מתקפה חדשה וסופר מקורית של קריפטומיינרים

בגדול אפשר לסכם את זה ב׳אין מתנות חינם׳.
כפתורי הצעות ומונה שהולך ויורד ומלחיץ את המערכת

בשבוע שבועיים האחרונים אזרחי ישראל מוצפים בסמסים מפתים המציעים להם הצעות מעניינות. שני אנשים פנו אלי בנוגע להצעות האלו . הדס מאירי רונן (ההצעה מחברת דלתא) וכן אפרת בר סיני, מהתוכנית חי בלילה (ערוץ 12). עבודה מחקר קצרצרה ולא מסובכת חשפה בפני דרך תקיפה ומקורית. אבל ראשית, למי שהתמזל מזלו ולא נתקל בסמסים האלו – הנה דוגמה:

Delta Airline is rewarding everyone with 2 free plane tickets to celebrate 98 Years of quality service. Get your free ticket at : http://deltá.com/free-tickets/ .
סמס מזויף עם הצעה מזויפת מאיקאה
Ikea is giving away free shopping vouchers to everyone, go here to get it: ⇨ http://ikea.com-wallet.com
סמס מזויף עם הצעה מזויפת מדלתא

רבים מתפתים. כשהם נכנסים לאתרים האלו הם רואים תגובות פייסבוק עם שלל אנשים מחייכים מחזיקים בטובין שהתקבלו כביכול מהאתר וכן מונה של מספרי מתנות שהולך ויורד.

חלק התגובות של האנשים המאושרים שזכו
חלק התגובות של האנשים המאושרים שזכו

הם נשאלים מספר שאלות קצרות, עובר פרק זמן מסוים ואז הם נדרשים לשלוח 15 ווטסאפים לאחרים על מנת להזמין אותם לאתר.

כפתורי הצעות ומונה שהולך ויורד ומלחיץ את המערכת
כפתורי הצעות ומונה שהולך ויורד ומלחיץ את המערכת

אך אויה! אחרי שהמשתמש התמים עשה את חלקו, לחץ 15 פעמים על כפתור ההזמנה והספים את חבריו, הוא מועבר אחר כבוד לאתר שבו הוא אמור לקבל את הזכייה. אך במקום להיות מועבר לאתר עם משמעות הוא מגיע למנוע החיפוש 'בינג' של מיקרוסופט או לעמוד הראשי של 'עלי אקספרס'. מדהים, לא?

הקוראים הציניים יותר מבינים כבר שמדובר במרמה. אבל איזו מרמה? בדרך כלל מרמות או התקפות כאלו של דפים מזויפים, מנסים לשכנע את הגולש לתת את פרטי כרטיס האשראי שלו, או התקנת תוכנה זדונית. כאן בעצם כלום לא קורה (לפעמים, יש אתרים שכן מנסים). הגולש האומלל, אחרי שהספים את כל חבריו, נזרק מהאתר. אז מה בדיוק הולך פה?

ההתקפה עצמה

זה מה שיפה, מדובר במרמה ע-נ-ק-י-ת מההתחלה ועד הסוף. המטרה של האתר היא אחת: לכרות מטבע קריפטוגרפי. על מנת לעשות את זה, האתר מריץ קוד ג'אווהסקריפט שמשתמש במחשב של מי שנמצא באתר על מנת לבצע פעולת כריה של מטבע קריפטוגרפי (כנראה neo). פעולת הכריה בעצם משתמשת במשאבי מעבד (CPU) וחשמל כדי לייצר רווח מיידי לתוקף.

קל מאוד לראות את זה באמצעות מבט על ה-CPU כאשר נכנסים ויוצאים מהאתר:

מיד לאחר היציאה מהאתר, עוצמת העיבוד שנדרשת מהמעבד יורדת.
מיד לאחר היציאה מהאתר, עוצמת העיבוד שנדרשת מהמעבד יורדת.
ברגע הכניסה לאתר, ניתן לראות כיצד המאמץ שהמעבד המרכזי משקיע עולה
ברגע הכניסה לאתר, ניתן לראות כיצד המאמץ שהמעבד המרכזי משקיע עולה

גם אם נסתכל על צריכת הנתונים נוכל לראות את זה, אבל קצת פחות בקלות:

מי נפגע?

מה שיפה בהתקפה הזו הוא שהפגיעה בגולשים קלה יחסית – מה שקורה הוא התחממות של הטלפון, אובדן בטריה והספמת החברים וכמובן בזבוז הזמן. מבחינת התוקף מדובר ברווח גדול: באפס השקעה הוא מקבל עשרות אלפים או אפילו מאות אלפי מחשבים שעובדים בשבילו וכורים בשבילו ללא בעיות. זה רווח של עשרות אלפי דולרים להתקפה. הרבה יותר מוצלח מהשמדת הדיסק הקשיח.

האתרים התוקפים מלאים בכל מיני התקנים שנועדו להסוות את הפעילות שלהם. עבור חלק מהם, כניסה באמצעות מחשב רגיל לא תעבוד. יש באתר סקריפט שמציג דף תקול עבור כל מי שמגיע ממחשב רגיל. באתרים אחרים יש סקריפט שמונע הפעלה של כלי המפתחים של הדפדפן (למרות שניתן לעקוף אותו)

הכתובת המזויפת בהודעת השרשרת

הכתובות המופיעות בהודעת השרשרת מזויפות כמובן. או באמצעות התקפת punycode – שימוש באותיות דומות לשפה האנגלית כמו deltá.com (שימו לב לגרש מעל ה-a). או סתם הטעיה כמו ikea.com-wallet.com שזה הדומיין com-wallet ולא ikea. עד כאן מדובר בהתקפות סטנדרטיות.

תגובות הפייסבוק המזויפות באתר עצמו

באתר עצמו רואים תגובות פייסבוק של אנשים מאושרים שזכו בפרס, אך התגובות לא מגיעות מפייסבוק. הם נוצרו מקוד מזויף שמדמה תגובות פייסבוק.

קוד שמדמה תגובות פייסבוק, אבל זה לא תגובות פייסבוק
קוד שמדמה תגובות פייסבוק, אבל זה לא תגובות פייסבוק

איך מתגוננים

לשנן שוב ושוב את המשפט: אין מתנות חינם. זה כלל שמנחה אותי תמיד. לא הגרלות פייסבוק ולא הגרלות אחרות. רק הגרלות מפוקחות על ידי משרד רואה חשבון מוכר ונעשות על ידי חברה ישראלית הן הגרלות שכדאי להשתתף בהן (אם יש לכם כוח, לי אין). אם משהו נשמע טוב מכדי להיות אמיתי, הוא כנראה לא אמיתי.

הערה

התוקפים הסירו את הסקריפט הזה, יש מצב שמדובר בפיצ'ר ניסיוני של התוקפים.

פוסטים נוספים שכדאי לקרוא

רספברי פיי

הרצת גו על רספברי פיי

עולם הרספברי פיי והמייקרים ניתן לתפעול בכל שפה – לא רק פייתון או C – כאן אני מסביר על גו

ספריות ומודולים

מציאת PII באמצעות למידת מכונה

כך תגנו על משתמשים שלכם שמעלים מידע אישי רגיש כמו תעודות זהות באמצעות שירות אמאזוני.

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד