Ludzie w branży bezpieczeństwa lubią myśleć, że celem oszustów są szarzy użytkownicy. Tymczasem – przestępcy doskonale wiedzą, że także ci techniczni podejmują wiele ryzykownych zachowań. Co prawda, są to zachowania nieco inne niż standardowe. Uważaj na fałszywe konta na Githubie!
Czytaj też: Uwaga właścicielu iPhone – wgraj aktualizację
Fałszywe konta na Githubie
Każdy wie, teoretycznie, że na Githubie znajdują się śmieciowe repozytoria. Częściowo niebezpieczne albo opracowane specjalnie pod przekręt. Firma VulnCheck regularnie natyka się na nie w efekcie rutynowych prac. Przeważnie kończy się zgłoszeniem repozytorium i usunięciem go z Githuba. Jednak tego lata firma zauważyła coś gorszego! Fałszywe repozytoria konsekwentnie powracały. I to po usunięciu.
Czytaj też: To mój nowy numer – uwaga na kolejny scam
Ich twórcy włożyli nieco więcej pracy w to, by wyglądały przekonująco. Konta na Githubie były elegancko zorganizowane, ze zdjęciem badacza, a co ważniejsze – linkami do profili na Twitterze. W profilach pojawiały się linki do strony firmowej i, chociaż nie działały, na pierwszy rzut oka wyglądały przekonująco.
Tak wygląda przykładowa strona jednego z badaczy.
Okazuje się jednak, że firma, do jakiej należy Sanderson, jest bardzo trudno dostępna i ciężko ją znaleźć. Zdjęcie da się z kolei połączyć z Philem Stokesem z Senti One. Co ciekawe, na tę samą fałszywą tożsamość założono także konto na Twitterze.
Co ważne to właśnie tutaj wpisy Sandersona notowały reakcje na przykład Marko Hadzica czy Andrei Kuzman. To też fałszywe tożsamości. Twarz jednego z nich to tak naprawdę Curt Barnard z firmy Rapid7. Drugi z kolei to Sn Knudsen wspomniany na jednej ze stron.
Na Discordzie także dziura
Fałszywe repozytoria to dodatkowo także kody proof-of-concept pozwalające na wypróbowanie błędów, jakie fałszywi badacze mieli znaleźć w Chrome, Exchange czy Discordzie.
Okazuje się, że kod zawarty w pythonowym skrypcie poc.py pobierał złośliwy plik binarny i uruchamiał go na komputerze. Co za tym idzie – dostarczany payload był różny w zależności od systemu operacyjnego ofiary. A co jeszcze ważniejsze – dostosowany pod Linuksa miał znacznie niższą wartość detection rate na VirusTotal niż payload windowsowy.
Ludzie techniczni na celowniku
Okazuje się, że brak uwagi i skłonność do ryzyk to nie jest cecha osób nieświadomych, które nie mają pewnej wiedzy. W rzeczywistości można wykorzystać brak uwagi u każdego, nawet u kogoś, kto zna się na technologii. Tacy ludzie także miewają błędy, na przykład pod wpływem emocji czy zetknięcia z obiektem pożądania. W branży bezpieczeństwa takim obiektem jest multinarzędzie Flipper Zero. Podaż tegoż jest ciągle znacznie mniejsza od popytu. Z tego powodu w sieci pojawiają się fałszywe strony rzekomo oferujące sprzedaż Flipperów.
Taki motyw Flippera Zero wykorzystywano też w kampaniach phishingowych, o czym donosił na Twitterze specjalista od bezpieczeństwa Dominic Alvieri. Tylko czy on jest faktycznym ekspertem? A może to kolejne konto na Twitterze…