Dalam beberapa tahun terakhir, serangan terpusat dilakukan menggunakan IP-telephony, sekarang babak baru, tetapi sudah menggunakan email. Mari kita menganalisis data elektronik yang tersedia tentang serangan ini.
Informasi yang diperbarui pada 02/01/2019.
Masalah:
2017: βAnonimitas panggilan dipastikan oleh fakta bahwa penyerang, menggunakan IP-telephony, dapat menggantikan sejumlah penelepon, termasuk jumlah pelanggan nyata yang tidak terhubung dari mana saja di dunia. Fitur IP telephony ini menyulitkan petugas keamanan untuk bekerja. Menghubungkan gateway suara IP-telephony ke jaringan operator telekomunikasi sering terjadi secara ilegal, dengan penggantian nomor penelepon, alamat IP, dan pengidentifikasi lainnya.2019: Menurut layanan pers administrasi dan dari staf lembaga medis dan sekolah di berbagai daerah dan kota, mereka menerima pesan dengan ancaman dan persyaratan untuk mengambil tindakan tertentu ke email mereka.
Lembaga penegak hukum bersama dengan otoritas eksekutif mulai bertindak sesuai dengan otoritas mereka, yang berarti memeriksa setiap pesan.
Di lembaga-lembaga yang tercantum dalam teks surat-surat itu, acara darurat mulai diadakan.
Tidak ada satu pun fakta tentang ancaman yang diterima yang dikonfirmasi, pekerjaan lembaga-lembaga tersebut dilanjutkan secara penuh.Analisis Data:Semua email dikirim menggunakan layanan email mailfence dot com gratis, memposisikan dirinya sebagai "layanan email yang aman dan rahasia."
Saat ini, beberapa penyedia di Federasi Rusia memiliki akses terbatas ke layanan ini.
Kami akan mencoba masuk ke layanan ini dan mendaftar. Kami mendapat penolakan ini:
Menggunakan plugin VPN, Anda dapat melangkah lebih jauh dan melakukan pendaftaran:
Namun, di sini kami menunggu pilihan seperti itu dari kemungkinan alamat email.
Dengan demikian, ada kecurigaan bahwa alamat email yang digunakan dalam serangan itu dibuat lama di sistem ini ketika mungkin untuk memilih nama domain yang berbeda sebelumnya. Ini berarti bahwa serangan itu tidak spontan, dan alamat dibuat lebih awal oleh beberapa kelompok.
Mengapa kita perlu membuat kotak surat di layanan ini?
Saat mendaftar, Anda perlu menentukan alamat email Anda yang berfungsi, di mana mereka akan mengirim tautan untuk mengonfirmasi pendaftaran di layanan.
Selanjutnya, kami memeriksa bagaimana proses pengaturan
ulang kata sandi terjadi
dalam layanan ini .
Masukkan nama pengguna dan / atau alamat email Anda:
Masukkan nama pengguna atau email setelah (dalam kasus uji, kami memiliki mail.ru) dan dapatkan:
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
sin***@***mail.ru
Dengan cara ini, kita dapat mengenali tiga karakter pertama dari nama pengguna dan 5 karakter terakhir dari domain email tingkat kedua. (terima kasih
michaelkl untuk
komentarnya! )
Selain itu, saat meminta pengaturan ulang kata sandi, Anda dapat menentukan nama pengguna atau email.
Dan menurut alamat dari email yang dikirim, ketika Anda meminta pengaturan ulang kata sandi, Anda hanya dapat menentukan email.
putin.fsb2@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
kul***@***utoo.email
just.bro@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
bbl***@***imail.com
Satu-satunya utas mengarah ke gmail.com:
kor.bol@mailfence.com
untuk mengatur ulang kata sandi Anda, sebuah email dikirimkan ke:
vov***@***gmail.com
Di sini Anda dapat mencari alamat lengkap, tetapi untuk waktu yang lama:
Omong-omong, alamat ini tersingkir dari seluruh daftar karena memiliki koneksi dengan gmail.com.
Alamat lain di tempat yang sama:
kiano.lok@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
put***@***gmail.com
Ada kecurigaan bahwa ini adalah peniru, sebagai opsi, yang juga berkontribusi pada gelombang pengiriman pesan, tetapi dengan tujuan yang mementingkan diri sendiri, untuk melakukan niat jahatnya dalam kebingungan peristiwa (pencurian, penghapusan data ketika tidak ada orang di sekitar, dll).
Lebih lanjut, jika di suatu tempat di alamat terdapat nomor, maka, sedikit mengubahnya atau menghapusnya, kami juga dapat memeriksa alamat tersebut:
putin.fsb@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
poc***@***cloud.info
putin.fsb1@mailfence.com
o setel ulang kata sandi Anda, sebuah email dikirimkan ke:
joo***@***email.com
putin.fsb3@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
bud***@***email.com
putin.fsb4@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
bep***@***itnow.com
Dengan demikian, kami masih dapat berharap untuk menerima surat dari alamat email ini.
Dan di sini, bagaimanapun, layanan temp-mail dot org digunakan untuk mendaftar dengan mailfence dot com
Akibatnya, dua layanan email berbeda digunakan di delapan alamat email.
Tambahan: surat-surat baru juga datang dari mail server gratis mail dot bg.
jekson.lo1@mailfence.com
o setel ulang kata sandi Anda, sebuah email dikirimkan ke:
pet***@***mail.bg
Data dari Mosigra:
habr.com/en/company/mosigra/blog/439036laki.kak@mailfence.com
Untuk mengatur ulang kata sandi Anda, email dikirim ke:
ale***@***mail.uk
Bagaimana para korban dipilih untuk serangan itu, dilihat dari milis, dapat dilihat bahwa alamat-alamat itu disalin dari situs web lembaga-lembaga negara atau "didorong" secara manual, karena data ini tersedia untuk umum.
Kisaran penerima simultan dalam email (2-6-10) kecil sehingga server mail tidak membatasi distribusi dan email tidak termasuk dalam folder Spam.
Kutipan dari header layanan:Diterima: dari wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
(Sertifikat klien tidak ada)
Return-Path: putin.fsb3@mailfence.com
domain mailfence.com menunjuk 212.3.242.68 sebagai pengirim yang diizinkan,
rule = [ip4: 212.3.242.64/26]) smtp.mail=putin.fsb3@mailfence.com; dkim = lulus
DKIM-Tanda Tangan: v = 1; a = rsa-sha256; c = santai / sederhana; d = mailfence.com;
Prioritas X: 3
Balas-Ke: Putin FSB <putin.fsb3@mailfence.com>
Dari: Putin FSB <putin.fsb3@mailfence.com>
X-Mailer: Email ContactOffice
X-ContactOffice-Account: com: 188677102
Diterima: dari mxfront13g.mail.yandex.net ([127.0.0.1])
oleh mxfront13g.mail.yandex.net dengan LMTP id a6sJli0I
untuk <info@mosigra.ru>; Sel, 5 Feb 2019 11:00:14 +0300
Diterima: dari wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
oleh mxfront13g.mail.yandex.net (nwsmtp / Yandex) dengan ESMTPS id jttuF4mQRo-0DAa1MBL;
Sel, 05 Feb 2019 11:00:13 +300
(menggunakan TLSv1.2 dengan cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bit))
(Sertifikat klien tidak ada)
Return-Path: laki.kak@mailfence.com
X-Yandex-Depan: mxfront13g.mail.yandex.net
X-Yandex-TimeMark: 1549353613
Otentikasi-Hasil: mxfront13g.mail.yandex.net; spf = pass (mxfront13g.mail.yandex.net: domain mailfence.com menunjuk 212.3.242.68 sebagai pengirim yang diizinkan, rule = [ip4: 212.3.242.64/26]) smtp.mail=laki.kak@mailfence.com; dkim = lulus header.i=@mailfence.com
X-Yandex-Spam: 2
X-Yandex-Fwd: MzM4MDAwNDcyNDYzOTM2Mzg1OSwyMTg3Njc1NDQ5ODIwMzIwNzMz
Diterima: dari ichabod.co-bxl (ichabod.co-bxl [10.2.0.36])
oleh wilbur.contactoffice.com (Postfix) dengan ESMTP id 16350329D;
Sel, 5 Feb 2019 09:00:13 +100 (CET)
DKIM-Tanda Tangan: v = 1; a = rsa-sha256; c = santai / sederhana; d = mailfence.com;
s = 20160819-nLV10XS2; t = 1549353613;
bh = gADFkQslj8dDCkx + Y9OhJNmeT7fosViIkpUDPPk1UO8 =;
h = Tanggal: Ke: Subjek: Balas-Ke: Dari: Dari;
b = Th6eWs74xYE35Y5pouZD / 9vbA / oJZ6jyrtzWrMs3XilthYjL3DnwVm1SiysHGHr4J
6ROHYI / HMAnLOJfv + JsKC574UzsmjU1yhikwYLakMPTWKiqcR6knC4mXkfWFm / fXHU
LPod1MeMeNlD1rqEXnkr8wJk4GX / s6DzCUVxC5qzcv6ChEwa5DJOvIg0mxMxP9UfMr
LaPBQIGOiELGYfFOWi8XwGW1BDFfKXCgE0vxYYo8lqgXuXN720BHTv + CksccUdo44v
KyDZEQYqM7J3JhjL8GCiaWxfLBbEkLqYCHnRUEGyKbC2pqT23c2TaafXXW7g5raN63
WyVocjjQbTDpA ==
Tanggal: Sel, 5 Feb 2019 09:00:10 +100 (CET)
Pesan-ID: <790975597.619629.1549353610731@ichabod.co-bxl>
MIME-Versi: 1.0
Jenis-Konten: teks / polos; charset = utf-8
Content-Transfer-Encoding: base64
Kepada: info@torrogrill.ru, kapitoly_adm@cosmik.ru, kashirskaya.enkatc@enka.com,
6112158@re-reserved.ru, info@mosigra.ru, info@toy.ru,
filion@minisolife.ru, 6412027@re-reserved.ru, info@modi.ru,
office@melonfashion.ru
Subjek: =? Utf-8? B? 0L7RgtCy0LXRgiDQvdCwINC30LDQv9GA0L7RgQ ==? =
Prioritas X: 3
Balas-Ke: laki kak <laki.kak@mailfence.com>
Dari: laki kak <laki.kak@mailfence.com>
X-Mailer: Email ContactOffice
X-ContactOffice-Account: com: 190697286
X-Yandex-Maju: c4503a689c840ee5c1704413e6045827
Rekomendasi:Jika memungkinkan, administrator sistem lembaga harus memeriksa email mereka lebih sering, membuat filter untuk surat-surat dari "mailfence dot com" ke folder terpisah dan segera melaporkannya, sesuai dengan deskripsi pekerjaan mereka, menyimpan header layanan dan semua data untuk analisis lebih lanjut.
Taktik:Jadi pertanyaannya adalah - mengapa ada begitu banyak alamat email yang digunakan dalam buletin?
Jawabannya sederhana - kelemahan utama layanan yang digunakan adalah monetisasi layanan dan kemampuan untuk mendaftar melalui kotak surat satu kali (layanan surat satu kali).
1. Jadi, kemungkinan besar, semua akun yang digunakan untuk pengiriman sekarang berada pada paket gratis, yang hanya mencakup email 500 MB.
Jika kotak ini "dilempar" dengan pesan dengan lampiran dan penuh, maka Anda harus membersihkannya terlebih dahulu untuk melakukan pengiriman lebih lanjut. Paket berbayar sudah pembayaran untuk layanan dan tambahan penemuan data perbankan mereka.
Jadi, Anda dapat membantu dengan mengirimkan surat sebanyak mungkin ke alamat di bawah ini.
putin.fsb@mailfence.com
putin.fsb1@mailfence.com
putin.fsb2@mailfence.com
putin.fsb3@mailfence.com
putin.fsb4@mailfence.com
just.bro@mailfence.com
kor.bol@mailfence.com
kiano.lok@mailfence.com
jekson.lo1@mailfence.com
laki.kak@mailfence.com
2. Mencegat manajemen kotak surat dengan
mengatur ulang kata sandi dan memilih
login melalui layanan surat satu kali .
Secara teoritis, dimungkinkan untuk mengakses kotak surat yang tercantum dalam paragraf 1 jika Anda dapat melakukan sejumlah besar tindakan:
- pilih login dan domain yang diperlukan dalam temp-mail dot org
- mengirim perintah setel ulang kata sandi ke alamat mailfence dot com
- dapatkan surat pengaturan ulang kata sandi di temp-mail dot org
- masuk ke mailfence dot dot com
Data untuk pemilihan (di mana * adalah satu atau lebih karakter (kemungkinan besar 1-4 huruf Latin) di nama pengguna):
Situasi yang sulit:reset kata sandi - putin.fsb1@mailfence.com
layanan surat satu kali - joo*@321-email.com
layanan surat satu kali - joo*@braun4email.com
layanan surat satu kali - joo*@utooemail.com
setel ulang kata sandi - putin.fsb3@mailfence.com
layanan surat satu kali - bud*@321-email.com
layanan surat satu kali - bud*@braun4email.com
layanan surat satu kali - bud*@utooemail.com
Hanya ada satu domain untuk diperiksa:reset kata sandi - putin.fsb2@mailfence.com
layanan surat satu kali - kul*@utoo.email
setel ulang kata sandi - putin.fsb4@mailfence.com
layanan surat satu kali - bep*@4senditnow.com
setel ulang kata sandi - just.bro@mailfence.com
layanan surat satu kali - bbl*@heximail.com
3. Atau, dengan menyortir (dengan mengklik tombol "hapus" di layanan) dari
login reguler yang ditawarkan (panjang 4-8 karakter), temukan dari
login baru yang
ditawarkan yang dimulai pada
kul / bep / bbl / bud / joo .
Poin 3 dapat diimplementasikan menggunakan metode perangkat lunak.
Jika ada yang tertarik dan dapat menemukan akses ke setidaknya satu kotak surat dengan penghitungan besar data dengan login di layanan surat sekali pakai dan dapat (memblokir) menghentikan pengiriman surat darinya, itu akan luar biasa.
Kami tidak akan berkutat pada analisis linguistik dan gaya dari isi huruf, meskipun, ditambah dengan kesalahan ejaan dan beberapa suku kata konsonan dalam teks, ada sesuatu untuk dipikirkan. Namun, ada kemungkinan bahwa dialektika ini diperkenalkan ke dalam teks khusus untuk kompromi.
Artikel ini terkait dengan topik analitis, saya meminta Anda untuk mengikuti aturan sumber daya di komentar dan tidak melampaui kerangka yang diterima secara umum