Egy pozsonyi parkoló. Valaki QR-kódokat ragaszt a szélvédőkre. Úgy néznek ki, mint a parkolási bírságok. Nem azok.
Ha beolvassa az egyiket a telefonjával, egy olyan oldalon köt ki, amely pontosan úgy néz ki, mint egy szlovák állami portál. Egy űrlap a nevét, a személyi azonosító számát és a személyi igazolványa adatait kéri. Azt hiszi, bírságot kapott. Gyorsan el akarja intézni. És pontosan ebben a pillanatban szerzi meg a támadó, amire szüksége van.
Szlovákia nemzeti CSIRT-je (Computer Security Incident Response Team), amely a Beruházási, Regionális Fejlesztési és Informatizációs Minisztérium (szlovák rövidítéssel MIRRI) alá tartozik, április elején lefülelte ezt a kampányt, és nyilvános figyelmeztetést adott ki. A QR-matricák azonban csak az egyik elemet jelentik.
A hamis állami weboldalak
A CSIRT megtalálta a platby-mvsr.sk oldalt, amely a Belügyminisztérium fizetési portáljának adja ki magát. Valamint a sk-slovensko.web.app oldalt, a slovensko.sk klónját, amely Szlovákia hivatalos e-kormányzati portálja, lényegében a gov.uk vagy az id.me megfelelője, ahol a polgárok az adóbevallásaikhoz, elektronikus postafiókjaikhoz és közszolgáltatásaikhoz férnek hozzá.
A klónt a Firebase-en, a Google ingyenes tárhelyszolgáltatásán üzemeltették. Ingyenesen beállítható. Automatikus HTTPS-tanúsítvány. Egy támadó kevesebb mint egy óra alatt működőképes, meggyőző hamis állami weboldalt hozhat létre. A böngészőjében látható lakat ikon? Az csak annyit jelent, hogy a kapcsolat titkosított. Arról semmit nem árul el, hogy ki van a túloldalon.
Mindkét oldalon a megfelelő logók, a megfelelő színek, a megfelelő űrlapok szerepeltek. Némelyik közvetlen fizetést kért, állítólag egy hivatalos dokumentum feldolgozásáért.
A kampány SMS-üzeneteket is használ, amelyek azt állítják, hogy 24 órán belül megszűnik a hozzáférése az állami szolgáltatásokhoz, ha nem igazolja magát egy linken keresztül. A szlovákok számára a slovensko.sk elektronikus postafiókjukhoz való hozzáférés elvesztése valós aggodalom, mert oda érkezik a hivatalos állami levelezés. Így az emberek rákattintanak.
Miért fontos a QR-matricás taktika világszerte
Ez nem csupán szlovák probléma. A QR-alapú adathalászatot (amelyet néha „quishingnek" is neveznek) Európa-szerte jelentették a CERT-csapatok, például Csehországban, Lengyelországban és Ausztriában. A fizikai matricás megközelítés azonban az, ami érdekessé teszi a szlovák kampányt.
A legtöbb ember legalább homályosan tudatában van annak, hogy az adathalászat e-mailen keresztül érkezik. A fizikai matricák teljesen megkerülik ezt az ösztönt. Valami nyomtatott. Amit egy személy helyezett az autójára. Ez hivatalosnak tűnik. Mintha egy hatóság járt volna el.
És amikor a telefonjával beolvas egy QR-kódot, hirtelen minden olyan biztonsági határon kívül kerül, amelyet a cége felépített. Nincs vállalati tűzfal. Nincs e-mail-szűrés. Nincs végpontvédelem. Csak egy mobilböngésző és egy hamis oldal.
Az üzleti kockázat, amiről senki sem beszél
Ha egy alkalmazott beolvassa az egyik ilyen QR-kódot egy olyan magántelefonon, amelyen a vállalati e-mail és a belső rendszerekhez való hozzáférés is megtalálható, egy feltört jelszó a vállalati infrastruktúrába vezető úttá válik. A BYOD-irányelvek ezt tovább súlyosbítják, hiszen a magánélet és a munka ugyanazon az eszközön, ugyanabban a böngészőben, ugyanazokkal a mentett jelszavakkal zajlik.
És ha a támadók minisztériumi weboldalakat klónoznak, ugyanolyan könnyen klónozhatják az ügyfélportálját vagy a számlázási rendszerét. Egy olyan domain, mint az invoicing-yourcompany.com, néhány euróba kerül. Egy órán belül a bejelentkezési oldalának van egy ikertestvére, amelyet Ön nem irányít. Amikor egy ügyfél ezen keresztül esik áldozatul az adathalászatnak, nem a támadót fogja hibáztatni. Önt fogja hibáztatni.
A céges telefonszámokat nem nehéz megtalálni. Nyilvános cégjegyzékek, LinkedIn-profilok, vállalati weboldalak. Az SMS-es adathalász kampányok ugyanolyan könnyen célba vehetik az értékesítési csapatát, mint a magánszemélyeket.
A helyzet érzékeltetéséhez érdemes tudni, hogy az ENISA az EU átlagos kiberbiztonsági felkészültségi pontszámát 62,65-re teszi a 100-ból. Az egyes országok pontszámai nem nyilvánosak, de az ilyen kampányok az egész unióban felbukkannak. A támadás mindenhol ugyanaz. Csak a nyelv változik.
Mit tegyen valójában ellene
Ha a domainjén a DMARC nincs reject módra állítva, a támadók olyan e-maileket küldhetnek, amelyek úgy néznek ki, mintha Öntől érkeznének. Az ügyfelei megkapják őket. Ön sosem szerez tudomást róla. Az SPF + DKIM + DMARC beállítása órákat vesz igénybe, nem heteket.
A DNS-szintű blokkolás olyan szolgáltatásokon keresztül, mint a Cloudflare Gateway vagy a Cisco Umbrella, megállíthatja az ismert adathalász domaineket, még mielőtt az oldal betöltődni kezdene. A 100 főnél kisebb cégek számára léteznek ingyenes csomagok.
A biztonsági szabályzata valószínűleg még nem említi a QR-kódokat. Pedig kellene. A szabály elfér egyetlen sorban. Céges eszközökön ne olvasson be ellenőrizetlen QR-kódokat, a fizikai matricákat pedig cselekvés előtt ellenőrizze. Ez lefed egy olyan hiányosságot, amelyre a legtöbb szervezet nem gondolt. Az e-mailekbe ágyazott QR-kódok szinte mindig gyanúsak.
Küldje el a csapatának a CSIRT által megjelölt konkrét domaineket. Csatoljon képernyőképeket a hamis oldalakról. Az általános „legyen óvatos" üzeneteket figyelmen kívül hagyják. Egy hamis, személyi azonosító számot kérő űrlap képernyőképe viszont megmarad az emlékezetben.
Hogyan ismerhető fel a hamis állami weboldal
A szlovák állami oldalak a .gov.sk vagy a slovensko.sk címen futnak. Bármi, ami .web.app, .site, .online végződésű, vagy kötőjelekkel utánoz egy minisztériumi nevet, gyanús. Ha egy oldal eID-hitelesítés nélküli, egyszerű űrlapon keresztül kér személyi azonosító számokat, nem hiteles. És ha egy SMS 24 órás határidővel érkezik, tudnia kell, hogy egyetlen valódi állami szolgálat sem vonja meg ilyen gyorsan a hozzáférését előzetes postai értesítés nélkül.
Ez a minta egész Európában érvényes. Ellenőrizze a domaint. Ellenőrizze a hitelesítési módot. Ha sürgősnek tűnik, lassítson.
Adathalászat-felismerő workshopokat tartunk vállalati csapatoknak. 90 perc, gyakorlati, valós példákkal, köztük azokkal a szlovák esetekkel, amelyeket a CSIRT ebben a hónapban jelölt meg. Azért csináljuk ezt, mert láttuk, hogyan reagálnak az emberek, amikor egy valódi, helyi adathalász oldalt látnak a képernyőn. Úgy kattan a fejükben, ahogy az elvont figyelmeztetések soha. Ha ez hasznosnak tűnik, vegye fel velünk a kapcsolatot.
Kapcsolódó olvasnivaló: