovu nebo použijte jinou kartu“ (viz obr. 13).

Zdaleka nejen phishing

Sběr osobních a jiných citlivých údajů už dávno není realizován jen formou phishingových e-mailů nebo webovou stránkou snažící se aspoň trochu napodobit přihlašovací formulář nějaké významné instituce.

Jak ukazuje článek a screenshoty v galerii, může se jednat o poměrně rozsáhlou a propracovanou infrastrukturu (viz obr. 27), kterou už nemusí být tak jednoduché odhalit a blokovat. Útočníci si jsou navíc jistí tím, jakým způsobem na uživatele zatlačit a jaké metody sociálního inženýrství použít.

Našli jste v článku chybu?