Uwaga na Minecrafta, kody QR i aplikację Wiadomości Google. Można stracić tysiące złotych
Każda kolejna nowa forma wymiany informacji jest dziś błyskawicznie dostrzegana przez napastników i wykorzystywana do phishingu. Imprezy masowe, wydarzenia polityczne czy społeczne, czy często gry komputerowe cieszące się globalnym zainteresowaniem – każde z podobnych zagadnień może stać się legendą ataku.
Przebieg ataku z użyciem Minecrafta
W ostatnim czasie przekonał się o tym przywoływany przez ekspertów z Sekurak Pan Lesław, którego syn jest graczem Minecrafta, swoją drogą najlepiej sprzedającej się gry komputerowej w historii. Jedną z licznych cech charakterystycznych Minecrafta jest to, że przyciąga on często młodszych graczy, którzy siłą rzeczy mają niewielkie doświadczenie w identyfikowaniu ataków na ich cyberbezpieczeństwo. Tak było w przypadku pana Lesława, który w rezultacie ataku przeprowadzonego na współdzielone z synem urządzenie stracił 1,7 tys. zł.
Sam przebieg ataku nie jest niczym nowym i był już opisywany przez CERT, niemniej każda praktyczna realizacja zakończona sukcesem napastnika jest wartościowym źródłem informacji o wykorzystywanych przez napastników metodach działań. W omawianym przypadku pierwszy kontakt z ofiarą miał miejsca właśnie za pośrednictwem minecraftowego czata. Tam młody gracz został zachęcony do tego, by zainstalować aplikację Wiadomości oferowaną przez Google Play. I nie jest to fałszywka, lecz prawdziwa, zweryfikowana aplikacja dostarczana przez Google.
Problematyczne kody QR
Ta ma ciekawą funkcję, która jest dobitną reprezentacją tego, jak często rezygnujemy z bazującego na wieloskładnikowych uwierzytelnieniach bezpieczeństwa na rzecz wygody. Wystarczy nakłonić ofiarę do instalacji aplikacji Wiadomości i sparowania danej jej instancji z tą, która napastnik zainstalował na swoim urządzeniu. Wystarczy skan kodu QR. W rezultacie uzyskania pary haker uzyskuje w zasadzie pełny dostęp do skrzynki odbiorczej ofiary. Ale nie chodzi wyłącznie o treść, która już została tam zgromadzona – sparowane instancje są siostrzane i napastnik na bieżąco może odczytywać kolejne wiadomości.
Stąd już jest z górki – nietrudno sobie wyobrazić sytuację, kiedy do wystarczy skrzynka, by uzyskać dostęp do kont użytkownika czy potwierdzeń transakcji. Taką władzę daje lustrzany dostęp do całej skrzynki odbiorczej. Wszelkie SMS-y z kodami potwierdzającymi dowolne operacje w momencie trafienia na urządzenie ofiary są także swobodnie dostępne dla atakującego. Łatwo jest w ten sposób okraść abonenta z wykorzystaniem SMS-ów premium czy prób sklonowania karty. Ponadto atakujący może też wysyłać wiadomości w imieniu ofiary oraz uzyskać dostęp do listy kontaktów.
Konsekwencje
W danym przypadku z użyciem SMS-ów Premium hakerowi udało się ukraść 1,7 tys. zł. Podobne ataki, rzecz jasna występujące w wielu zróżnicowanych wariantach, są jednak coraz częstsze i powinny przyciągać szczególną uwagę użytkowników. Mechanizm parowania aplikacji Wiadomości i innych składników oprogramowania urządzeń z Androidem sprawia wrażenie działającego w sposób dość niefrasobliwy pod kątem bezpieczeństwa i nie trzeba tutaj pasji młodego gracza w Minecrafta, by dać się oszukać.
