Olcsó, mégis ipari léptékű eszközök bevetése
Fontos megjegyezni, hogy a mindenkit bosszantó SMS-csalások (smishing) manapság már nem valamiféle high-tech laborból származnak, hanem akár egyszerű ipari dobozokból is eredhetnek. Ezeket a Milesight IoT Co., Ltd. (Kína) által gyártott, robusztus, Internet of Things (IoT) routereket eredetileg közlekedési lámpák, villanyórák vagy más távoli ipari rendszerek távvezérlésére használják. Tartós, könnyen programozható, SIM-kártyás eszközök, amelyek 3G/4G/5G hálózatokon működnek, akár SMS-sel vagy Python-szkripttel is vezérelhetők. Arra azonban kevesen gondoltak, hogy ezek a dobozok – melyek gyakran frissítés nélkül, ipari szekrények mélyén porosodnak – igen vonzó célponttá válnak csalók számára.
Egy váratlan és egyszerű támadási útvonal
Francia biztonsági szakértők 2023 óta észlelték, hogy ipari routereken keresztül illegálisan milliószámra szórnak szét csaló SMS-eket világszerte. Több mint 18 000 ilyen eszköz volt nyilvánosan elérhető az interneten, közülük legalább 572-höz bármilyen külső program szabadon hozzáférhetett. A legtöbb router legalább hároméves firmware-rel futott, tele ismert sebezhetőségekkel. Ezek decentralizált SMS-küldést tesznek lehetővé, megnehezítve az azonosítást és a leállítást. Így a bűnözők hatékony, olcsó infrastruktúrához jutnak, amivel gyakorlatilag bármelyik országot eláraszthatják adathalász üzenetekkel.
Miért lehetnek sebezhetők ezek az eszközök?
Az egyik legsúlyosabb hibát a CVE-2023-43261 okozta: egy hibás beállítás miatt bárki hozzáférhetett a routerek tárhelyén lévő, titkosított jelszavas fájlokhoz. Ráadásul ezekkel együtt a tárolt titkosítási kulcsokat és IV-ket (kezdőértékeket) is exportálták, így egy támadó könnyen megszerezhette a tiszta szöveges jelszót és adminisztrátori jogosultságot. Érdekes módon azonban nem minden feltört routernél működött ez az exploit, sőt, akadt olyan is, amely biztonságosabb firmware-verziót futtatott. Ez arra utal, hogy többféle módszerrel is vissza lehet élni ezekkel az eszközökkel.
Profi csalási technikák, komoly védelemmel
A csalók által üzemeltetett adathalász oldalak JavaScript-kódokat futtatnak, amelyek blokkolják a veszélyes tartalmat, ha az oldal nem mobilkészülékről nyílik meg. Emellett tiltják a jobb kattintást és a fejlesztői eszközök használatát is, hogy megnehezítsék az elemzést. Egyes oldalakon Telegram-botok (például a GroozaBot) naplózták a látogatókat, a bot mögött álló személy pedig több nyelven kommunikált.
Az ipari helyiségek elfeledett dobozai
Mindezt figyelembe véve világos, hogy az a rengeteg, világszerte terjedő, kéretlen SMS csaló üzenet, amitől mindenki fél, sokszor csupán eldugott, elhanyagolt ipari routerekből érkezik: olyan eszközökből, amelyeket legfeljebb egy takarító lát félévente egyszer.
