Telefon od Google'a. "Ktoś zalogował się na twoje konto"
Hakerom udało się doprowadzić do kradzieży równowartości 2 mln złotych, a to wszystko w wyniku kilku zbiegów okoliczności i podszycia się pod mechanizm weryfikacji tożsamości użytkownika Google. Atakujący zadzwonili do ofiary z numeru Google'a i poprosili ją o wykonanie kilku kroków.
Sekurak opisuje interesujący przypadek oszustwa z drugiej połowy grudnia, w którym udało się doprowadzić do kradzieży kryptowalut o równowartości niespełna pół miliona dolarów (a więc ok. 2 milionów złotych). Wszystko zaczęło się od telefonu z autentycznego numeru kontaktowego Google'a i równoczesnego wysłania fałszywego maila z informacją, że z użytkownikiem skontaktuje się konsultant. Atakujący sięgnęli po scenariusz podobny do tego, jaki stosują oszuści działający metodą "na policjanta".
W wiadomości e-mail, która udawała autentyczną komunikację z Google'a, zasugerowano bowiem, że na konto użytkownika ktoś się włamał i konieczne jest podjęcie działań, aby zabezpieczyć dane. Miał to umożliwić ciąg czynności, o których ofiara ataku była informowana podczas połączenia telefonicznego. W tym czasie na jej telefonie pojawił się też znany komunikat o logowaniu z nowej lokalizacji, który miała zatwierdzić - i tak też się stało.
Ten nieprzemyślany ruch poskutkował udostępnieniem atakującym swojego konta Google (i powiązanych z nim usług). W konsekwencji dotarli oni do poufnego kodu, który ofiara przechowywała w zbiorach Zdjęć Google. Umożliwiał on dostęp do portfela kryptowalut. W ten sposób z konta udało się wyprowadzić równowartość 450 tys. dolarów.
Dalsza część artykułu pod materiałem wideo
Co ciekawe, atakującym udało się także zalogować do innego konta ofiary mimo włączonego uwierzytelniania dwuetapowego. Problemem okazała się w tym przypadku synchronizacja kodów aplikacji Google Authenticator (a do niej atakujący mieli już dostęp dzięki przejętemu wcześniej dostępowi do konta Google).
Ten przypadek, choć skrajny i skuteczny dzięki przynajmniej kilku zbiegom okoliczności pokazuje, że na każdym kroku trzeba być czujnym i uważać zwłaszcza na połączenia, w których ktoś sugeruje konieczność podjęcia szybkich działań w związku z rzekomym atakiem na konto.
To typowy scenariusz socjotechniczny, który jak widać okazuje się być skuteczny nawet w przypadku osób, które mogą wiele stracić i nie analizują takich sytuacji dostatecznie dociekliwie. Zalecamy podejrzliwość w każdym z takich przypadków i sprawdzanie ewentualnych logowań z nieznanych komputerów na własną rękę, nie ufając deklaracjom telefonicznym - to mogą być oszuści.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
