Η Meta αναφέρει ότι έχει καταχωρηθεί διεύθυνση η οποία είναι παραπλανητική του kranosgr.com με σκοπό να χρησιμοποιηθεί για να “μολύνει” με κατασκοπευτικό λογισμικό συσκευές.
Έρευνα από την ΑΜΥΝΑ
Στον κατάλογο των παραπλανητικών διευθύνσεων που δημοσίευσε η Meta στις 16 Δεκεμβρίου 2021, υπάρχει πέρα των άλλων και η παραπλανητική διεύθυνση για το μπλογκ kranosgr.com.
Το μπλογκ kranosgr.com είναι ένα από τα δημοφιλέστερα στρατιωτικά σάιτ το οποίο επισκέπτονται οι Έλληνες Στρατιωτικοί για την ενημέρωσή τους και ως εκ τούτου είναι προφανές ότι αυτοί είναι ο κύριος στόχος παρακολούθησης.
Εκμεταλλευόμενοι την επισκεψιμότητα του ΚΡΑΝΟΣ, άγνωστοι χρησιμοποιούν την παραπλανητική διεύθυνση kranos[.]gr[.]com για να μολύνουν συσκευές τηλεφώνου, tablet και PC με λογισμικό που δύναται να αναμεταδίδει στον επιτιθέμενο, εικόνα, βίντεο και ήχο σε real-time από την συσκευή του Στρατιωτικού-στόχου.
Όπως αναφέραμε σε παλιότερη ανάρτησή μας, η Meta δημοσίευσε έρευνα στην οποία γινόταν αναφορά απειλών για την “βιομηχανία επιτήρησης προς μίσθωση” (“Surveillance-For-Hire”) που στοχεύει ανθρώπους με σκοπό την συλλογή πληροφοριών από την παραβίαση των συσκευών και των λογαριασμών τους στο διαδίκτυο.
Στο παράρτημα της έρευνας της Meta περιλαμβάνονται τομείς [διευθύνσεις URL και top-level domain (TLD)] οι οποίοι είναι παραπλανητικοί και ομοιάζουν με αυτών γνωστών ειδησεογραφικών και λοιπών σελίδων. Οι εν λόγω τομείς σχετίζονται με την εταιρεία “επιτήρησης προς μίσθωση” Cytrox. Για την Cytrox και την μεθοδολογία που χρησιμοποιούν οι εταιρείες παρακολούθησης διαβάστε περισσότερα εδώ.
Οι 42 τομείς ελληνικού ενδιαφέροντος, είναι:
Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι για την σελίδα Hellas Journal (www.hellasjournal.com) δημιουργήθηκαν 3 παραπλανητικές παραλλαγές του ονόματος και συγκεκριμένα 2 με διαφορετικό TLD από το πραγματικό (.company και .website αντί του .com) και 1 με αντικατάσταση του γράμματος l (el) με το i. Η εν λόγω τακτική χρήσης γνωστού ονόματος σε άλλο TLD ή αλλαγής γραμμάτων χρησιμοποιείται ευρέως για phishing.
Παράδειγμα: Ο ιστότοπος που διαβάζετε αυτή την στιγμή ονομάζεται ΑΜΥΝΑ και έχει ως gTLD το .news Οπότε άλλο το amyna.news και άλλο το amynanews.gr
Για την πληρέστερη ενημέρωση του αναγνώστη αναφέρουμε ότι υπάρχει και η τεχνική Phishing με Unicode Domains.
Σημειώνεται ότι σύμφωνα με την έρευνα του Citizen Lab η Cytrox έλαβε μέτρα για να προσαρμόσει τις επιθέσεις για συγκεκριμένους στόχους μολύνοντας μόνο αυτά τα άτομα με κακόβουλο λογισμικό, κάνοντας ορισμένους τεχνικούς ελέγχους, συμπεριλαμβανομένης της διεύθυνσης IP και του τύπου συσκευής.
Έτσι εάν οι έλεγχοι αποτύχουν, δηλ. όταν κάποιος δεν είναι στόχος το λινκ μπορεί να ανακατευθύνει στις νόμιμες σελίδες ή άλλους ιστότοπους. Την ημέρα που γράφθηκε το άρθρο (16.04.2022) η διεύθυνση kranos[.]gr[.]com αναδρομολογείται -για εμάς- σε κανάλι στο YouTube.
Τονίζεται ότι η έρευνα της Meta και του Citizen Lab εντόπισε πελάτες της Cytrox και στην Ελλάδα.
Μέτρα αποφυγής παραπλάνησης
Ιδιαίτερη προσοχή πρέπει να επιστήσουν οι Στρατιωτικοί όταν δέχονται μηνύματα στο Messenger, Viber κοκ με λινκ που περιέχουν την λέξη kranos στο URL. Η διεύθυνση πρέπει να είναι kranosgr.com/κάτι… και όχι kranos[teleia]gr[teleia]com/κάτι…
Αυτό ισχύει για όλα τα site, ειδησεογραφικά, τραπεζών, υπηρεσιών! Πάντα ελέγχουμε τον τομέα!
Ιδιαίτερη προσοχή απαιτείται επίσης όταν ο αποστολέας είναι άγνωστος. Τονίζεται ότι υπάρχει η δυνατότητα να εμφανίζεται στα SMS γνώριμο όνομα (πχ γνωστού οργανισμού ή ήδη καταχωρημένου στις επαφές ή κάποιο ως αποτέλεσμα έρευνας OSINT). Στις περισσότερες περιπτώσεις ο επιτιθέμενος θα χρησιμοποιήσει φρασεολογία προτροπής, παρακίνησης, στοχεύοντας στην περιέργεια του ανθρώπου, όπως: “Θανάση, δες τί γράφει, σε αφορά!” ή “Ωραία φωτογραφία βγήκες, σειρά!” κοκ. Δείτε ανάλογο μήνυμα “ψαρέματος” “για την “μόλυνση” κινητού τηλεφώνου Έλληνα δημοσιογράφου με το λογισμικό Predator.
Ενδείξεις μόλυνσης – παρακολούθησης της συσκευής
Ενδείξεις ότι μια συσκευή τηλεφώνου έχει μολυνθεί ή παρακολουθείται είναι:
- Ο όγκος δεδομένων ίντερνετ που χρησιμοποιήθηκαν είναι περισσότερος από το σύνηθες.
- Παρατηρείται δυσλειτουργία της συσκευής ή/και συχνά – ξαφνικά “κολλήματα”.
- Ενεργοποιείται η οθόνη από μόνη της ενώ η συσκευή είναι στην αναμονή.
- Η συσκευή επανεκκινεί (restart) από μόνη της.
- Η συσκευή θερμαίνεται όταν δεν χρησιμοποιείται.
- Ακούγονται περίεργοι ήχοι κατά την συνομιλία.
Μάθετε πώς το λειτουργικό Android 12 ειδοποιεί τους χρήστες όταν έχει ενεργοποιηθεί το μικρόφωνο ή η κάμερα.