Τρίτη 8 Φεβρουαρίου 2011

ΕΠΕΙΓΟΝ ! ΣΥΜΒΟΥΛΗ ΑΠΟ ΤΟ ΣΥΝΗΓΟΡΟ ΤΟΥ ΠΟΛΙΤΗ








Σήμερα έφτασε για το blog μου ένα σχόλιο σχετικά με  μια ανάρτηση που έκανα στις 31 Ιανουαρίου και αφορούσε ένα e-mail που πρωτοκυκλοφόρησε στο διαδίκτυο πριν δύο χρόνια με τίτλο : «ΕΠΕΙΓΟΝ ! ΣΥΜΒΟΥΛΗ ΑΠΟ ΤΟ ΣΥΝΗΓΟΡΟ ΤΟΥ ΠΟΛΙΤΗ» . 
Στο κείμενο ΑΥΤΌ ΠΟΥ ΘΑ ΤΟ ΔΙΑΒΆΣΕΤΕ ΚΑΙ ΠΑΡΑΚΑΤΩ γινόταν αναφορά για ένα επικίνδυνο Trojan (Δούρειο ίππο) που  θα μπορούσε να περάσει στον υπολογιστή σας και να υποκλέψει διάφορα στοιχεία ΑΝ υποκύπτατε στον πειρασμό και επισκεπτόσασταν  ένα προτεινόμενο site το οποίο υποτίθεται ότι ήταν το CNN και μέσω του οποίου θα βλέπατε ένα βίντεο σχετικό με τα γεγονότα στην ΓΑΖΑ το 2009.
Το γεγονός ότι  το κείμενο της προειδοποίησης  έφερε την υπογραφή ενός μέλους του Γραφείου του Συνηγόρου του Πολίτη του προσέδιδε ιδιαίτερη βαρύτητα αλλά παράλληλα όμως το καθιστούσε και ύποπτο σαν spam letter και hoax (αστικός μύθος) μια και είναι σύνηθες φαινόμενο σε τέτοιες περιπτώσεις η χρήση πλαστών στοιχείων. 
Οι λόγοι για τις αμφιβολίες μας ήταν απλοί. 1. Ο Συνήγορος του Πολίτη δεν ασχολείται με θέματα ιών (virus) στο διαδίκτυο και 2. Ο κ. Δημ. Βράζος που φέρεται να  υπογράφει το κείμενο δεν απαντούσε στις επίμονες τηλεφωνικές κλήσεις που του γινόντουσαν.
Έτσι τρία αξιόλογα και σοβαρά (στον κόσμο της μπλογκόσφαιρας) ελληνικά sites, που φέρονται να έχουν ψάξει το θέμα, κατέληξαν χωρίς ενδοιασμό στο ότι πρόκειται για spam letter και hoax (αστικός μύθος) και παρατηρούσαν ότι και το τηλέφωνο, όπως χαρακτηριστικά έγραψε ένα από αυτά, ήταν … black humor.

Την άποψη αυτή για το e-mail υιοθετήσαμε και εμείς στο boraeinai.blogspot.com  με την ανάρτησή μας της 31ης Ιανουαρίου 2011  με τίτλο ΣΥΜΒΟΥΛΗ ΑΠΟ ΤΟΝ ΣΥΝΗΓΟΡΟ ΤΟΥ ΠΟΛΙΤΗ (ΑΣΤΙΚΟΣ ΜΥΘΟΣ – HOAX ??)(http://boraeinai.blogspot.com/2011/01/hoax.html)

Σήμερα όμως μου τέθηκε με σχόλιο αναγνώστη το ερώτημα «Και γιατί να είναι ψεύτικο το τηλέφωνο και να μην έχει αλλάξει ο αριθμός;» και προκειμένου να απαντήσω στον αναγνώστη μου έκανα κάτι που έπρεπε να το είχα κάνει από την αρχή (αν τα ιστολόγια που αναφέρθηκα δεν ήταν αξιόπιστα), απευθύνθηκα στο κέντρο επικοινωνίας με τον πολίτη του γραφείου του Συνήγορου του Πολίτη.

Μια ευγενική δεσποινίς ή κυρία μου απάντησε ότι ο Συνήγορος του Πολίτη όπως αναγράφεται και στην σχετική ιστοσελίδα του ασχολείται με τα ακόλουθα:

«Ο Συνήγορος του Πολίτη ερευνά ατομικές διοικητικές πράξεις ή παραλείψεις ή υλικές ενέργειες οργάνων των δημόσιων υπηρεσιών που παραβιάζουν δικαιώματα ή προσβάλλουν νόμιμα συμφέροντα φυσικών ή νομικών προσώπων. Ερευνά επίσης ενέργειες ή παραλείψεις της δημόσιας διοίκησης και ιδιωτών που παραβιάζουν τα δικαιώματα του παιδιού.

Αποστολή του Συνηγόρου του Πολίτη είναι η διαμεσολάβηση μεταξύ των πολιτών και των δημόσιων υπηρεσιών με σκοπό την προστασία των δικαιωμάτων του πολίτη, την καταπολέμηση της κακοδιοίκησης και την τήρηση της νομιμότητας. Αποστολή του Συνηγόρου του Πολίτη είναι επίσης η προάσπιση και προαγωγή των δικαιωμάτων του παιδιού.» 

Επίσης μου ανέφερε ότι ο Συνήγορος του Πολίτη δεν ασχολείται με θέματα ιών (virus) στο διαδίκτυο και με διαβεβαίωσε ότι ο κ. Δ. Βράζος είναι υπαρκτο πρόσωπο στο Γραφείο και έχει τα τηλέφωνα που αναφέρονται στο e-mail.

Αυτό το τελευταίο με έκανε να αναθεωρήσω την στάση μου γιατί θυμήθηκα παρόμοια ενέργεια προειδοποίησης από εμένα όταν κάποτε ήμουν προίστάμενος μηχανογραφικών συστημάτων. Έτσι αποφάσισα να ψάξω για το κείμενο του e-mail και σε ιστοσελίδες Data Security και Antivirus προγραμμάτων του εξωτερικού.

Από την έρευνα στα :
1.       http://www.darkreading.com/security/attacks-breaches/212701441/index.html (New Trojan Attack Masquerades As CNN News Report On Gaza)
2.       http://www.spyware-techie.com/fake-cnn-news-email-about-israel-gaza-contains-links-to-phishing-site-and-trojan-download/  (Fake CNN News Email about Israel-Gaza Contains Links to Phishing Site and Trojan Download)
3.       http://www.pc1news.com/news/0471/warning-trojan-being-spread-via-fake-gaza-conflict-email-messages.html (Warning! Trojan Being Spread Via Fake Gaza Conflict Email Messages)
4.       http://www.scmagazineuk.com/fake-cnn-gaza-news-report-contains-trojan/article/123756/   (Fake CNN Gaza news report contains Trojan)
5.       http://blog.trendmicro.com/israel-gaza-conflict-spam-leads-to-malware/  (Israel-Gaza Conflict Spam Leads to Malware)
προέκυψαν σοβαρότατα στοιχεία που επιβεβαίωναν το e-mail του κ. Δ. Βράζου.

Υπόψη ότι όλα τα παραπάνω κείμενα γράφτηκαν μεταξύ Οκτωβρίου 2009 και Ιανουαρίου 2010 δηλαδή τουλάχιστον ένα έτος πριν. Αυτό όμως δεν σημαίνει ότι το e-mail έχει κάποια μικρότερη αξία σήμερα. Είναι ΑΛΗΘΙΝΟ και κακώς το θεωρήσαμε σαν Αστικό μύθο (hoax).

Κατά συνέπεια η παρακάτω (έστω και παλιά για τα σημερινά δεδομένα) απειλή είναι υπαρκτή και θα πρέπει να συμμορφωθούμε στις υποδείξεις.

ΕΠΕΙΓΟΝ!
ΣΥΜΒΟΥΛΗ ΑΠΟ ΤΟΝ ΣΥΝΗΓΟΡΟ ΤΟΥ ΠΟΛΙΤΗ
Κυκλοφορεί email που οδηγεί τους χρήστες σε site παρόμοιο με το CNN και στη συνέχεια τους προτρέπει να κάνουν κλικ σε κάποιο link ώστε να δουν  video σχετικό με τις εξελίξεις στη Γάζα.  Όταν οι χρήστες κάνουν κλικ στο video εμφανίζεται νέο παράθυρο που προτρέπει για εγκατάσταση/ενημέρωση του Adobe Flash Player (το πρόγραμμα  που χρησιμοποιείται και για την αναπαραγωγή video στο Youtube). Αν οι χρήστες επιλέξουν εγκατάσταση τότε εγκαθίσταται trojan ικανό να αντλήσει ακόμα και κωδικούς από e-banking και φυσικά και από άλλες online υπηρεσίες και δραστηριότητες που χρησιμοποιείτε (!). 
Διαβάζετε με προσοχή τα email σας και σε καμία περίπτωση μην εξουσιοδοτείτε sites να εγκαθιστούν λογισμικό.Γενικότερα να είστε καχύποπτοι κατά την καθημερινή τόσο πλοήγηση στο Διαδίκτυο όσο και ανάγνωση των email σας.

       Ευχαριστώ.
       -----------------------------------
       Δ.. ΒΡΑΖΟΣ / D..VRAZOS
       ΣΥΝΗΓΟΡΟΣ ΤΟΥ ΠΟΛΙΤΗ
       Τμήμα Μηχανογραφικών Εφαρμογών
       Τηλ.:  210-7289666  210-7289666

Περισσότερα τεχνικά στοιχεία μπορείτε να διαβάσετε παρακάτω :





ΠΛΗΡΟΦΟΡΙΕΣ ΓΙΑ ΤΟΝ ΥΠΟΚΡΥΠΤΟΜΕΝΟ ΚΙΝΔΥΝΟ

Θα σας έλθει μέσω  ψευδούς ηλεκτρονικού ταχυδρομείου μήνυμα που υποστηρίζει ότι είναι από τις ειδήσεις CNN. Το ηλεκτρονικό μήνυμα ισχυρίζεται ότι περιέχει  ειδήσεις για το βομβαρδισμό από το Ισραήλ της Γάζας. Περιέχει επίσης μια σύνδεση με graphic video με το ρεπορτάζ στα αγγλικά των ειδήσεων του Al Jazeera. Το θέμα και το όνομα του αποστολέα ποικίλλουν με κάθε e-mail.


Σχήμα 1. Αποστολέας: «Παγκόσμιες ειδήσεις CNN »


Σχήμα 2. Αποστολέας: «Ειδήσεις μέσων»

Αν λοιπόν το θύμα κάνει klik στη σύνδεση, θα ανοίξει μια πλαστή ιστοσελίδα του CNN:

Σχήμα 3. Αυτή είναι η  αυθεντική - όπως φαντάζει - πλην όμως πλαστή τηλεοπτική σελίδα του CNN

Εάν το θύμα κλικάρει πάνω στο βίντεο το εικονίδιο “click to play” , ένα μήνυμα λάθους ανοίγει επάνω:

Σχήμα 4. Ένα γνωστό τέχνασμα των κυβερνο-εγκληματιών: για να παίξετε το βίντεο, κατεβάστε το σωστό Flash Movie Player

Μόλις κάποιος κάνει λάθος και κλικάρει θα κατέβει στον υπολογιστή του θύματος το κακόβουλο αρχείο Adobe_Player10.exe.


Σχήμα 5. Το αρχείο είναι ένα ορισμένο Adobe_Player10.exe.

Το Adobe_Player10.exe ανιχνεύεται από τη Trend Micro ως TROJ_DLOADR.QK. Μόλις εκτελεστεί το αρχείο το TROJ_DLOADR.QK συνδέει τον υπολογιστή σε ένα άλλο URL, το οποίο ανιχνεύεται ως TROJ_INJECT.ZZ.

TROJ_INJECT.ZZ είναι ένα trojan που υποκλέπτει από τον υπολογιστή πληροφορίες και καταγράφει τις πληκτρολογήσεις και προωθεί ένα sniffer για την ανακτήση κωδικών πρόσβασης από πακέτα δικτύων. Φορτώνει έπειτα τα συγκεντρωμένα στοιχεία σε διάφορο URLs. Ρίχνει επίσης ένα τμήμα rootkit που ανιχνεύεται ως TROJ_ROOTKIT.FX.

Αυτά λοιπόν για την αποκατάσταση της αλήθειας.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου