#NOHACK Expert Talks - Despre smishing și epidemia de ”gripă a smartphone-ului”

Amenințarea Flubot a ajuns și în România, provocând o adevărată epidemie de ”gripă a smartphone-ului”. În această ediție a #NOHACK Expert Talks, Silviu Stahie, Security Analyst în cadrul Bitdefender, ne-a spus totul despre smishing și modul în care ne putem proteja de astfel de amenințări.

Pentru infractorii informatici, orice unealtă digitală devine o oportunitate de a te înșela, de a-ți fura datele și banii, de a profita de pe urma reacțiilor tale emoționale sau de pe urma încrederii oarbe pe care tindem să o avem cu toții în tehnologie.

Smishing-ul este subiectul fierbinte al acestei luni pentru că România a fost ținta unui astfel de atac la scară largă. Putem vorbi despre o adevărată epidemie de mesaje malițioase care a afectat utilizatori de smartphone-uri cu Android și iPhone, deopotrivă, una cu nume potrivit. Și anume Flubot. Sau cum am denumit-o într-un episod din seria CyberFlash, „gripa telefoanelor”.

Avem și vești bune pentru această ediție deoarece Bitdefender a reușit să oprească acest atac. Toate detaliile le-am aflat dintr-o discuție cu Silviu Stahie, Security Analyst în cadrul Bitdefender.

Ce este smishing-ul și cum te poate afecta

Dacă mulți oameni știu ce este phishing-ul, nu același lucru se poate spune și despre smishing. E un termen combinat, care face referire la phishing-ul prin SMS. 

”Smishing e un termen umbrelă, care ascunde mai multe feluri de amenințări. Tot ce au în comun este faptul că se transmit prin SMS, de unde și numele de SMS și phishing. Deosebirea este că nu sunt doar atacuri de tip phishing, din acelea care încearcă să ne colecteze date personale, ci se pot transmite amenințări informatice de tip malware, mai ales pe dispozitive de tip Android, prin care atacatorii încearcă să convingă utilizatorii de telefoane mobile să instaleze diverse aplicații malițioase”, a explicat Silviu Stahie.

Unul dintre cele mai recente și cunoscute atacuri de acest tip s-a desfășurat și pe teritoriul țării noastre și se numește Flubot. Potrivit expertului Bitdefender, atacatorii au acționat foarte ingenios. 

”Într-un mod foarte interesant, atacatorii nu s-au concentrat asupra tuturor țărilor, ci și-au îndreptat atenția pe rând asupra unor grupuri de țări. De exemplu, România. Germania era prinsă la un moment dat într-un val din acesta, după care în câteva zile dispăreau SMS-urile și se îndreptau către Australia, Noua Zeelandă, apoi în alte părți din Europa, în încercarea aceasta de a sta în fața autorităților. Nu-și petreceau foarte mult timp într-o anumită zonă ca să nu atragă totuși foarte mult atenția”, a detaliat el. 

Atacatorii își transformau victimele în vectori de atac. Dacă erai infectat cu Flubot, dădeai mai departe infecția fără să realizezi asta.

”Felul în care funcționează Flubot, de asemenea, este remarcabil, în primul rând pentru că, ironic chiar, se comportă ca și pandemia prin care am trecut. Ce nu știe lumea este că SMS-urile care erau primite de utilizatori în cadrul acestei campanii erau, de fapt, trimise de către alte dispozitive infectate, nu de către atacatori. Deci, atacatorii se bazau pe faptul că lumea va instala din greșeală aplicațiile respective și că vor transmite fără voia lor mai departe infecțiile respective. Și felul în care el a fost gândit de la bun început este deosebit, pentru că odată ce infecta dispozitivul respectiv, primul lucru pe care-l făcea era să extragă adresa de contacte, adresa de contacte era trimisă imediat înapoi la server, unde serverul crea un mesaj și trimitea înapoi către dispozitivul respectiv mesajul compus, cu o listă nouă de numere de telefon la care să trimită SMS-uri. De aceea, utilizatorii care aveau dispozitivele infectate nu trimiteau SMS-uri la propria lor agendă, ci la alte numere pe care le primeau de la server. În felul ăsta, nici nu exista riscul să primești tu de la prieteni, ca să poți să-i avertizezi, «vezi că ești infectat». Ci primeai de la niște numere necunoscute”, a explicat expertul.

Amenințarea Flubot a fost descoperită prima dată la finalul anului 2020 și a fost oprită de curând.  

”Felul în care a fost oprită infecția este iarăși de menționat. Nu au fost găsiți, neapărat, sau cel puțin nu știm încă dacă au fost găsiți operatorii, dar au fost interceptate și oprite serverele de pe care operau. Toate aceste comunicații despre care spun eu, după ce este infectat un dispozitiv și el comunică înapoi cu serverul, toate aceste servere din background au fost interceptate, oprite, controlate de către autorități și de aceea și din telemetria noastră la care ne-am uitat imediat după anunțul autorităților s-a văzut foarte clar cum a scăzut spre zero genul acesta de atacuri”, a mai spus el.

Și, cu toate că serverele au fost închise, asta nu înseamnă că amenințarea a fost oprită cu totul. ”Noi vedem genul acesta de atacuri de foarte mulți ani și în general sunt însoțite de pauze, după care reapar mai virulente, diferite, poate de la aceiași operatori sau operatori noi. Momentan ne putem bucura de pauza aceasta în primirea de SMS-uri malițioase”, a mai explicat el.

Cum te poți trezi cu conturile goale după un atac smishing

La bază, Flubot este un troian bancar. El nu doar extrăgea contactele din agenda celor infectați, ci le supraveghea și aplicațiile de ebanking sau pe cele de criptomonede. Primeai un SMS, accesai un link, descărcai o aplicație și apoi începea calvarul. 

”Atunci când infectează un dispozitiv, unul dintre lucrurile pe care le cere ca acces este accesul la serviciul de Accessibility. Serviciu care este foarte util pentru persoanele cu dizabilități care vor totuși să folosească un telefon. Numai că serviciul acela este foarte puternic și poate, de exemplu, să citească mesaje, să citească informația de pe o pagină de ebanking, să monitorizeze ceea ce scriem noi prin tastatură. Și atunci, aplicația, Flubot în esență, când se instala pe dispozitivul respectiv pur și simplu monitoriza toate interacțiunile pe care utilizatorul le avea cu telefonul și, în special, aplicațiile de ebanking”, a detaliat reprezentantul Bitdefender.

Operatorii din spatele Flubot își ajustau mesajele în funcție de sezon, de sărbători, de trendurile globale. Astfel, reușea să rămână și în fața autorităților, dar și să-i convingă pe utilizatori să acceseze link-urile din SMS. 

”Am văzut SMS-uri când se apropia Crăciunul, când se apropiau Sărbătorile, SMS-uri cu pachete, «vezi că-ți pierzi pachetul», «vezi că trebuie să dai niște bani la pachetul respectiv ca să nu-l pierzi», mesaje de la bănci. (...) Când a venit Paștele la noi, au dezvoltat un nou mesaj în care ți se spunea că «vezi că ai o urare video de la un prieten». Și iarăși te trimitea. Deci mesajul era tot timpul modificat în funcție de perioada anului, de Sărbători și așa mai departe. De aceea era și foarte greu de distins, de multe ori, te obișnuiești. Nu mai dau click-uri pe linkurile care îmi spun că am pachete pierdute. După care primeai «vezi că ești tu în video-ul ăsta». Ok, îl ținem minte și pe acesta. Și tot așa. Tot timpul s-a schimbat mesajul ăsta. Și e una dintre metodele prin care încercau să țină campania asta în viață”, a spus Silviu Stahie.

Posesorii de iPhone, vulnerabili în fața Flubot și a smishing-ului

”Utilizatorii de Android, în momentul când accesau linkul respectiv, erau rugați să instaleze o aplicație. Dacă nu exista permisiunea respectivă, li se spunea „atenție, nu poți să instalezi, dacă vrei să instalezi trebuie să activezi această opțiune”. După ce activai această opțiune puteai să instalezi APK, fișierul pe care ți-l trimitea, aplicația respectivă, și instalarea era transparentă, după care nu mai găseai aplicația, nu știai unde este în telefon”, detaliază expertul, privind modul de instalare în telefoanele cu Android.

Dar iPhone-urile nu permit instalarea de aplicații din alte surse. Asta înseamnă că utilizatorii de telefoane cu iOS sunt protejați 100% de astfel de amenințări? Din păcate, nu. 

”Pentru că operatorii știu că atunci când trimiți SMS-urile respective e foarte posibil să dai peste un utilizator de iOS. Când un utilizator de iOS primește SMS-ul respectiv și îl deschide, serverul știe, care găzduiește adresa respectivă, știe că s-a conectat cineva cu Safari sau cu un dispozitiv iOS. Zice, «ok, lui nu am să-i servesc Flubot pentru că nu are sens, dar îl redirecționez către o pagină de phishing unde-i spun - Vezi că ai câștigat un iPhone 13, completează acest formular și sigur îl vei primi». Unde bineînțeles ți se cer date personale, CNP-uri, tot felul de informații pe care, bineînțeles, nu ar trebui să le oferi mai departe, deci chiar dacă ești posesor de iOS asta nu înseamnă că ești în perfectă siguranță”.

Vestea bună este că soluția de securitate Bitdefender pentru iOS protejează și împotriva acestor atacuri și utilizatori de iPhone. Am vrut să mai aflăm și ce alte amenințări mai vizează strict utilizatorii de iPhone sau ce amenințări cu comportamente similare au mai descoperit. 

”Dezvoltatorii unor aplicații încearcă să manipuleze pe cât se poate sistemul de reclame. De multe ori, oferă reclame care sunt foarte intruzive sau obscure. Nu știi sigur dacă e reclamă, dacă face parte din aplicație, nu vezi X-ul ca să închizi reclama respectivă și cum bine știm pe iOS se pot autentifica plăți doar prin butonul de amprentă sau prin biometrie. Dar ascundeau în așa fel interacțiunea cu acest buton în reclamele respective încât apăsai pe el și, de fapt, autorizai o plată către dezvoltatorul respectiv. Ceea ce bineînțeles nu e acceptat de Apple, ei încearcă tot timpul să oprească genul acesta de aplicații, dar nu pot să o facă, cum nici Google nu poate să o facă, nici Apple nu poate să o facă în proporție de 100%. Deci chiar și pe această direcție e clar că sunt probleme, nu trebuie să te culci pe o ureche doar pentru că am iOS înseamnă că nu mi se poate întâmpla nimic. De asemenea, tot timpul sunt identificate vulnerabilități în sistemul iOS care sunt folosite de diverse companii, Pegasus, după cum știm e foarte cunoscută ca amenințare, o amenințare pe care Bitdefender o blochează. Deci sunt genul acesta de probleme”, explică el.

Cum te protejezi de smishing și de alte atacuri similare Flubot

În contextul ăsta, ce putem face noi, în calitate de simpli utilizatori, în afară de instalarea unei soluții de securitate precum Bitdefender Mobile, în cazul acesta, care ne protejează de atacurile de tip smishing? Ce ar mai trebui să avem în vedere, cum putem identifica posibile atacuri și cum să ne ferim de ele?

Silviu Stahie, Security Analyst în cadrul Bitdefender, ne-a explicat regulile de bază. 

”În primul rând, este un sfat pe care noi îl oferim nu numai utilizatorilor de telefoane, ci tuturor utilizatorilor de internet. Nu deschideți linkuri de la persoane pe care nu le cunoașteți. E valabil și în email-uri, și pe telefoane, la fel, nu deschidem atașamente care nu știm de unde provin. De asemenea, tot timpul trebuie să avem în minte să fim suspicioși atunci când vedem mesaje care vin cu vreun fel de urgență în ele. De câte ori ești amenințat, ți se «închide contul bancar, trebuie să te intri aici să te autentifici», pierzi un colet, se întâmplă ceva. De câte ori vedem genul acesta de urgență, trebuie întotdeauna să fim suspicioși și să nu uităm că, în general, instituțiile și companiile nu cer date personale, nu interacționează în genul acesta cu clienții lor sau cu cetățenii. Deci de câte ori vedem câte ceva care ne cer ori instituții, ori companie în care îmi cere o interacțiune în care noi trebuie să oferim date personale, date personale nu înseamnă neapărat numai informații financiare, ci și adresă, PIN-uri de card, am observat. Am văzut atacuri de tip phishing în care se cereau copii după buletine și copii după pașapoarte. Deci unii oameni trec prin efortul de a-și face fotografie la pașaport ca să o încarce pe un site care este clar ceva de phishing”, a spus el.

Industria din spate unde se vând aceste informații este uriașă, mai spune Silviu Stahie. ”Tot timpul autoritățile închid diferite marketplace-uri din acestea unde se vând informații, dar mereu apar altele. Și genul de informații care se vând prin aceste canale sunt foarte variate și sunt obținute fix prin genul acesta de atacuri”, conchide el

Acum că știi la ce să te uiți când primești un SMS și cum să te ferești, te vom ruga să ne ajuți să ajungem la cât mai multe persoane. Trimite mai departe acest video Expert Talks din seria #NOHACK către apropiați, pentru a afla și ei cum să se protejeze. Doar cu ajutorul tău putem face Internetul și tehnologia, în general, mai sigure. #NOHACK continuă luna viitoare cu CyberFlash, unde securitatea cibernetică vine la pachet și cu o doză de umor, iar apoi vom discuta în cadrul podcastului The Mind Online cu Nansi Lungu despre cum Internetul ne influențează mintea.



Citeste si