Hakerom udało się doprowadzić do kradzieży równowartości 2 mln złotych, a to wszystko w wyniku kilku zbiegów okoliczności i podszycia się pod mechanizm weryfikacji tożsamości użytkownika Google. Atakujący zadzwonili do ofiary z numeru Google'a i poprosili ją o wykonanie kilku kroków.

Sekurak opisuje interesujący przypadek oszustwa z drugiej połowy grudnia, w którym udało się doprowadzić do kradzieży kryptowalut o równowartości niespełna pół miliona dolarów (a więc ok. 2 milionów złotych). Wszystko zaczęło się od telefonu z autentycznego numeru kontaktowego Google'a i równoczesnego wysłania fałszywego maila z informacją, że z użytkownikiem skontaktuje się konsultant. Atakujący sięgnęli po scenariusz podobny do tego, jaki stosują oszuści działający metodą "na policjanta".

W wiadomości e-mail, która udawała autentyczną komunikację z Google'a, zasugerowano bowiem, że na konto użytkownika ktoś się włamał i konieczne jest podjęcie działań, aby zabezpieczyć dane. Miał to umożliwić ciąg czynności, o których ofiara ataku była informowana podczas połączenia telefonicznego. W tym czasie na jej telefonie pojawił się też znany komunikat o logowaniu z nowej lokalizacji, który miała zatwierdzić - i tak też się stało.

Znany wszystkim etap zatwierdzenia logowania Google © Sekurak

Ten nieprzemyślany ruch poskutkował udostępnieniem atakującym swojego konta Google (i powiązanych z nim usług). W konsekwencji dotarli oni do poufnego kodu, który ofiara przechowywała w zbiorach Zdjęć Google. Umożliwiał on dostęp do portfela kryptowalut. W ten sposób z konta udało się wyprowadzić równowartość 450 tys. dolarów.

Co ciekawe, atakującym udało się także zalogować do innego konta ofiary mimo włączonego uwierzytelniania dwuetapowego. Problemem okazała się w tym przypadku synchronizacja kodów aplikacji Google Authenticator (a do niej atakujący mieli już dostęp dzięki przejętemu wcześniej dostępowi do konta Google).

Ten przypadek, choć skrajny i skuteczny dzięki przynajmniej kilku zbiegom okoliczności pokazuje, że na każdym kroku trzeba być czujnym i uważać zwłaszcza na połączenia, w których ktoś sugeruje konieczność podjęcia szybkich działań w związku z rzekomym atakiem na konto.

To typowy scenariusz socjotechniczny, który jak widać okazuje się być skuteczny nawet w przypadku osób, które mogą wiele stracić i nie analizują takich sytuacji dostatecznie dociekliwie. Zalecamy podejrzliwość w każdym z takich przypadków i sprawdzanie ewentualnych logowań z nieznanych komputerów na własną rękę, nie ufając deklaracjom telefonicznym - to mogą być oszuści.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl