HARD CORE SECURITY LAB

Użytkownicy komputerów są z całą pewnością coraz bardziej świadomi typowych zagrożeń związanych z Internetem oraz stosowaniem nowoczesnych technologii informatycznych. Przeprowadzanie skutecznych ataków wymagających interakcji z użytkownikiem docelowego systemu przychodzi więc komputerowym przestępcom z dużym trudem. Wszystko to nie skutkuje jednak obniżeniem ilości ataków, lecz... pojawianiem się coraz skuteczniejszych metod ataku. Jednym z obecnie obserwowanych trendów, jest zwiększenie ilości ataków wykorzystujących bezpośredni kontakt intruza z ofiarą.

Najnowszy schemat ataku tego typu jest bardzo prosty i zarazem niezwykle skuteczny. Otóż intruz kontaktuje się z potencjalną ofiarą (osobą prywatną, pracownikiem biurowym, itp.) telefonicznie na zasadzie typowego cold callingu i przedstawia się przykładowo jako pracownik firmy XXX o rzekomym statusie Registered Microsoft Support Partner (pojęcie takie tak naprawdę w ogóle nie istnieje).

Ów rozmówca informuje potencjalną ofiarę o rzekomej paskudnej infekcji toczącej jej system Windows i oferuje (oczywiście płatną) usługę usunięcia wszelkich wirusów za pośrednictwem specjalnego programu pozwalającego na pomoc zdalną. Po uiszczeniu odpowiedniej opłaty, rozmówca wskaże nam profesjonalnie wyglądającą witrynę, z której tenże program (w rzeczywistości trojan lub inny malware) będziemy mogli pobrać. Strona domowa rzekomego partnera Microsoftu pełna jest certyfikatów oraz znaków potwierdzających partnerstwo. Znajdziemy na niej również numery telefonów (wyglądające na stacjonarne, w rzeczywistości wykupione u jednego z dostawców usług VoIP w odpowiedniej strefie numerowej), pod którymi rzeczywiście odpowiadają konsultanci z krwi i kości.

Cały schemat ataku brzmi znajomo i przypomina najnowsze działania twórców oprogramowania scareware. O ile jednak komunikaty o infekcji wyświetlane przez strony internetowe nie są już wiarygodne dla wielu internautów, o tyle atak na nasz system operacyjny (oraz portfel) poprzez operatora telefonicznego może być rzeczywiście zabójczo skuteczny.

Pracownicy dużych korporacji, jak i małych firm, są bardzo często obsługiwani przez zewnętrzne firmy zapewniające im informatyczną pomoc techniczną. Tego typu rozmowa telefoniczna, szczególnie jeśli operator nie wypytuje o hasła czy też inne poufne informacje, może nie wzbudzić żadnych daleko idących podejrzeń. Również osoby mniej obeznane z komputerami (np. osoby starsze) znacznie łatwiej mogą się nabrać na przekonywującą rozmowę telefoniczną, niż na typowe automatyczne ataki internetowe.

Pomijając już więc aspekty finansowe, w jaki sposób intruz może zainstalować złośliwy program (np. trojana) na komputerze pracownika dowolnej firmy lub korporacji? Wystarczy tylko zadzwonić do potencjalnej ofiary, przedstawić się jako pracownik odpowiedniej firmy świadczącej pomoc techniczną i poprosić naszego rozmówcę o zainstalowanie małego programiku umożliwiającego zdalną asystę techniczną. Jestem przekonany, że tego typu atak byłby w wielu przypadkach bardzo skuteczny...

[źródło]