A napokban Magyarországon is egyre többet találkozhattunk a FluBot kifejezéssel. Hazánkban ugyanis rengetegen kaptak SMS-t arról, hogy megérkezett a csomagjuk, miközben nem is rendeltek semmit. Az üzenetekben adathalász linkeket helyeztek el a csalók, amivel számos honfitársunkat károsították meg.

Mi történt, milyen technológiát jelent a FluBot, és hogyan lehet védekezni ellene? Ezekről írunk alábbi blogbejegyzésünkben.

„Megérkezett a csomagja!”

Talán a kedves olvasó is találkozott a héten ilyen üzenettel. „Megérkezett a csomagja, kövesse nyomon itt” – állt az üzenetben egy link kíséretében. Nem célom dicsérni a próbálkozást, de ez több szempontból is „ügyes” kísérlet volt. Meg kell mondanom, én is majdnem rákattintottam a linkre, mivel a napokban én is rendeltem házhoz terméket.

Ahogy minden bizonnyal sokan mások is így vannak ezzel, különösen a karantén időszakában. Számtalan árucikket rendelünk házhoz, hiszen nincs alkalmunk a boltokban nézelődni, és ott vásárolni. Éppen ezt igyekeztek kihasználni a csalók.

Az SMS elolvasásával még nem tettünk semmi rosszat a telefonunkkal. Sőt, a linkre kattintásból sem volt önmagában probléma, csak azt követően. Ha ugyanis telepítettük a látszólag csomagküldő szolgáltatóktól érkező, felajánlott alkalmazást, az jelentős fejfájást és károkat tudott okozni a számunkra.

Mi az a FluBot malware?

Ezt a fajta adathalász technológiát FluBotnak nevezzük, ami a malware kategóriába tartozik. A FluBot kártevő folyamatosan monitorozza a készüléken futtatott alkalmazásokat. Amennyiben olyan applikáció indítását észleli, amely pénzügyi vagy kriptovalutához kapcsolódik, akcióba lendül.

Ebben az esetben overlay technikát alkalmaz, és az eredeti alkalmazás mellett megnyit egy hozzá hasonlító, adathalász felületet. Ez rögzíti a felhasználó által korábban beírt felhasználónevet és jelszót, mivel képes ezen adatok kinyerésére és továbbítására. Ezt követően pedig továbbítja egy külső vezérlőszerverre.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) közölte, az eddigi ismeretek szerint melyik alkalmazások felhasználóit célozza a kártevő. A listán a következők szerepelnek:
–          MKB Mobilalkalmazás
–          K&H mobilbank
–          Budapest Bank Mobill App
–          OTP SmartBank
–          UniCredit Mobile Application
–          George Magyarország
–          Kripto tőzsdék
–          Online Kriptotárcák

A mostani adathalász tevékenység esetén az Android operációs rendszerű készülékek voltak veszélyben. Az áldozatok, akik megnyitották a felkínált linket, csaló weboldalra kerültek. A megtévesztő honlap utánozta a megszemélyesített cég valódi bejelentkező felületét. Ebben az esetben a legtöbb alkalommal a FedEx globális szállítmányozó vállalat oldalát másolták a csalók.

A káros oldalak alkalmazás telepítésére próbálták rávenni a felhasználókat, ami a fentebb említett, trójai vírust telepíti az eszközünkre. Ez pedig hozzáfér majdnem minden szolgáltatáshoz hozzá, mint például: SMS-, MMS-írás, küldés, Internet, Bluetooth, NFC, telefonkönyv stb.

Hogyan ismerhetjük fel a FluBot megoldásokat?

Az adathalászat korunk egyik leggyakoribb fenyegetése. A felhasználók tudatlanságára és figyelmetlenségére alapoz. Manapság egyre több és több online szolgáltatást használunk, egyre gyakrabban vásárolunk az interneten és egyre több személyes adatot osztunk meg magunkról. Az adathalászok pedig ezen adatok megszerzését tűzték ki célul.

De vajon hogyan ismerhetjük fel, ha ilyen jellegű támadás ér minket? Foglalkozzunk most ezzel a fajtával, az smsishinggel (az SMS + fishing szavakból), az üzenetekben érkező adathalász tevékenységgel.

Ebben az esetben például két tényező volt igazán feltűnő.

Először is: a link. A csalók által küldött link nem valós céget tartalmazott magában. A szokásosnál hosszabb volt, rengeteg számmal és karakterrel. Valamint nem tartalmazta annak a cégnek a nevét, amelyiktől – elvileg – csomagot vártunk volna.

A másik éppen ehhez tartozik. Egy valódi, ilyen jellegű üzenet esetén a feladó aláírta volna a levelet, például ott lenne a végén, hogy „Magyar Posta Zrt.”. Ennek a cégnek a neve pedig szerepelt volna a linkben is, ezzel is elősegítve azt, hogy ne legyen gyanús az üzenet.

Más esetekben előfordul az is, hogy szándékosan rövidített linkeket helyeznek el az üzenetben. A rövidített URL-ek célja kettős. Egyrészt, így nem kell akár több sornyi értelmetlen karaktert látnia a felhasználónak. Másrészt, mivel itt nem lehet a tényleges hivatkozás szövegét elrejteni egy link mögé, a valós weboldal címet is elrejti. Ezt a megoldást a csalók is előszeretettel használják. 

Ha ilyen URL-lel találkozunk, akkor ezen a weboldalon ki tudjuk bontani, és meg tudunk győződni az eredeti hivatkozásról. Fontos tehát, hogy ne kattintsunk a linkre, ha kicsit is gyanús az üzenet! Gyanús lehet az is, ha tört magyarsággal, vagy helytelen karakterekkel érkezik az SMS.

Ha már kattintottunk

Mint fentebb említettük, a linkre kattintás még önmagában nem okoz problémát, csak az ott végzett további tevékenység. Ha az URL megbízhatónak tűnt, még mindig megmenthetjük magunkat, ha megnézzük a landing page-et, azaz azt az oldalt, ahova az URL vezetett.

A legtöbb esetben már az oldal keresősávjában megjelenő URL is árulkodó lehet. Az szinte sohasem a lemásolt oldal címét mutatja meg, azaz ez esetben nem a fedex.com-ra vezet.  Előfordul, hogy az adathalászok a megtámadandó szervezet domain nevéhez hasonló címet regisztrálnak külön és oda helyezik el az adathalász oldalt.

Ez a legmegtévesztőbb, ilyen esetben a webcím nagyban hasonlít az eredetire, de jellemzően a domain név végződés teljesen eltérhet. Rendkívül sok domain végződés elérhető manapság. Akár olyan extrém végződések is mint .menu; ,auto; .footbal; .cafe; illetve megjelentek márkanevek .honda; .philips, és még többszáz eddig nem ismert TLD (Top Level Domain).

Flubot malware

Vannak olyan karakterek, amelyeket kicserélve vagy teljesen ugyanolyan, vagy nagyon hasonló kinézetű, olvasatú webcímet kapunk. Azonban az internet világában már egy karakter eltérése is egy teljesen más weboldalt jelent! Ilyen példák az “o” és “0” kicserélése, az “i” és “j”  a nagy “i – I” és a kicsi “l” (l, mint létra) betű. 

A csalóoldalon is gyanúsak lehetnek a magyartalan tartalmak. Értelmetlen szavak, mondatok, alcímek jellemzik ezeket a website-okat. Az igazi szervezetek ügyelnek rá, hogy helyesen fogalmazzanak, ne legyenek hibák a weboldalukon.

Mi a teendő, ha mégis telepítjük?

Az NKI pontokba szedte, mi a teendő, ha mégis telepítettük ezeket a kártékony alkalmazásokat:

  1. Töltsük le a „FluBot Malware Uninstall” nevű alkalmazást a Google Play Áruházból, majd telepítsük.
  2. Kapcsoljuk ki a wi-fit és a mobil adatkapcsolatot a fertőzött készüléken.
  3. Kövessük a képernyőn megjelenő utasításokat.
  4. A lépéseket követve távolítsuk el a rosszindulatú alkalmazást.
  5. Vonjuk vissza az alapértelmezett indítóválasztát.
  6. Távolítsuk el a „FluBot Malware Uninstall” nevű alkalmazást.

Ha a fentebbi applikáció nem segített, az NKI javaslata alapján érdemes visszaállítani a gyári beállításokat. Ezt megelőzően azonban fontos, hogy biztonsági mentést készítsünk a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.).

A FluBot malware mellett nemrég egy újabb fajta adathalász, csaló applikációról, a fleeceware-ről írtunk. Fontos, hogy nemcsak egyénileg, hanem vállalati szinten is odafigyeljünk adataink védelmére.

A mi adatmentés szolgáltatásunkat a gombra kattintva találja:

Vélemény, hozzászólás?

Rendszergazda vészhelyzeti telefonszám
ElérhetőségekElérhetőségek