Dajte si pozor, ak používate WhatsApp. Nový podvod mieri práve na používateľov tejto platformy!
Hackeri sú čoraz vynaliezavejší. Najnovšie sa skrývajú za nevypočuté hlasové správy, ktoré prichádzajú z WhatsApp servera.
Internetovým svetom otriasa ďalší phishingový útok. Cieľom tohto útoku je inštalácia malvéru na zariadenie obete. Na informáciu upozornili analytici z armorblox.com.
Skrývanie sa za hlasové správy z WhatsAppu
Viacerým používateľom služieb Office 365 a Google Workspace pristála v e-mailovej schránke podozrivá správa. Táto správa sa skrývala za aplikáciu WhatsApp, konkrétne za hlasovú správu, ktorú mala údajne obeť dostať. Celkový počet týchto podvodných správ sa mal vyšplhať takmer na 28 000.
Celý e-mail bol stavaný ako automatická správa od servera o tom, že v aplikácii sa nachádza nevypočutá hlasová správa. Na konci tela správy sa nachádzalo tlačidlo, ktoré malo byť údajne odkaz k vypočutiu danej správy. Vzhľad takéhoto e-mailu si viete pozrieť na obrázku nižšie.
K vierohodnosti prispel aj fakt, že názov odosielateľa bol WhatsApp Notifier. Čo ale útočníka vedelo prezradiť bola doména, z ktorej bola správa odoslaná. Samozrejme, že nešlo o oficiálne WhatsApp servery, ale o doménu s názvom cbddmo.ru. Výskumníci z ArmorBlox zistili, že tento web v minulosti patril Centru pre bezpečnú dopravu pre moskovský región. Táto organizácia bola založená na poskytovanie pomoci štátnym operáciám bezpečnosti cestnej premávky v Moskve a patrí pod Ministerstvo vnútra Ruskej federácie.
Nemusí ísť ale hneď o ruský útok. ArmorBlox sa totiž domnieva, že môže ísť iba o zneužitie tejto domény, zrejme vďaka zastaralému systému zabezpečenia, na ktorom si východné krajiny ako Rusko či Bielorusko nedávajú veľmi záležať.
Neprehliadnite
Pokus o nainštalovanie trójskeho koňa
Ak obeť v e-mailovej správe klikla na tlačidlo Play, tak ju to prenieslo na stránku, ktorá sa pokúšala nainštalovať trójsky kôň JS/Kryptik. Ide o škodlivý kód JavaScript vložený do HTML stránok, ktorý presmeruje prehliadač na škodlivú URL. Na tejto stránke následne vyskočilo okno, v ktorom obeť vedela kliknúť na tlačidlo Potvrdiť (pre potvrdenie toho, že človek nie je robot). To vedelo vyvolať následnú inštaláciu aplikácie, ktorá sa správala ako aplikácia systému Windows. Takto nainštalovaný malvér následne kradol rôzne citlivé informácie.
Okrem samotného dizajnu, ktorý pôsobil mimoriadne dôveryhodne je zaujímavé aj to, že útočníci pri zasielaní týchto správ obišli bezpečnosť Microsoftu a aj Googlu. V spojení s hlavičkou známej aplikácie, akou WhatsApp je, išlo o mimoriadne silnú a dôveryhodnú kombináciu a preto niet divu, že pár obetí sa na to nachytalo. V ArmorBloxe sa domnievajú, že kontrolné systémy vedeli útočníci obísť najmä vďaka tomu, že používali dôveryhodnú doménu, akou cbddmo.ru určite je. Ako sa ale útočníci k použitiu tejto domény dostali zatiaľ známe nie je.
Preto si pri otváraní odkazov a súborov vo vašej e-mailovej schránke dávajte veľký pozor. Najprv treba správu preveriť očami a to tak, že skontrolujete meno a e-mailovú adresu odosielateľa. Následne skontrolujte telo správy. Slovenčina nie je jazyk, ktorý je mimoriadne podporovaný prekladačmi, preto sa v tele správy často zjavujú jasné gramatické chyby.
Komentáre