Az adathalász támadások napjainkban egyre kifinomultabbá válnak, mára már nem csupán megjelenésükben, hanem működésükben és felhasználói élményükben is a nagyvállalati szolgáltatók megoldásait utánozzák. Egy, a Malwarebytes által nemrég azonosított adathalász kampány az amerikai AT&T ügyfeleit vette célba, hitelesnek tűnő arculati elemeket, tudatosan felépített social engineering módszert, valamint többrétegű adatgyűjtési technikákat alkalmazva.
Az AT&T (American Telephone and Telegraph) az Egyesült Államok egyik legnagyobb mobilszolgáltatója. Egy nagy múltú, amerikai távközlési vállalat, amely elsősorban mobil- és vezetékes telefonszolgáltatásokat, internet- és adatátviteli megoldásokat, valamint vállalati hálózati és IT-szolgáltatásokat nyújt.
A támadás egy rövid szöveges üzenettel indult (1. ábra), amely szerint a címzett AT&T-fiókjában jelenlévő jelentős mennyiségű jutalompont hamarosan lejár.
Az üzenet egy https://att.hgfxp[.]cc/pay/ hivatkozást tartalmazott, amely a felhasználót egy, az AT&T legitim weboldalát mind megjelenésében, mind pedig struktúrájában pontosan utánzó domainre irányította (2. ábra). Az oldalon az arculati elemek, a navigáció és több hivatkozás is a legitim att.com oldalra mutatott, tovább növelve a hitelesség látszatát.
A felhasználót a rendszer egy állítólagos fiókellenőrzési lépésen vezette végig, amely során a telefonszám megadását kérte. Ezt követően arról tájékoztatott egy vezérlőpulton, hogy a jutalompontok hamarosan lejárnak (3. ábra). A szűk határidő klasszikus adathalász technika, amely a sürgetésre és a kimaradástól való félelemre (fear of missing out – FOMO) épít.
A következő lépésekben különböző jutalmak (például Amazon ajándékkártyák, fejhallgatók, okosórák) kiválasztására nyílt lehetőség (4. és 5. ábra), amellyel a támadók tovább fokozták azt a benyomást, hogy a felhasználó egy valódi, legitim hűségprogram felületét használja.
Ezután a felhasználót egy „Szállítási adatok” űrlap kitöltésére irányították át (6. ábra). Itt történt meg a tényleges adatlopás: a támadók név, cím, telefonszám, e-mail-cím és egyéb személyes adatok megadását kérték. A háttérben futó JavaScript kód a „Continue” gomb megnyomásakor az összes megadott adatot összegyűjtötte, majd közvetlenül a támadók rendszerébe továbbította.
Miért olyan hatékony és különösen veszélyes ez a kampány?
A kampány hatékonyságát a pontos márkautánzás, a lépcsőzetesen felépített social engineering technika, valamint az adatminőségre optimalizált technikai megoldások együttesen biztosították.
Védekezési lehetőségek
Az alábbi figyelmeztető jelek utaltak arra, hogy vélhetően adathalász támadásról van szó:
- Az üzenetet egyszerre több (ebben a konkrét esetben 18) címzett kapta meg.
- Általános megszólítás használata („Dear Customer”).
- A feladó telefonszáma nem volt az AT&T ismert elérhetőségei között.
- A jutalompontok lejárati dátuma megváltozott, ha az áldozat később újra felkereste az oldalt.
A következő óvintézkedések javasoltak:
- Online fiókjainkba kizárólag a hivatalos alkalmazásokon keresztül, vagy a webcímet manuálisan begépelve lépjünk be.
- Ellenőrizzük figyelmesen az URL-eket, mivel a weboldalak kinézete önmagában nem garancia a hitelességre.
- Engedélyezzük a többfaktoros hitelesítést minden online fióknál, ahol csak lehetséges.
Az adathalászat mára komplex, több komponensből álló támadási formává vált, amely ellen kizárólag technikai védelem és tudatos felhasználói magatartás együttesen nyújthat megfelelő védelmet.