Ραγδαία αύξηση έχει παρατηρηθεί στις απάτες με κωδικούς
ανάκτησης μέσω κινητών τηλεφώνων οι οποίοι δίνουν παράνομη πρόσβαση σε
λογαριασμούς e-mail.
Σύμφωνα με μελέτες της Symantec, το τελευταίο διάστημα ο
συγκεκριμένος τύπος επίθεσης μέσω phishing έχουν σαν απώτερο σκοπό την
πρόσβαση στο λογαριασμό e-mail του θύματος.
Αυτού του τύπου η επίθεση είναι πολύ πειστική και οι χρήστες πέφτουν με ευκολία στην παγίδα.
Για να επιτύχει η επίθεση, οι επίδοξοι χάκερ θα πρέπει να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού του τηλεφώνου, δεδομένα που κατά γενική ομολογία είναι πολύ εύκολο να βρει κανείς ακόμα κι αν δεν είναι χάκερ. Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους «βοηθούν» να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).
Η πλειοψηφία των περιπτώσεων που καταγράφηκε από τη Symantec, αφορά χρήστες Gmail, Hotmail και Yahoo Mail. Χρησιμοποιώντας το Gmail για παράδειγμα, τα ακόλουθα βήματα περιγράφουν τον τρόπο με τον οποίο λειτουργεί η επίθεση:
-Ο χρήστης-θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
-Ο χάκερ, θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασή του. Γνωρίζει την email διεύθυνση και το τηλέφωνό του. Ο χάκερ επισκέπτεται την σελίδα login του Gmail και εισάγει τα στοιχεία του χρήστη (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια μέσω του «Need help?» link. Αυτός ο σύνδεσμος χρησιμοποιείται όταν οι χρήστες έχουν ξεχάσει τα στοιχεία εισαγωγής τους.
-Το σύστημα δίνει στον χάκερ πολλές επιλογές, μεταξύ των οποίων και το «Εισάγετε τον τελευταίο κωδικό που θυμόσαστε» και «Επιβεβαίωση επαναφοράς κωδικού πρόσβασης στο τηλέφωνο μου [μάρκα και μοντέλο], παραλείποντας όμως αυτά τα στοιχεία μέχρι να του δοθεί η επιλογή «Λήψη κωδικού επαλήθευσης στο τηλέφωνό μου: [αριθμός κινητού τηλεφώνου]».
-Ο χάκερ επιβεβαιώνει την επιλογή για να λάβει ο χρήστης-θύμα πλέον με μήνυμα SMS τον εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του.
Ο χρήστης λαμβάνει ένα μήνυμα που γράφει «Ο κωδικός επαλήθευσης του Google είναι [εξαψήφιος κωδικός]».
-Ο επιτιθέμενος αποστέλλει στο χρήστη ένα μήνυμα SMS που γράφει κάτι σχετικό με αυτό: «Η Google εντόπισε ασυνήθιστη δραστηριότητα στο λογαριασμό σας. Απαντήστε με τον κωδικό που σας έχει σταλεί στο κινητό σας τηλέφωνο για να εμποδίσετε τυχόν μη εξουσιοδοτημένη δραστηριότητα».
Ο χρήστης, πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης.
-Ο χάκερ χρησιμοποιεί τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια επιτίθεται στο λογαριασμό e-mail και στα δεδομένα του.
Η «επικοινωνία» όμως του χάκερ με τα θύματά του δεν σταματά εδώ. Αρκετοί εξακολουθούν να στέλνουν μηνύματα στα θύματά τους, ότι κάτι δεν πάει καλά με τη σύνδεση και τους κωδικούς. Βεβαίως και πάλι τα μηνύματα εξακολουθούν να είναι απλά και αληθοφανή, με αποτέλεσμα να πείθουν χωρίς ιδιαίτερη προσπάθεια τα θύματά τους. Όταν πλέον ο επιτιθέμενος αποκτά πρόσβαση στον λογαριασμό του χρήστη, μπορεί για παράδειγμα, μεταξύ άλλων, να προσθέσει μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου στο λογαριασμό και έτσι να λαμβάνει αντίγραφα όλων των μηνυμάτων που θα διαβιβάζονται στη διεύθυνση αυτή.
Μάλιστα οι χάκερ στέλνουν και «ευχαριστήριο» μήνυμα στα θύματά τους, που συνήθως έχει τη μορφή «Σας ευχαριστούμε για την επαλήθευση του λογαριασμού σας στο Google. Ο προσωρινός κωδικός πρόσβασης σας είναι [προσωρινός κωδικός πρόσβασης]».
Αυτό κάνει την επίθεση phishing όλο και πιο πιστευτή, αφού το θύμα θεωρεί όλη την αλληλογραφία νόμιμη και πιστεύει ότι λογαριασμός του είναι πλέον ασφαλής.
Το παράδοξο της υπόθεσης είναι πως οι εγκληματίες αυτού του τύπου δεν φαίνεται να επικεντρώνονται στο οικονομικό κέρδος, όπως για παράδειγμα συμβαίνει στην κλοπή αριθμών πιστωτικών καρτών. Εκείνο που προσπαθούν να συλλέξουν είναι πληροφορίες σχετικά με τα θύματά τους και μάλιστα όχι μαζικά, αλλά στοχευμένα.
Αυτή η απλή, αλλά άκρως αποτελεσματική μέθοδος επίθεσης είναι πολύ πιο οικονομική από τις παραδοσιακές spear-phishing επιθέσεις, όπου ένας εισβολέας πρέπει να καταχωρήσει ένα domain και να δημιουργήσει μια ιστοσελίδα phishing. Στην περίπτωση αυτή, το μόνο κόστος που βαρύνει τους hackers είναι το μήνυμα SMS, ενώ ως μέθοδος είναι και πολύ δύσκολα ανιχνεύσιμη καθώς πρέπει να γίνει από ειδικό λογισμικό για κινητά τηλέφωνα ή από τον εκάστοτε πάροχο κινητής τηλεφωνίας.
Η Symantec συμβουλεύει τους χρήστες να είναι ιδιαίτερα προσεκτικοί όσον αφορά στα μηνύματα SMS που ζητούν κωδικούς επαλήθευσης, ειδικά στην περίπτωση που δεν τους έχουν ζητήσει οι ίδιοι. Εάν δεν είμαστε βέβαιοι για το μήνυμα που λάβατε ελέγξτε την προέλευσή του με τον παροχέα του ηλεκτρονικού μας ταχυδρομείου, για να επιβεβαιωθεί εάν το μήνυμα είναι νόμιμο. Τα μηνύματα που αποστέλλονται συνήθως από τις υπηρεσίες ανάκτησης κωδικού πρόσβασης, αποστέλλουν μόνο τον κωδικό επαλήθευσης και δεν ζητούν από το χρήστη να απαντήσει με οποιονδήποτε τρόπο.
Αυτού του τύπου η επίθεση είναι πολύ πειστική και οι χρήστες πέφτουν με ευκολία στην παγίδα.
Για να επιτύχει η επίθεση, οι επίδοξοι χάκερ θα πρέπει να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού του τηλεφώνου, δεδομένα που κατά γενική ομολογία είναι πολύ εύκολο να βρει κανείς ακόμα κι αν δεν είναι χάκερ. Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους «βοηθούν» να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).
Η πλειοψηφία των περιπτώσεων που καταγράφηκε από τη Symantec, αφορά χρήστες Gmail, Hotmail και Yahoo Mail. Χρησιμοποιώντας το Gmail για παράδειγμα, τα ακόλουθα βήματα περιγράφουν τον τρόπο με τον οποίο λειτουργεί η επίθεση:
-Ο χρήστης-θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
-Ο χάκερ, θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασή του. Γνωρίζει την email διεύθυνση και το τηλέφωνό του. Ο χάκερ επισκέπτεται την σελίδα login του Gmail και εισάγει τα στοιχεία του χρήστη (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια μέσω του «Need help?» link. Αυτός ο σύνδεσμος χρησιμοποιείται όταν οι χρήστες έχουν ξεχάσει τα στοιχεία εισαγωγής τους.
-Το σύστημα δίνει στον χάκερ πολλές επιλογές, μεταξύ των οποίων και το «Εισάγετε τον τελευταίο κωδικό που θυμόσαστε» και «Επιβεβαίωση επαναφοράς κωδικού πρόσβασης στο τηλέφωνο μου [μάρκα και μοντέλο], παραλείποντας όμως αυτά τα στοιχεία μέχρι να του δοθεί η επιλογή «Λήψη κωδικού επαλήθευσης στο τηλέφωνό μου: [αριθμός κινητού τηλεφώνου]».
-Ο χάκερ επιβεβαιώνει την επιλογή για να λάβει ο χρήστης-θύμα πλέον με μήνυμα SMS τον εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του.
Ο χρήστης λαμβάνει ένα μήνυμα που γράφει «Ο κωδικός επαλήθευσης του Google είναι [εξαψήφιος κωδικός]».
-Ο επιτιθέμενος αποστέλλει στο χρήστη ένα μήνυμα SMS που γράφει κάτι σχετικό με αυτό: «Η Google εντόπισε ασυνήθιστη δραστηριότητα στο λογαριασμό σας. Απαντήστε με τον κωδικό που σας έχει σταλεί στο κινητό σας τηλέφωνο για να εμποδίσετε τυχόν μη εξουσιοδοτημένη δραστηριότητα».
Ο χρήστης, πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης.
-Ο χάκερ χρησιμοποιεί τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια επιτίθεται στο λογαριασμό e-mail και στα δεδομένα του.
Η «επικοινωνία» όμως του χάκερ με τα θύματά του δεν σταματά εδώ. Αρκετοί εξακολουθούν να στέλνουν μηνύματα στα θύματά τους, ότι κάτι δεν πάει καλά με τη σύνδεση και τους κωδικούς. Βεβαίως και πάλι τα μηνύματα εξακολουθούν να είναι απλά και αληθοφανή, με αποτέλεσμα να πείθουν χωρίς ιδιαίτερη προσπάθεια τα θύματά τους. Όταν πλέον ο επιτιθέμενος αποκτά πρόσβαση στον λογαριασμό του χρήστη, μπορεί για παράδειγμα, μεταξύ άλλων, να προσθέσει μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου στο λογαριασμό και έτσι να λαμβάνει αντίγραφα όλων των μηνυμάτων που θα διαβιβάζονται στη διεύθυνση αυτή.
Μάλιστα οι χάκερ στέλνουν και «ευχαριστήριο» μήνυμα στα θύματά τους, που συνήθως έχει τη μορφή «Σας ευχαριστούμε για την επαλήθευση του λογαριασμού σας στο Google. Ο προσωρινός κωδικός πρόσβασης σας είναι [προσωρινός κωδικός πρόσβασης]».
Αυτό κάνει την επίθεση phishing όλο και πιο πιστευτή, αφού το θύμα θεωρεί όλη την αλληλογραφία νόμιμη και πιστεύει ότι λογαριασμός του είναι πλέον ασφαλής.
Το παράδοξο της υπόθεσης είναι πως οι εγκληματίες αυτού του τύπου δεν φαίνεται να επικεντρώνονται στο οικονομικό κέρδος, όπως για παράδειγμα συμβαίνει στην κλοπή αριθμών πιστωτικών καρτών. Εκείνο που προσπαθούν να συλλέξουν είναι πληροφορίες σχετικά με τα θύματά τους και μάλιστα όχι μαζικά, αλλά στοχευμένα.
Αυτή η απλή, αλλά άκρως αποτελεσματική μέθοδος επίθεσης είναι πολύ πιο οικονομική από τις παραδοσιακές spear-phishing επιθέσεις, όπου ένας εισβολέας πρέπει να καταχωρήσει ένα domain και να δημιουργήσει μια ιστοσελίδα phishing. Στην περίπτωση αυτή, το μόνο κόστος που βαρύνει τους hackers είναι το μήνυμα SMS, ενώ ως μέθοδος είναι και πολύ δύσκολα ανιχνεύσιμη καθώς πρέπει να γίνει από ειδικό λογισμικό για κινητά τηλέφωνα ή από τον εκάστοτε πάροχο κινητής τηλεφωνίας.
Η Symantec συμβουλεύει τους χρήστες να είναι ιδιαίτερα προσεκτικοί όσον αφορά στα μηνύματα SMS που ζητούν κωδικούς επαλήθευσης, ειδικά στην περίπτωση που δεν τους έχουν ζητήσει οι ίδιοι. Εάν δεν είμαστε βέβαιοι για το μήνυμα που λάβατε ελέγξτε την προέλευσή του με τον παροχέα του ηλεκτρονικού μας ταχυδρομείου, για να επιβεβαιωθεί εάν το μήνυμα είναι νόμιμο. Τα μηνύματα που αποστέλλονται συνήθως από τις υπηρεσίες ανάκτησης κωδικού πρόσβασης, αποστέλλουν μόνο τον κωδικό επαλήθευσης και δεν ζητούν από το χρήστη να απαντήσει με οποιονδήποτε τρόπο.