Ukierunkowany atak na polskiego programistę, bitcoinera. Ciekawe!

[Bit-els]

https://zaufanatrzeciastrona.pl/post/ta ... ogramiste/

Może chodzić o kogoś z naszego grona. Nie namawiam do deanonimizacji.
Ale rzecz niezwykle ciekawa.

[ExcaliburPLL]

Mózg mnie rozbolał przy 37 stronie raportu. W pale się nie mieści, że takie cuda są możliwe.

[The Real McCoin]

Jak by nie patrzeć historia stara jak świat:

Witam, jestem domniemanym kimś tam, czy byłby pan tak miły i nie sprawdzając dokładniej mojej tożsamości, pobrał, zainstalował i uruchomił na swoim komputerze oprogramowanie z dostarczonego przeze mnie linku?

[bartek6949]

Ciekawi mnie prawdziwa motywacja. Najbardziej prawdopodobne wydaję mi się, że ktoś chciał dzięki tej osobie pójść dalej, dotrzeć do jakiegoś serwera, widać aplikacja była mocno nastawiona na analizę środowiska ofiary. Tylko koszt takiego ataku... Ktoś szukał czegoś dużego lub miał dobre zlecenie, myślę, że ofiara nie była tu przypadkowa tylko dobrze znana atakującym.

[pm7]

Witam, jestem domniemanym kimś tam, czy byłby pan tak miły i nie sprawdzając dokładniej mojej tożsamości, pobrał, zainstalował i uruchomił na swoim komputerze oprogramowanie z dostarczonego przeze mnie linku?

Czytałeś? Maile pochodziły z systemów uniwersytetów i mieli dobrą historię (szukanie pracownika).

@karek314, firejail jest chyba zbliżonym odpowiednikiem na Linuksie.

[Pieselfan]

Nawet na macOS do przed ostaniej wersji systemu była luka która pozwalała obejść ograniczenia i uzyskać pełen dostęp. Nie słyszałem natomiast żeby na Linuxie były takie wirusy, to byłoby trudniejsze

Jeszcze w październiku ujawniono podatność nazwaną Dirty COW (CVE 2016-5195)

[pm7]

ciekawe czy jest jakieś sensowne rozwiązanie na Windowsa

Kiedyś było Comodo świetne, obecnie są niestety pewne wątpliwości co do skuteczności.

[The Real McCoin]

Czytałeś?

Nadawca wiadomości pisał, że podobno próbował się skontaktować telefonicznie.
Programista mógł sam zadzwonić do uczelni i poprosić o połączenie z nadawcą (oczywiście korzystając z numerów uzyskanych nie z wiadomości od niezaufanego nadawcy).
Jeżeli nie w początkowej fazie korespondencji, to chociaż później, gdy zaczynał nabierać podejrzenia.
W ten sposób dowiedział by się, że tacy ludzie tutaj nie pracują, albo pracują ale nie mają pojęcia o wspomnianym "projekcie".
Już teraz przecież wśród ludzi powoli wyrabia się zwyczaj dzwonienia do firmy i pytania się czy ktoś od nich może chodzić po domach i domagać się czegoś.
Podobno programista miał paranoję.

Czytałeś? Maile pochodziły z systemów uniwersytetów

Mam nadzieję, że sprawdzono coś więcej niż tylko pole "from".

i mieli dobrą historię (szukanie pracownika).

Możesz wyjaśnić co to znaczy?

[pm7]

Mam nadzieję, że sprawdzono coś więcej niż tylko pole "from".

Zrozumiałem, że sprawdził źródło wiadomości, a nie "from", ale rzeczywiście nie było dokładnie powiedziane.

Możesz wyjaśnić co to znaczy?

W porównaniu ze spamem jaki ja na niektóre maile dostaję ("ja chcieć zainwestować 10 milion w twoim kraju, ty móc pomóc?"), mieli dobrą historię - próbę znalezienia programisty do konkretnego projektu.

[The Real McCoin]

Zrozumiałem, że sprawdził źródło wiadomości, a nie "from", ale rzeczywiście nie było dokładnie powiedziane.

Nagłówki "received", DKIM, SPF. No ale jeżeli skrzynki były przejęte to niewiele by to pomogło.

W porównaniu ze spamem jaki ja na niektóre maile dostaję ("ja chcieć zainwestować 10 milion w twoim kraju, ty móc pomóc?"), mieli dobrą historię - próbę znalezienia programisty do konkretnego projektu.

Profilowany phishing, ale paranoik nie powinien ulegać historii. Nie powinien ulegać niczemu co jest zawarte w treści.
Swoją drogą wiedziałeś, że technology chief Bitstampa lubi punkowe festiwale i może warto mu zaoferować darmowe wejściówki?
Od tego zaczął się hack na 18000 BTC w 2015.
O ile dobrze pamiętam to 4 z 6 technology officerów uległo tam "swoim" historiom i otworzyło office'owe dokumenty z makrami.