Zaútočil som na vlastného otca sociálnym inžinierstvom
Skôr než naozaj začneme
Samozrejme, že so na nikoho neútočil. Dnešný blog je voľným prekladom článku I Social Engineered my Dad! uverejnenom na serveri infosecinstitute.com s láskavým povolením od pôvodného autora Nikosa Danopoulosa, čím mu touto cestou aj veľmi pekne ďakujem. Takže aj keď bude nasledovný text písaný v prvej osobe, nejedná sa o mňa (LM) ale o Nikosa. Všetky prípadné komentáre odo mňa budú jasne označené a napísané kurzívou. Ten prvý bude zároveň aj výstrahou:
To čo si prečítate na nasledovných riadkoch sami neskúšajte. Aj keby ste mali tie najčistejšie úmysly a vaša obeť bola s vami v príbuzenskom vzťahu, pokiaľ nemáte na takýto “pokus” od nej popredu získané (písomné) povolenie tak sa, prísne vzaté, môže jednať o trestný čin podvodu podľa trestného zákona.
Úvodom
Dnes vám rozpoviem príbeh o tom ako som zaútočil cez sociálne inžinierstvo na môjho milého otca! Samozrejme, všetko čo som urobil by ho nemalo vystaviť akémukoľvek problému. Otvorte si pivko, či pripravte kávu a vychutnajte si zvyšok príbehu. Dúfam, že sa na ňom pobavíte, poučíte a že si to užijete presne tak ako ja.
Príbeh
Všetko to začalo tým, že mi došla hotovosť. Ono sa to síce stáva dosť často, ale tento krát som mal viacero problémov s mojou predplatenou kartou. Zavolal som otcovi a poprosil som ho, či by som si nemohol požičať jeho predplatenú Visa kartu, keďže som šiel na trojdňový výlet do Solúna na vystúpenie môjho obľúbeného speváka. Ubezpečil som ho, že mu peniaze okamžite vrátim, len čo moja predplatenka začne znova fungovať. Súhlasil, takže hneď po obede som už mal jeho predplatenú kartu! Cestou do, povedzme že, Super banky, počúvajúc hudbu som sa s touto kartou “hral”, dookola som ju stále otáčal, keď mi do očí udreli biele písmená ktoré hovorili: “Exspiruje 12/2016”
Keďže bolo šestnásteho novembra, a toto je podstatné, plánoval som otcovi zavolať a upozorniť ho na to, že mu bude karta čoskoro exspirovať. Zakrátko na to som však svoje plány zmenil a rozhodol sa napísať tento článok!
Plánoval som zistiť ako by som mohol šikovne využiť informáciu ktorú mám, dátum exspirácie, proti technicky nezdatnému pánovi v stredných rokoch. Síce vie ako používať smartphone, prehliadať web, či sťahovať aplikácie, ale tam to končí. Keďže by to nebol žiaden poriadny útok, keby som si dátum exspirácie jednoducho odpísal z karty, rozhodol som sa použiť sociálne inžinierstvo. Môj otec by, samozrejme, spoznal môj hlas, takže som o pomoc požiadal kamaráta, Dimitrisa Katsarosa, ktorý má so sociálnym inžinierstvom tiež skúsenosti. A keďže sme potrebovali nejaké informácie na začiatok, sám som zavolal do Super banky ako potenciálny nový klient. Opýtal som sa, čo sa stane keď mi bude exspirovať predplatená karta. Ich odpoveďou bolo, že mi v predstihu domov pošlú poštou novú. Tomu hovorím darček!
Sedemnásteho novembra o pol desiatej dopoludnia, Dimitris zavolal môjmu otcovi. V tom čase môj otec smeruje do jeho kaviarne, takže ešte nemal ani kávu! Dimitris sa predstavil ako zamestnanec Super banky a požiadal môjho otca o pomoc, keďže nad ránom došlo k hackerskému útoku a oni prišli o dôležité informácie o niektorých klientoch. Povedal mu jeho meno, priezvisko, aktuálnu adresu, dátum narodenia a požiadal ho o potvrdenie týchto informácií. Otec tieto informácie potvrdil a zároveň znel viac vážne. Dimitris následne požiadal o informácie o ktoré “prišli” pri rannom útoku. Boli to meno otcovho otca a dátum exspirácie jeho karty aby mu mohli zaslať včas novú.
Na nešťastie, či skôr na šťastie, môj otec odpovedal a odovzdal všetky požadované informácie. Ak sa teraz niekto čuduje, áno, musel som sa ovládať aby som neschmatol ten telefón a nevykričal mu “Čo to akože robíš?!”.
Takže, aj keby som si nemohol prečítať dátum exspirácie priamo na karte, dozvedel som sa to jedným telefonátom. Na nasledovné dni som si teda stanovil cieľ získať prostredníctvom sociálneho inžinierstva číslo otcovej predplatenej karty spolu aj s CVV trojčíslím. Pre tých, čo nepoznajú Visa karty, toto trojčíslie sa označuje ako kontrolné ako na Visa kartách, tak aj kartách American Express (LM: a tiež aj iných kartách ako sú Diners Club, Master Card…)
Plán
Zostávalo mi niekoľko dní, kým otec dostane novú predplatenku, takže som musel vymyslieť pekný a zároveň uveriteľný plán. Viem, že nasledujúci scenár by asi nezabral na väčšinu ľudí, ale na môjho otca a zopár ďalších na ktorých som to otestoval po otcovi, to naozaj zabralo. Nie som žiaden guru sociálneho inžinierstva, ale fungovalo to.
Tu je čo som urobil:
- Zriadil som si jednoduchý VPS
- Zaregistroval doménu: www.account-confirmation.eu
Plánoval som otca nasmerovať na moju novú stránku www.account-confirmation.eu. Dimitris mu mal znovu zavolať s tým, že bol informovaný o tom, že už dostal novú kartu a je treba urobiť ešte zopár úkonov kvôli autentizácií než začne fungovať aj internet banking. Môj otec síce internet banking nepoužíva, ale vie že si občas jeho kartu požičiavam ja, keď potrebujem zaplatiť niečo online. Navyše, keďže je v kaviarni dosť zaneprázdnený, som si myslel, že keď mu povieme, že autorizácia je možná aj online namiesto toho aby chodil do banky, tak to využije. Stránka, ktorú som vytvoril, zhruba pripomínala tú zo Super banky.
Samozrejme tam boli aj logá a obrázky, ktoré som stiahol zo skutočnej stránky Super banky, ale z pochopiteľných dôvodov som ich teraz pred vami schoval. Dokonca som tam aj umiestnil checkbox “Súhlasím so všeobecnými obchodnými podmienkami”. Na pozadí bežal jednoduchý PHP skript ktorý zaznamenával vstupy zo stránky.
Bol som si istý, že môj otec tam len tak nepôjde a nezadá takéto citlivé údaje len preto, že mu niekto vydávajúc sa za pracovníka Super banky zavolá a požiada ho o to. Ibaže to urobil. Nemohol som tomu uveriť. Vyskúšali sme to potom aj na iných ľudí - priateľov, či rodinu. V drvivej väčšine prípadov urobili to čo sme od nich chceli.
Možno ste si všimli, že vo formulári som žiadal iba o 12 čísel a čudujete sa prečo. Čoskoro to objasním, ale na teraz povedzme, že to bol iba spôsob ako získať viac dôvery, keďže veľa ľudí si myslí, že s iba 12 číslami sa nedá nič škodlivé urobiť.
LM: V tento moment sa príbeh začína možno trošku zbytočne komplikovať, ale o to poučnejšie toto čítanie bude. Nikos mohol vo formulári pokojne požiadať o celé číslo a som presvedčený o tom, že ľudia, ktorí naleteli v jeho prípade, by naleteli aj tak. Mohol taktiež požiadať o zadanie iba čísel nasledujúcich po prvých 6 číslach, ktoré tvoria tzv. IIN (identifikátor vydavateľa), a teda je pomerne jednoduché ich zistiť, či odvodiť. V prípade spoločnosti Visa, bol dokonca nedávno identifikovaný spôsob ako si prakticky všetky čísla “vybruteforcovať”, ale o tom tento článok nie je, takže nechajme Nikosa pokračovať v jeho príbehu.
O pár dní neskôr, 22 novembra, sme už vedeli, že otec dostal jeho novú kartu. O desiatej prišiel Dimitris k nám domov a dohodli sme si plán, ako som pred chvíľkou vysvetlil. Mal zavolať môjmu otcovi, povedať mu ako je moc rád, že je ich klientom a, že bol informovaný o tom, že už mal dostať novú kartu. Mal mu tiež povedať, že záverečným krokom na aktivovanie internet bankingu je autorizácia na web stránke, ktorú sme vytvorili. Aj sme tak urobili, ibaže otec mal vtedy moc práce a požiadal, či by sme mu mohli zavolať zajtra v rovnakom čase. Navyše aj požiadal o meno človeka s ktorým hovorí, ibaže s týmto sme popredu počítali a uviedli sme meno skutočného zamestnanca banky, ktoré sme si predtým vygooglili. Dokonca sme mu aj nadiktovali jeho skutočnú emailovú adresu (theHarvester). Nakoniec sa otec opýtal, prečo tieto informácie nemôže poskytnúť cez telefón. Dimitris mu vysvetlil, že je to z bezpečnostných dôvodov, že banka vyžaduje aby klienti takéto údaje mohli poskytovať online iba cez zabezpečené spojenia, čo si môžu aj sami overiť v ľavom hornom rohu prehliadača (zelený zámok indikujúci HTTPS spojenie).
LM: Ako som spomínal vyššie, a tu to začína byť evidentné, takto spracovaná obeť by bola ochotná odovzdať aj celé číslo karty, bez akéhokoľvek podozrenia.
Takže na druhý deň sme telefonovali znova a požiadali otca o návštevu našej stránky, kvôli autorizácií. Povedal nám, že tak urobí. Ešte sme ho “upozornili” aby, z bezpečnostných dôvodov, zadal iba prvých 12 číslic. Za dve hodiny som na svojej obrazovke uvidel to, na čo som čakal.
Naozaj stále nedokážem uveriť tomu, že odovzdal 12 čísel z jeho predplatenej karty spolu aj s CVV len tak niekomu, koho nepoznal, len preto, že sa predstavil ako pracovník banky.
Ostáva teda posledná otázka, ako sa dostať k poslednému štvorčísliu. Nebol to žiaden problém. Môj otec je zaregistrovaný na jednej gréckej web stránke, ktorá mu posiela noviny. Majú tam možnosť platby mesačne alebo ročne, za čo vám zašlú v tlačenej podobe ich blogy. Niečo ako mesačník. A skúste hádať - nepoužívajú HTTPS.
Navštívil som teda otcovu kaviareň a vykonal som útok Man In The Middle. Zhodil som mu všetky aktívne spojenia a počkal, než sa znova prihlási. Po chvíli som už mal jeho prihlasovacie údaje. Stačilo len použiť Wireshark. Po prihlásení som si pozrel jeho používateľské informácie a skúsil zadať príkaz na zmenu možností platby, no a tam som už videl niečo ako: Predplatená Visa karta: ************1234.
Samozrejme toto ma nenapadlo len tak. Už som sa s tým stretol na stránkach Spotify, bet365 ale tiež aj iných. (LM: Z vlastných skúseností môžem tiež potvrdiť, že toto je naozaj bežná prax) Takže som to skúsil a vy už viete ako som sa dostal aj k poslednému štvorčísliu.
Teraz jedno priznanie. Jednu časť tohto príbehu som trošku pozmenil a nie je úplne pravdivá, tá o web stránke čo som použil. Nekúpil som tú doménu. Kúpil som doménu, ktorá sa veľmi podobala na doménu banky môjho otca. Z pochopiteľných dôvodov jej skutočný názov nebudem publikovať. Aj keď sa vám tento príbeh môže zdať neuveriteľný, ubezpečujem vás, že naozaj fungoval proti viacerým našim priateľom v stredných rokoch. Takže, týmto spôsobom, boli poučení o nástrahách sociálneho inžinierstva a môžu tak byť viac chránení. Opäť taktiež zdôrazňujem, že tento príbeh bol len na poučenie a nikdy by som nechcel ohroziť vlastného otca. Nakoniec mi za odmenu, že som ho hackol, kúpil aj pivo.
Verím, že ste si čítanie užili aspoň tak ako som si ja užil celú akciu.
Vďaka.