Inngangur
Fimmtudaginn 13. júlí 2023 barst CERT-IS fjöldi tilkynninga um SMS vefveiðiárásir. Viðtakendur fengu SMS sem virtist koma frá flutningsfyrirtækinu DHL en var í raun frá óprúttnum aðila. Í skilaboðunum var hlekkur sem vísaði á svikasíðu þar sem fiskað var eftir persónu- og kreditkortaupplýsingum. Við rannsókn á síðunni komst CERT-IS í vefþjón árásaraðilans og fann þar m.a. öll gögn sem fórnarlömb höfðu fyllt út á svikasíðunni. Í ljós kom að 54 einstaklingar og þrjú fyrirtæki á Íslandi höfðu fyllt inn upplýsingar. Við greininguna kom einnig í ljós að svikin höfðu verið í gangi í Lúxemborg, Noregi og Möltu. Samtals var þarna að finna 1295 persónu- og 790 kreditkortaupplýsingar. Mögulegt fjárhagslegt tjón er metið á u.þ.b. 47 milljónir ISK.
Lýsing á árásinni
- Árásaraðilinn setur DHL svikasíðu í loftið
- Árásaraðilinn sendir fjölda SMS á íslensk símanúmer
- Viðtakandi opnar hlekkinn og veitir upplýsingarnar sem beðið er um
- Árásaraðilinn nýtir upplýsingarnar til að hafa fé af kreditkortinu
Hér má sjá þessi skref:
Opið vefsvæði
Þegar svikasíðan var skoðuð, uppgötvaðist vefsvæði sem árásaraðilinn skildi eftir opið. Það gerði CERT-IS kleift að sjá allar skrár sem voru á vefþjóninum sem og og kóðann bakvið svikasíðuna. Þessar upplýsingar voru mikilvægar í greiningu á aðferð árásaraðilans. Áhugaverðasta skráin var “config.php” en þar fundust vísanir í tvo Telegram yrkja (e. bot) með tilheyrandi lykilorðum (API lyklum). Yrkjar eru forrit sem virka eins og nokkurs konar vinnumaurar, sinna einföldum verkefnum sjálfvirkt til að auðvelda notendum þeirra lífið. Í þessu tilfelli þá senda þeir allar upplýsingarnar sem fylltar voru út á svikasíðunni í spjallrás á Telegram til árásaraðilans.
Endurheimt Svikaskilaboðanna
Með notkun Telegram yrkja þarf árásaraðilinn ekki að setja upp sérstaka þjónustu til að safna upplýsingum af svikasíðunni – Skilaboðin berast beint Telegram á spjallrás árásaraðilans. Þessi aðferð er mjög hentug fyrir árásaraðilann þar sem þetta er auðvelt í uppsetningu, nafnlaust, skilvirkt og kostar ekkert.
Við uppgötvun API lyklanna gafst CERT-IS aðgangur að yrkjunum og þar með aðgangur að skilaboðum sem höfðu verið send í gegnum þá. Var þeirra aflað með beinum samskiptum við Telegram svo árásaraðilanum var aldrei gert viðvart um það.
Myndinn til hægri sýnir kóðann sem við notuðum til að endurheimta öll skilaboðin.
Við greiningu gagnanna sást fljótt að sama herferð hafi einnig verið notuð til að herja á Lúxemborg, Noreg og Möltu. Í heild voru 1295 persónu- og 790 kreditkorta upplýsingar fylltar út á svikasíðunni. Af þeim voru 54 einstaklingar á Íslandi og 3 Íslensk fyrirtæki. Borgirnar sem komu oftast fram eru í listanum hér að neðan:
|
|
Hver var skaðinn?
Það erfitt að segja nákvæmlega til um hversu mikið fé tapaðist í svikaherferðinni. Ef miðað er við gögnin og þau margfölduð með upphæð sem tapaðist í einu tilfelli (413 evrur) er heildartjónið 326.270 evrur (413 * 790) sem jafnast á við 47 milljónir króna. Upphæðin er líklega í hærra lagi þar sem ólíklegt er að peningur hafi náðst af öllum kortunum.
Aðgerðir CERT-IS
Eins og í öllum vefveiðitilfellum þá byrjum við á því að senda niðurtökubeiðni á hýsingaraðila síðunnar til loka á síðuna og lágmarka skaðann.
Eftir greiningu höfðum við samband við einstaklingana á Íslandi sem höfðu skráð upplýsingar og ráðlögðum þeim að loka kortum og skoða hvort þar væru færslur sem þau könnuðust ekki við. Einnig voru sendar upplýsingar á viðeigandi banka, NFCERT (fjármálaöryggisteymi norðurlanda) og lögregluna, sem er í alþjóðlegu samstarfi og getur þ.a.l. deilt upplýsingum til viðeigandi stofnanna.
Samantekt
Fjallað var um DHL vefveiðiherferð sem átti sér stað í þremur löndum: Íslandi, Noregi og Lúxemborg. Hún sýnir hvernig einfaldar aðferðir geta valdið miklu tjóni. Vefveiðar hafa orðið algengari og því nauðsynlegt að vera vel upplýst um þessar hættur. Með samstarfi, upplýsingagjöf og að vera ávallt á varðbergi getum við spornað við og lágmarkað skaðann sem slíkar árásir valda. Ef grunur liggur á um vefveiðar tekur CERT-IS ávallt við tilkynningum á [email protected].