Postřehy z bezpečnosti: SIM swap gang odhalen díky starostlivé mamince

13. 8. 2018
Doba čtení: 5 minut

Sdílet

Dnes si povíme, jak může starostlivá maminka ohrozit i ten nejlepší podnikatelský záměr, podíváme se na projekt využívající zadní vrátka u x86 procesorů a nevynecháme ani smělé plány Facebooku na propojení s našimi bankovními účty.

Floridská policie zatkla 25letého muže, který se podílel na dlouhodobých podvodech a krádežích, při kterých byly zneužívány neoprávněně získané SIM karty. Muž měl být součástí spolčení minimálně devíti lidí, rozptýlených v různých státech, kteří po dobu minimálně dvou let vykrádali bankovní účty s využitím postupu “SIM swap”.

SIM swap je stále častěji zneužívaný způsob, jak se dostat k penězům obětí předchozích phishingových útoků. Pokud se vám někdy podařilo poškodit vaši SIM kartu, nebo jste potřebovali jiný rozměr, pak víte, že není problém si u operátora požádat o novou. Právě na tom staví SIM swap, při kterém se podvodníci snaží využít nedostatečné kontroly oprávněnosti požadavku u některých operátorů, nebo přímo mají vlastního člověka u mobilního operátora. Na ověření přes telefonní číslo ovšem spoléhá řada služeb včetně on-line bankovnictví. Pokud tedy při phishingovém útoku získá podvodník přihlašovací údaje k bankovnictví a pak ještě SIM kartu s číslem oběti, nic mu nebrání vysát z účtu peníze.

Na aktivity skupiny upozornila policii maminka z Michiganu, která náhodou zaslechla svého syna, jak do telefonu předstírá, že je zaměstnancem AT&T. Při následném prohledání jejich rezidence bylo nalezeno několik mobilních telefonů a SIM karet a na počítači dítěte pak byl seznam jmen a telefonních čísel lidí z celého světa. Po dalším sledování dotyčného bylo zabaveno ještě 45 SIM karet, laptop a Trezor wallet. Po dvou měsících znepokojená maminka opět kontaktovala policii s tím, že si její syn opatřil jiný mobilní telefon.

Došlo tedy znovu k prohledání jejich domova a byly nalezeny dva batohy SIM karet, několik padělaných řidičských oprávnění a pasů. Vyšetřovatelé následně využili tyto padělané doklady k identifikaci několika obětí. Dvě z obětí uvedly, že každá z nich přišla přibližně o 150 000 dolarů uložených v kryptoměně poté, co byly jejich telefonní čísla “naklonována”, další z obětí přišla o 50 000 dolarů.

Tento první podezřelý pak přivedl vyšetřovatele k dalším osobám, včetně zadrženého 25letého muže z Floridy, a dále přiznal, že běžně prováděl klonování telefonů a výběry peněz. Vyšetřování ukázalo, že skupina také společně pracovala na přípravě krádeže 57 bitcoinů od jedné jediné oběti s tím, že kořist si pak mezi sebou rozdělí.

Skupina také pravidelně platila zaměstnancům mobilních operátorů za pomoc s prováděním podvodů a plánovala dokonce útok na účet CEO společnosti Gemini Trust. Jeden ze členů skupiny ostatním slíbil, že informace potřebné pro nabourání účtu získá od svého “člověka” u společnosti T-Mobile.

Naše postřehy

Byla objevena nová metoda, jak se dostat k heslu na WiFi sítích využívajících WPA2 PSK. Hned ze začátku je třeba říci, že se nejedná o nový způsob, který by obešel nutnost použít útok hrubou silou, takže kdo používá silná hesla, může být zatím stále klidný. Oproti klasické metodě, která vyžaduje zachycení čtyř EAPOL rámců přenášených během úvodního handshaku, tento nový způsob využívá protokol Robust Secure Network Information Element. Ten slouží k navázání komunikace uvnitř bezdrátových sítí 802.11 a je součástí standardu 802.11i. Vždy, když se tento protokol pokouší o vytvoření bezpečného komunikačního kanálu, vysílá RSN IE message, která obsahuje PMKID (Pairwise Master Key Identifier). Právě z tohoto klíče může útočník vypočítat heslo pro WPA PSK.

Společnost Facebook jednala s velkými bankami v USA o možnosti sdílet s Facebookem detailní informace o jejich klientech. Podle zdrojů z bank se měl zajímat o platební transakce kartami, kde, kdo nakupoval nebo o zůstatky na účtech. Facebook připustil, že s bankami jednal, nicméně popírá, že by byla řeč o datech o transakcích. Data měla být údajně využívána v nové službě, která by byla součástí aplikace Messenger.

Zdrojový kód Snapchatu byl zveřejněný na GitHubu déle než dva měsíce. Bohužel se nepodařilo potvrdit, zda se skutečně jedná o část nebo celou aplikaci, nicméně existují vodítka, že tomu tak skutečně bylo. Nejpodstatnější je, že před 4 dny podala společnost SNAP Inc. žádost o stažení zdrojového kódu, kde mimo jiné uvádí, že se skutečně jedná o zdrojový kód. Mezi další vodítka patří popis repozitáře “Source Code for SnapChat” a použitý programovací jazyk, Objective-C od Applu. Celá záležitost je také diskutována na Twitteru.

Na GitHubu se objevil project rosenbridge, který má za cíl využívat hardwarové zadní vrátka u x86 procesorů. Umožňuje tak ring 3 kódu (userland) číst a zapisovat do ring 0 (kernel). Využívaný backdoor bývá obvykle vypnutý a potřebuje nejprve zapnout (z ring 0), nicméně bylo zjištěno, že na některých systémech je tato funkce ve výchozím stavu zapnutá. Zatím se předpokládá, že postižené procesory jsou pouze VIA C3, často používané v automatizacích, POS terminálech, bankomatech, zdravotnickém hardwaru, ale i v některých osobních počítačích a laptopech. Na stránkách projektu je rovněž návod, jak otestovat, zda je používaný počítač zranitelný a rovněž nástroj, jak případný backdoor “vypnout”.

GitHub představuje novou funkci, která by měla poskytnout větší ochranu uživatelským účtům. Ochrana spočívá v porovnání uživatelských hesel s databází uniklých hesel, kterou poskytl bezpečnostní expert Troy Hunt, kterou sám využívá u jeho služby “HaveIBeenPwned.com”. Databáze obsahuje 517 milionů záznamů ukradených hesel. GitHub pomocí služby bude žádat uživatele o změnu hesla v případě, že se jejich heslo bude shodovat s již zmiňovanou databází. Veškerá hesla jsou hashována pomocí bcrypt algoritmu a k porovnání hashů hesel bude docházet pouze, když sám uživatel danou funkci povolí.

Společnost Taiwan Semiconductor Manufacturing Company (TSMC) se stala obětí odnože ransomwaru WannaCry. Jedná se o největšího výrobce čipů mezi jehož nejdůležitějšími odběrateli jsou Apple (čipy jsou součástí iPhonu a iPadu), Qualcomm, Nvidia, AMD, MediaTek či Broadcom. Infekce byla odhalena 3. srpna, o dva dny později už firma hlásila, že 80 % systémů je opět v provozu. Toto zdržení bude firmu stát zhruba 255 milionů dolarů, které by však měla dohnat ve čtvrtém čtvrtletí. Podle TSMC došlo k nákaze nedopatřením při instalaci nového nástroje. K žádnému úniku citlivých dat však prý nedošlo.

Dbejte na bezpečnost svých kryptoměn. Analýza dvou let finančních úniků ukazuje, že největším nepřítelem bezpečnosti jsou ve většině případů samotní uživatelé. Každý pátý uživatel ze 720 účtů používal heslo kratší osmi znaků, spousta z nich nemělo aktivovánu dvoufaktorovou autentizaci, která by měla platit za absolutní minimum (byť samozřejmě k mnoha únikům došlo kvůli chybě v softwaru, phishingu a dalším zranitelnostem).

bitcoin_skoleni

Ve zkratce

Pro pobavení

Čáp provolal 70 000 Kč.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.