Здається, що вразливість – штука технічна, але на Держпослугах є цікава комбінація вразливостей (ну або, скажімо, особливостей) у сфері CSS, дизайну, юзабіліті, які шахраї використовують у соціальній інженерії.
За відкриття вразливості ми маємо дякувати невідомому шахраєві, “співробітнику клієнтської служби стільникового оператора” або “служби безпеки ощадбанку”, ну ви розумієте.
Опис атаки
Атака починається звичайним способом, як і завжди. Дзвінок, представляються, наприклад, співробітником мобільного оператора і кажуть, що потрібно підтвердити власника телефону через держпослуги. Ввести код підтвердження з SMS. (Так, звісно, цього робити не можна, але все-таки, постійно якась частина людей ведеться на це). Дізнавшись код, швидко “захоплюють” ЛК у держпослугах і змінюють пароль.
Однак, це не вся атака. Вони розвивають успіх – сміються і кажуть – “Ха-ха! Ми вас обдурили!”. Дуже дивна поведінка. Людина збентежена і налякана, тут же в паніці лізе на держпослуги й очікувано не може увійти. Окей, вона намагається відновити пароль і бачить (теж очікуване) повідомлення, що її акаунт заблоковано за підозрілу активність, зверніться на номер такий-то.
Цей номер – номер шахраїв. І текст повідомлення від них же. Але сайт держпослуг – справжній! Адреса правильна. Сертифікат валідний. Як же так?
Насправді, якщо просто спокійно і без паніки подивитися на картинку, то за 15 секунд усе зрозуміло (напевно, ви розгадали відразу). Цей текст – просто текст запитання користувача для відновлення доступу. А далі жертва телефонує за номером “з держпослуг” і вже більше довіряє (вона ж сама побачила його на держпослугах, отже, офіційний номер, за цим номером – справжні співробітники держпослуг) і далі її розводять уже сміливіше.
Сайт держпослуг використовуються (аб’юзується) для підвищення довіри до номера телефону шахрая. Можна розмістити свій текст на держпослугах. Тільки для окремого користувача, тільки якщо він “дурень”, але все-таки можна!
Як здійснюється така атака
Жодної технічної вразливості немає. Майже. Людина сама дала код, вони просто увійшли, змінили пароль і поставили своє запитання для відновлення доступу. Система працює строго за документацією, як і повинна.
Але при цьому – текст написаний жирним шрифтом, він “домінує” на сторінці, він збігається з очікуваннями (страхами) користувача. Трохи негарно, що це “повідомлення про блокування” йде після слів “Контрольне питання”, але нагадаю, що людина налякана, дезорієнтована, і цей невеликий абсурд є цілком логічним продовженням того абсурду, в який вона потрапила (якщо вона взагалі його прочитає).
Крім того, код, який має видати текст контрольного запитання, під час блокування акаунта видає таке ось повідомлення.
Що ще зробили Держпослуги щоб “допомогти” шахраям? Цей номер виглядає як звичайний номер мобільного. Користувач не очікує побачити на держпослугах такий номер. Він очікує що-небудь на кшталт 8-800- , тому номер насторожує.
Як же зробити, щоб “клієнт” зателефонував на такий підозрілий номер, а не на який-небудь офіційний 8-800- ? А це за шахраїв зробили держпослуги! Там немає на виду номера, куди зателефонувати. Щоб до нього дістатися, треба натиснути в підвалі “Контакти”, перегорнути розділи “Популярні питання”, “Всі питання”, “Центри обслуговування”, “Робота з порталом”, “Запитайте Робота Макса” і тільки потім буде розділ “інші способи зв’язку”. І він закритий, відкриється, тільки якщо натиснути на нього. Загалом, усе зроблено, щоб відсіювати неприємних бабок, і щоб неприємні бабки не заважали працювати красивим дівчатам зі служби підтримки.
Чи вразливість це?
Як подивитися. Взагалі, э красиві технічні вразливості, або коли поєднання двох фіч (кожна безпечна і корисна сама по собі) створює вразливість. Існують складні експлойти на зрив стека, можна зробити clickjacking, XSS і CSRF – тут усе так просто. Але ж небезпека є!
Звичайно, можна заперечити, що користувач – сам дурень (а ви, вибачте, для кого робите систему? Реальні люди – вони такі, так). Але по суті, досягнутий ефект – користувач дзвонить на номер шахрая, вважаючи, що це номер держпослуг, підкріплюючи довіру через відому адресу сайту і валідний сертифікат. Як зломщик цього досяг, через cross-site-scripting, через DNS Spoofing і криптографічну атаку та випуск фейкового, але валідного сертифіката – неважливо. Шахрай досяг своєї мети.
І так, це спрацьовує не на всіх користувачів. Тільки на найнеграмотніших або найбільш вразливих, схильних до маніпулювання, які втрачають тверезість розуму в стресовій ситуації.
На замітку розробникам
Що можете розуміти гарний розробник? Визнавати важливість усіх тонкощів та розробляти призначені для користувача інтерфейси з урахуванням цих ризиків, і тоді кількість “самі винуватих” користувачів буде меншою.
1. Сайт без технічних вразливостей цілком може бути використаний для атаки на користувача методом соціальної інженерії
2. Сторінка, яка прекрасно працює в штатному режимі (забув пароль, хочу скинути) може бути не дуже вдалою в позаштатній ситуації (зловмисник отримав доступ до акаунту)
3 Шрифти, фон, оформлення – можуть мати значення! Уявіть текст “Ваш акаунт заблоковано” шрифтом комік-санс. Ніхто при всьому бажанні не подумає, що це справді від адміністрації. Але якщо комік-санс це не надто підходить для реального застосування, то якийсь італік, стилізований під рукописний текст, – цілком собі дає сигнал, що це призначений для користувача текст, а не суворе казенне системне повідомлення.
Джерело: https://habr.com/ru/articles/774162/
