News kohteet joissa tunniste: "fishing"

Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja

Tunnisteet: fishing

Erilaiset kalastelukampanjat voivat levitä nopeasti. Kampanjoissa rikolliset yrittävät saada haltuunsa eri organisaatioiden käyttäjätunnuksia ja salasanoja. Rikollisten käyttämät kalastelusivut hyödyntävät erilaisia tapoja saadakseen käyttäjän syöttämään omat tunnuksensa. Käymme läpi yhden kalastelukampanjan toimintaperiaatteita.

""

Kampanjan teema


Erilaiset tiedostonjakopalvelut ovat yleinen teema kalasteluviesteissä. Dropboxin, Sharepointin ja muiden palveluiden nimissä yritetään kalastella käyttäjätunnuksia ja levittää haittaohjelmia.


Tässä esimerkissä esitellään Box-tiedostonjakopalvelun nimeä käyttävä kalastelukampanja, jonka tarkoituksena on kalastella käyttäjien Office 365 -tunnuksia sekä muita käyttäjätunnuksia. Kampanjan avulla kalasteltuja tunnuksia voidaan käyttää esimerkiksi tietomurtoihin tai myydä eteenpäin muille rikollisille.

Teknisiä yksityiskohtia sisältävät huomiot on korostettu tekstissä kursiivilla.

Kalastelusivu aukeaa


Kalasteluviestit on tässä kampanjassa lähetetty sähköpostitse murretuilta sähköpostitileiltä. Murrettuja sähköpostitilejä käytetään kalastelukampanjassa uusien kalasteluviestien lähetykseen, sillä aidolta sähköpostitililtä tullut viesti saadaan vaikuttamaan luotettavammalta, eikä viesti tartu yhtä herkästi sähköpostin suodattimiin.


Linkki kalastelusähköpostiviestissä on ollut usein muotoa
hxxps://office365[merkkijono][numero].azurewebsites[.]net/. 


Kalasteluviestin linkki vie käyttäjän verkkosivuille, jotka välittävät käyttäjän eteenpäin rikollisen käyttämälle varsinaisille kalastelusivulle. Kalastelusivulla käytetään jokaiselle sivulle saapuvalle henkilölle luotua uniikkia sivustoa. Tällä tekniikalla on toisinaan mahdollista tunnistaa, kuka sähköpostin saanut ja avannut henkilö on vieraillut kalastelusivulla tai rajoittaa vierailu uniikille sivulle vain yhteen kertaan.  

Sijainniltaan kampanjan tietyssä aallossa olleet kalastelusivut sijaitsevat aina yhdessä samassa IP-osoitteessa. IP-osoitteet vaihtelevat eri aalloissa. Käytetyt domainnimet ovat olleet kaikissa aalloissa iältään tuoreita. 

Käyttäjätunnusten kalastelu alkaa


Kalastelusivulla lukee teksti:
”box – To download the document, sign in with a Microsoft account or an account assigned to you by your organization. Login with Office 365, Login with Other mail.” 


Kalastelusivulla käytetään tiedostonjakopalvelu Boxin nimeä. Tiedostonjakopalvelun nimen avulla rikollinen väittää lukijalle, että dokumentti odottaa latausta palvelussa, kunhan käyttäjä syöttää sivulle tunnuksensa. Näin ei kuitenkaan ole, vaan rikollisen kalastelusivu huijaa käyttäjää antamaan käyttäjätunnuksensa ja salasanansa valheellisilla väittämillä ja käyttämällä luvattomasti tiedostonjakopalvelun nimeä.

Box-teemainen tietojenkalastelusivu, joka pyytää kirjautumaan käyttäjätunnuksilla.

Saapuessaan kalastelusivulle, käyttäjälle tarjotaan kaksi vaihtoehtoa: ”Login with Office 365” tai ”Login with Other Mail” (kirjaudu Office 365 –tunnuksilla tai toisilla sähköpostitunnuksilla). Jos vaihtoehdoista valitsee ”Login with Office 365”, siirtyy käyttäjä syöttämään tunnuksensa Microsoft-teemaiselle kalastelusivulle.

Microsoft-teemainen kalastelusivu jäljittelee Microsoftin oikeita kirjautumissivuja. Aidonnäköiset verkkosivut on mahdollista kopioida rikolliseen käyttöön esimerkiksi verkkosivujen kopiointiin kehitettyjen työkalujen avulla.


Kalastelusivun polku on muotoa /officeauth/[uniikkitunniste].php.

Kalastelusivu, joka pyytää kirjautumaan Office 365 -tunnuksilla sisään

Kun sivulle syöttää käyttäjätunnuksensa, rikollisen käyttämä kalastelusivu lisää uskottavasti syötetyn sähköpostiosoitteen sivun ulkoasuun ja pyytää syöttämään salasanan. Tämä jäljittelee aidon kirjautumissivun toimintaa.


Salasanan täyttämiseen tarjoavan sivun osoite on muotoa /enterpassword.php.

Kalastelusivu, joka pyytää kirjoittamaan salasanan

Salasanan syöttämisen jälkeen sivu ilmoittaa, että salasana oli väärä ja pyytää syöttämään sen uudelleen. Tämä on rikollisille yksi tapa varmistaa, että he saavat varmasti kalasteltua oikean salasanan.

Salasanan uudelleensyöttöä pyydetään sivulla /enterpasswordagain.php.

Kalastelusivu väittää, että käyttäjä kirjoitti salasanan väärin, ja pyytää antamaan sen uudestaan

Salasanan uudelleensyöttämisen jälkeen käyttäjälle näytetään viesti: "We don't recognise your password. Make sure that you type the password for your work or school account." 


Kirjautumisikkuna väittää, että se ei tunnista salasanaa. Rikollisen luoma kalastelusivu pyytää salasanaa syöttänyttä käyttäjää varmistamaan, että salasana on varmasti työpaikkasi tai koulusi tilin salasana. 


Salasanan syöttämisen jälkeen avautuu sivun juuressa sijaitseva loading.php -tiedosto, josta avautuu valkoisella pohjalla pyörivät hammasrattaat ja tekstit. Tekstit väittävät sivun yrittävän varmentaa salasanaa.

Kalastelusivu vaikuttaa prosessoivan salasanaa, vaikka todellisuudessa animaatio on huijausta

Hammasrattaita pyörittävän sivun jälkeen aukeaa uusi sivu, jossa näkyy kalastelusivun alkuvalikko uudella, uniikilla sivulla. Käyttäjälle uskotellaan tällä valheellisella varmennussivulla, että hänen syöttämänsä salasana on väärä, ja hänet tuodaan takaisin kalastelusivulle. 


Tämä on yksi tapa uskotella sivustolla kävijälle, että tilanteessa ei ole muka tapahtunut mitään väärää kuin oma syöttövirhe. Väite väärästä salasanasta ja palauttamista takaisin kalastelusivun alkuun voi harhauttaa käyttäjää raportoimasta kalasteluviestiä, jos sivulle saapunut henkilö uskoo kalastelusivun väitteen virheellisen salasanan syöttämisestä. Kaikki keinot ovat siis rikollisten käytössä silloin, kun ihmisiä halutaan hämätä sivun oikeasta tarkoituksesta.

Kalastelusivu, joka pyytää kirjautumaan sähköpostitunnuksilla

Jos kalastelusivulla valitsee vaihtoehdon "Login with Other emails", pyydetään henkilöä yleisesti kirjautumaan oman organisaation käyttäjätunnuksilla.

Tämä sivu löytyy kalastelusivun käyttämän verkkotunnuksen juuresta, /othsll.php -tiedostosta.

Yksinkertainen kalastelusivu, joka pyytää kirjautumaan organisaation tunnuksilla

Syötettyään tunnukset, uhri viedään sivulla OneDrive-teemaiselle /verauth.php -sivulle, jossa pyydetään vielä varmistamaan puhelinnumero tai palautussähköpostiosoite. Puhelinnumeroa ja palautussähköpostiosoitetta voidaan käyttää esimerkiksi rikosten suunnitteluun.


"OneDrive

Verify it's you

Something seems a bit different about the way you're trying to sign in. Complete the step below to let us know it's you and not someone pretending to be you. Learn more.

  • Select a verification method
    • Tell us your phone number ********  
    • Enter your recovery email

Continue 

Having trouble? Reset your password instead."

 

Kalastelusivu pyytää varmentamaan henkilötiedot
Kalastelusivu pyytää varmentamaan henkilötiedot ja antamaan puhelinnumeron
Kalastelusivu pyytää varmentamaan henkilötiedot ja antamaan palautussähköpostin

Kun sivulle syöttää puhelinnumeron tai palautussähköpostiosoitteen ja valitsee "Continue", selaimessa aukeaa uusi hammasrattaita pyörittävä sivu, jonka jälkeen uhri ohjautuu takaisin kalastelun pääsivulle. 


Sivustolla avautuu ensin verkkosivun juuressa oleva /ssvp.php -tiedosto, ja tämän jälkeen selaimessa avautuu taas hammasrattaita pyörittelevä juuressa oleva /loading.php –sivu. Tämän jälkeen jälkeen uhri viedään takaisin kalastelun pääsivulle olevaan uuteen uniikkiin php-tiedostoon.

Kalastelusivu vaikuttaa prosessoivan salasanaa, vaikka todellisuudessa animaatio on huijausta
Box-teemainen tietojenkalastelusivu, joka pyytää kirjautumaan käyttäjätunnuksilla.

Kalastelun jälkeen

Uskottavat kalastelukampanjat voivat levitä nopeasti, ja sähköpostin tunnuksia hyödyntäviä tietomurtoja käytetään levittämään kalastelukampanjaa entisestään. Kalastelusta on tärkeä ilmoittaa oman organisaation tietoturvakäytänteiden mukaisesti, jonka lisäksi Kyberturvallisuuskeskukselle voi ilmoittaa (Ulkoinen linkki) havaitsemastaan kalastelusta.

Ilmoitusten avulla kalastelukampanjoita voidaan tunnistaa nopeasti, mahdollisia uhreja voidaan tiedottaa, ja kampanjoiden leviämistä voidaan hidastaa.

 

Lue lisää
.