Czy Polska to kraj, gdzie jest świadomość cyberbezpieczeństwa? Wg różnych deklaracji Tak!, jak to może wynikać z poniżej cytowanych badań od Google. Tylko, jak znasz trochę temat i wiesz, że cyberbezpieczeństwo to wieczny proces, to dostrzegasz, że ma się to nijak do rzeczywistości, bo w byle bloku jak zeskanujesz WiFi, to prawie wszyscy mają włączone WPS – jakby nie zamykali drzwi od mieszkania na noc. Podobnie jest z polskimi firmami. Deklarują co tam PR-owcy każą, a potem się okazuje, że nawet nie odpowiadają na zgłoszenie, kiedy ktoś z ich infrastruktury wysyła mejle z Elonem Muskiem obiecującym Bitcoiny. I taki przypadek chciałbym wam opisać dzisiaj.
Elon i 40k $
Kilka dni temu na mój prywatny mejl przyszła wiadomość, że niby w jakimś sklepie założyłem konto. Nic specjalnego, bo takich wiadomości mam kilkadziesiąt rocznie, ale ich nie oglądam, bo lądują w folderze spam. Z tą było inaczej, bo w jakiś sposób minęła filtry antyspamowe od Google, a to jest całkiem spory wyczyn, więc z ciekawości zajrzałem w nagłówek tej wiadomości. Okazało się, że ta spamerska wiadomość przeszła pomyślnie weryfikację SPF i DKIM. Co prawda wpisu DMARC w DNSach nie było, ale najwyraźniej dwie pierwsze wystarczyły Googlowi, żeby dostarczyć mi spamerską wiadomość do głównego folderu. Faktycznie serwer, z którego wyszła wiadomość, był zgodny z wpisem SPF, ale nie należał do właściciela domeny, tylko do firmy, która świadczy usługi newsletterów, biznesowych skrzynek pocztowych, itp. Potem się okazało, że właściciel domeny jest faktycznie klientem firmy od newsletterów, ale o tym napiszę potem. Treść też była całkiem sensowna – myślę, że mieli jakiś szablon w systemie – jedyne, co się nie zgadzało, to doklejka treści, która wyróżniała się na tle reszty. Doklejka, która była dokładnie takiej treści w temacie i w części treści mejla „ЗЗIOЗI-DOLLARS-PAYOUT YOUR NAME-CLICK-ON-THE-LINK HERE”. Po bezpiecznym kliknięciu, gdzie bezpiecznym mam na myśli odizolowane środowisko, pojawiła się taka strona jak poniżej.
Elon Musk „obiecał mi” 39222.72 $ w Bitcoinach. Dalej kliknąłeś i był blogspot, czyli legalny system blogów, a potem już nie sprawdzałem, ale pewnie lądowaliśmy na stronie, która wyłudzała jakiś login lub dane z karty. Ewidentnie grali na zachłanności, bo 200 000 zł piechotą nie chodzi…
Podczas samego sprawdzania domeny, z której wyszła opisywana wiadomość okazało się, że nie znalazłem żadnych ostrzeżeń przed sklepem, żadnych blacklist, a sama domena była starsza niż 10 lat. Wszystko wyglądało legitnie. Pod domeną – jak wspomniałem – jest legalnie działający sklep z koszulkami i innymi gadżetami, który należy do katowickiej spółki, którą dla uproszczenia nazwijmy A.
Wcześniejsza weryfikacja nagłówków emaila pozwoliła ustalić, że ID konta, z którego wyszła wiadomość, pokrywały się z nazwą spółki A, czyli właścicielem domeny i sklepu. A to znalazło swoje potwierdzenie w korespondencji z wcześniej wymienioną firmą od newsletterów, dla uproszczenia nazwijmy ją B.
Reasumując:
- domena legalna z dobrą historią
- SPF i DKIM potwierdzone
- Legalna spółka A, właściciel domeny i sklepu
- Legalna spółka B, dostawca serwerów emailowych dla spółki A
Jak wysłano mejla ze scamem?
Wszystko wskazuje na to, że mejl faktycznie wyszedł z infrastruktury legalnej firmy, czy bardziej firm, ale jakim cudem znalazł się tam Elon Musk i 40k $ w bitcoinach? Gdzieś na pewno coś zawiodło, a scenariuszy jest kilka:
- wyciek danych (ostatnio podobny incydent pozwolił zhakować Cloudflare’a)
- włamanie przez sklep
- włamanie przez infrastrukturę dostawy newsletterów
- włamanie przez podwykonawcę
- malware na sprzęcie kogoś, kto miał dostęp
Osobiście myślę, że podpięcie się pod legalną domenę, nie podszywanie się, tylko stricte podpięcie, jest odpowiedzią na plany Google, które miały ograniczyć spam, a faktycznie udało się spamerom ominąć filtry antyspamowe Gmaila. To, że treść już prymitywna, to inna sprawa, ale przełamanie zabezpieczeń to był już fakt.
Zgłoszenia i (brak) odpowiedzi
Jako osoba świadoma zagrożeń i dobry obywatel podjąłem kroki, żeby zgłosić ewentualne włamanie, a napewno incydent bezpieczeństwa w jakiejś z wymionych firm. Zgłosiłem stronę do CERT i do Google. CERT może zablokować lub ostrzegać przed taką stroną w Polsce, a Google jako dostawca usługi Sites może ją ściągnąć. I tu rozumiem wolne działanie, bo ilość zgłoszeń pewnie przewyższa zasoby ludzkie oddelegowane do tej pracy, no ale mały sklep i dwie średnie spółki powinny jakoś zaregować, więc wysłałem i do nich odpowiednie informacje. Spółka A i sklep na moment tego pisania tego posta nie odesłały żadnej odpowiedzi. Spółka B odpisała w ciągu 24h i czas jest bardzo ok, ale treść już nie. Pani D., która reprezentowała w korespondencji spółkę B napisała wiadomość o takim przekazie: „To nie my jesteśmy adminstratorem Pana danych, więc to sprawa spółki A.” Ja w wiadomości poprzedzającej tę odpowiedź wysłałem treść mejla, opis incydentu, date i godzine, ip serwera i ID konta z którego wyszła wiadomość. Poprosiłem Panią D. o rozmowę z kimś merytorycznym i odezwała się do mnie jej team-liderka Pani M., która o bezpieczeństwie miała identyczny stan wiedzy jak Pani D. i robiła te same PR-owie akrobacje w odpowiedzi.
Wnioski
Wniosek jest taki, że praktyce firmy nie dbają o bezpieczeństwo Twoich danych. Teraz, gdzieś ktoś ma dostęp do infrastruktury jakiejś firmy i być może ma dostęp do Twojego adresu, telefonu, karty płatniczej? Dopisz co chcesz… A milczący właściciele lub niekompetentni pracownicy BOKu, występują w roli „pożytecznych idiotów” i pośrednio pomagają cyberprzestępcom.
W RetroMedia tak nie robimy. Jeśli zgłosiłbyś nam błąd w naszych systemach, który możemy potwierdzić, to w ramach skromnego „bug bounty” odebrałbyś firmowy kubek. Po drugie, stawiamy na masę dobrych rozwiązań podnoszących bezpieczeństwo nasze i naszych klientów, np. wybieramy dobrych partnerów jak SeoHost czy Cloudflare. Ciągle monitorujemy sytuację, ciągle się dokształcamy, a nawet ostatnio w bezpieczeństwie pomaga nam AI. Nawet na naszych szkoleniach z WordPress+AI,, cyberbezpieczeństwo jest jednym z priorytetów, żebyś potem mógł spać spokojnie.
Nie jesteśmy, jak każda inna firma, w 100% odporni na atak (jeśli ktoś ci obiecuje takie bajery, to zastanów się nad kontaktem z nim), ale możemy zapewnić serwis, np. administrowania lub zabezpieczenie sklepu lub strony na najwyższym poziomie. Zobacz nasze pakiety i bądź bezpieczny!