Remote desktopping, nowe zagrożenie w świecie cyfrowym
Moje ostatnie obserwacje podsumuję w ten sposób: nawet przeciętni oszuści są w stanie popełniać coraz bardziej wyrafinowane oszustwa dzięki dostępowi do profesjonalnego oprogramowania i narzędzi automatyzujących proceder, z których część została stworzona właśnie po to, aby takie przestępstwa popełniać.
Najnowsza technika, którą zaobserwowaliśmy, polega na połączeniu inżynierii społecznej z uzyskaniem dostępu do komputerów osobistych użytkowników, nie do końca obeznanych w możliwościach Internetu lub zwyczajnie nieuważnych.
Taki dostęp jest następnie wykorzystywany do generowania „prawdziwych” tożsamości w celu popełniania wielopoziomowych oszustw, których wykrycie zajmuje zdecydowanie więcej czasu.
Najnowsza technika polega na połączeniu inżynierii społecznej z uzyskaniem dostępu do komputerów osobistych użytkowników
Na potrzeby tego artykułu będę posługiwać się nazwą „atak klasy remote desktopping”.
Najcenniejszy fant dla oszustów online? Dostęp do prawdziwej, ale nowej dla sieci tożsamości
Wiarygodny, choć stworzony na potrzeby oszustwa, profil cyfrowy jest dla fraudsterów, którzy chcą uzyskać dostęp do sklepów internetowych, bardzo pomocny. Co jednak w sytuacji, kiedy chcą zyskać dostęp także do usług bankowych i kredytowych?
W najbliższym czasie będziemy obserwować wzmożony ruch w tym obszarze, szczególnie skierowany na cyfrowe pożyczanie pieniędzy w całej Europie i Rosji
Ponieważ banki, pożyczkodawcy i fintechy działające w przestrzeni online mają dostęp do narzędzi KYC, w każdej chwili mogą potwierdzić tożsamość użytkownika na podstawie m.in. skanu dokumentów. W tym przypadku oszuści potrzebują więc dostępu do prawdziwej tożsamości z unikalnymi informacjami o użytkowniku.
Dlatego też uważam, że w najbliższym czasie będziemy obserwować wzmożony ruch w tym obszarze, szczególnie skierowany na cyfrowe pożyczanie pieniędzy w całej Europie i Rosji. Jest to nowy typ oszustwa, który nazywamy oszustwem typu remote desktopping.
Czym jest remote desktopping?
Oszuści celują w ludzi, którzy nigdy nie byli obyci z Internetem, nie robili zakupów przez Internet, nie mają historii online lub zwyczajnie nie zwracają uwagi na kwestie cyfrowego bezpieczeństwa. Oszuści identyfikują takie osoby i przeprowadzają złośliwy atak socjotechniczny.
Cztery główne metody takiej socjotechniki to: phishing, spoofing telefoniczny i SMS-owy, oraz podszywanie się pod inną osobę.
Działania te mają na celu pobranie złośliwego oprogramowania na telefon lub komputer, odwiedzenie złośliwej strony internetowej, lub zadzwonienie pod fałszywy numer telefonu ‒ wszystko w celu uzyskania informacji lub dostępu do informacji. Oszust musi jedynie przekonać potencjalną ofiarę do zainstalowania jednej z kilku dostępnych aplikacji, która pomoże mu potem przejąć zdalną kontrolę nad komputerem.
Oszuści celują w ludzi, którzy nigdy nie byli obyci z Internetem, nie robili zakupów przez Internet, nie mają historii online lub zwyczajnie nie zwracają uwagi na kwestie cyfrowego bezpieczeństw
Typowy scenariusz wygląda następująco:
„Witam, jestem przedstawicielem [wstaw nazwę banku lub agencji] i zauważyliśmy problem z Twoim kontem! Jeśli szybko go nie rozwiążemy, może to oznaczać poważne problemy dla Twoich oszczędności (lub rachunku). Mogę pomóc Ci rozwiązać ten problem przez telefon, czy możesz włączyć swój komputer? Przeprowadzę Cię przez kolejne etapy i wspólnie rozwiążemy problem”.
Gdy oszuści uzyskają dostęp do komputerów i/lub telefonów komórkowych, mogą przejąć tożsamość danego człowieka, dokonać oszustwa w jego imieniu, a nawet użyć do tego celu komputera ofiary.
Zdalne przejęcie dostępu do komputera ofiary ma dla oszusta jeszcze jedną istotną korzyść ‒ uzyskują oni dostęp do wszystkich plików zapisanych na komputerze. Naturalnie najważniejsze będą zeskanowane dokumenty tożsamości, ale wiele rodzajów dokumentów, zdjęć i filmów wideo może być bardzo pomocnych w tworzeniu pełnowartościowej tożsamości, która może stać się punktem wyjścia do kolejnych nielegalnych działań.
Często oszuści nie korzystają nawet z dostępu do pieniędzy danej osoby. Im wystarczy furtka, która umożliwia otwieranie nowych kont lub aplikowanie o produkty finansowe, z których będą czerpać kolejne korzyści.
Czytaj także: Bankowość i Finanse. Fraudy Kartowe: Nie ciągnij za linki
Więcej o przejmowaniu dostępów
W środowisku zajmującym się problemem fraudu płatniczego pojawiły się ostrzeżenia przed atakami typu remote desktopping, ale wciąż nie jest to wiedza powszechna.
FBI wystosowało np. ostrzeżenie o niebezpieczeństwach związanych z otwartym dostępem do protokołu zdalnego pulpitu (Remote Desktop Protocol, RDP).
Miliony użytkowników zdalnie pracujących i na co dzień korzystających z komputerów służbowych w celach prywatnych. COVID-19 stanowi świetną przykrywkę dla ekspansji remote desktopping
Taki dostęp jest rzadko włączany na komputerach domowych, ale często włącza się go dla sieci korporacyjnych lub dla komputerów znajdujących się w odległych lokalizacjach, do których administratorzy systemu potrzebują dostępu, ale nie mogą się do nich dostać osobiście.
Nie zapominajmy także o możliwościach jakie „zagwarantowała” pandemia. Miliony użytkowników zdalnie pracujących i na co dzień korzystających z komputerów służbowych w celach prywatnych. COVID-19 stanowi świetną przykrywkę dla ekspansji remote desktopping.
Leniwi oszuści i profesjonalizacja narzędzi
Jeśli oszust nie chce tracić czasu na karkołomne techniki socjotechniczne, może po prostu kupić całe listy takich dostępów za zaskakująco niską cenę. Na przykład, Makost[dot]net ‒ serwis reklamowany na forach cyberprzestępców, sprzedaje dostępy do RDP (głównie systemów Microsoft Windows), które zostały skonfigurowane do akceptowania połączeń RDP z Internetu.
System MS Windows posiada wbudowany własny interfejs RDP. Aby połączyć się zdalnie z innym pulpitem lub serwerem Windows, wystarczy otworzyć narzędzie Remote Desktop Connection w systemie Windows, wpisać adres zdalnego systemu oraz wprowadzić poprawną nazwę użytkownika i hasło dla ważnego konta. Po nawiązaniu połączenia można zobaczyć pulpit zdalnego komputera tak, jakby siedziało się tuż przed nim z dostępem do wszystkich jego programów i plików.
Jeśli oszust nie chce tracić czasu na karkołomne techniki socjotechniczne, może po prostu kupić całe listy takich dostępów za zaskakująco niską cenę
Oprócz narzędzia Microsoft RDP, innym popularnym rozwiązaniem, z którego chętnie korzystają oszuści jest AnyDesk, aplikacja do zdalnego pulpitu, która może pochwalić się ponad 300 milionami pobrań na całym świecie.
Autorzy aplikacji mają także „misję” edukacyjną. Oferują więc bezpłatną wersję dostępną dla wszystkich, „aby ich uczniowie mogli łatwo korzystać z naukowego środowiska w dzisiejszym zmieniającym się krajobrazie…, aby umożliwić wykonanie zadań i pozostać w kontakcie ze swoimi nauczycielami i kolegami”.
W tym przypadku oszuści także nie muszą stosować wieloetapowej socjotechniki, aby nakłonić potencjalną ofiarę do pobrania aplikacji zdalnego pulpitu. Większość kroków jest już wykonana.
Inne popularne wśród oszustów aplikacje zdalnego pulpitu to TeamViewer i VNC Connect.
Czytaj także: Jak przestępcy atakowali klientów banków w czasie pandemii?
Nowe techniki na każdym kroku
Oszuści od zawsze byli innowatorami, ale w ostatnim roku odnotowano niespotykany dotąd wzrost aktywności w tym zakresie. Dzięki RDP oszuści mogą ukryć się za prawdziwą tożsamością osoby, która nie jest aktywna w Internecie i w związku z tym nie zauważy oszustwa w sieci.
COVID-19 stanowi użyteczną przykrywkę dla tego oszustwa, ponieważ całkowicie legalne aplikacje RDP stały się bardziej powszechne, a w niektórych przypadkach mogły już zostać pobrane na komputer ofiary oszustwa. Jest to część trendu profesjonalizacji oszustw, który obserwujemy w Nethone.
Czytaj także: ZBP ostrzega: pandemia i niemal zerowe stopy procentowe to okazja dla przestępców szukających naiwnych inwestorów
W przeszłości oszuści ograniczali się do cardingu. Teraz fraud jest bardziej wyszukany, a jedyną barierą wejścia do tej przestrzeni jest posiadanie środków finansowych, aby kupić subskrypcję niezbędnych narzędzi i szkoleń.
Aby mieć szansę w tej nierównej walce, potrzebne jest wielopoziomowe profilowanie użytkownika
Oszuści po prostu wykupują dostęp, generują dane uwierzytelniające, przechodzą przez podstawową konfigurację parametrów i są gotowi do działania.
Tymczasem wykrycie tych narzędzi jest trudne. Aby mieć szansę w tej nierównej walce, potrzebne jest wielopoziomowe profilowanie użytkownika, które jest w stanie rozpoznać, że ma do czynienia z wiarygodnym użytkownikiem, a nie doskonałą imitacją.
Aleksander Kijek
Chief Product Officer,