Site do FBI é hackeado e envia milhares de e-mails falsos

 Ferramentas de navegador integradas usadas para enviar e-mails do site do FBI

No último fim de semana, alguém conseguiu enviar milhares de e-mails falsos de um servidor de e-mail real do FBI avisando sobre um ataque cibernético - e eles parecem ter feito isso sem precisar hackear nada.

Em vez disso, o meliante afirmou em uma conversa com o pesquisador de segurança independente Brian Krebs , bastou alterar legitimamente alguns itens no código-fonte da página da web  onde você poderia se inscrever no Portal Empresarial de Cumprimento da Lei do FBI (LEEP) serviço informativo. O FBI atribui este incidente a uma "configuração incorreta do software".

Não há nada que você precise fazer para evitar essa mensagem falsa, pois o FBI tirou a página de inscrição do LEEP off-line enquanto corrige o problema. Mas o incidente mostra como um site mal configurado pode permitir que qualquer pessoa com um conhecimento básico de funções da web crie um susto online convincente.

A ameaça assustadora está vindo de dentro do servidor

"Nosso monitoramento de inteligência indica a exfiltração de vários de seus clusters virtualizados em um sofisticado ataque em cadeia", dizia o aviso falso enviado de um servidor de e-mail do FBI, que parece assustador, mas na verdade é apenas um monte de chavões de segurança cibernética unidos sem sentido. 

"Tentamos bloquear os nós de trânsito usados ​​por este ator de ameaça persistente avançado, no entanto, há uma grande chance de que ele modifique seu ataque com tecnologias de fluxo rápido, que ele usa como proxy [sic] vários aceleradores globais."

A mensagem, enviada legitimamente do endereço de e-mail [email protected] e com o assunto "Urgente: Ator ameaçador em sistemas", saiu em duas ondas na noite de 12 de novembro e na madrugada de 13 de novembro. a agência de rastreamento de spam Spamhaus disse a Bleeping Computer, acrescentando que pelo menos 100.000 caixas de correio receberam o e-mail.

"O FBI está ciente de uma configuração incorreta de software que permitiu temporariamente que um ator usasse o Law Enforcement Enterprise Portal (LEEP) para enviar e-mails falsos" , postou o bureau no domingo (14 de novembro) em seu site regular. 

"Embora o e-mail ilegítimo fosse originado de um servidor operado pelo FBI, esse servidor era dedicado a enviar notificações para LEEP e não fazia parte do serviço de e-mail corporativo do FBI. Nenhum ator foi capaz de acessar ou comprometer quaisquer dados ou PII [informações de identificação pessoal] em a rede do FBI. "

A mensagem também tentou difamar o conhecido pesquisador de segurança Vinny Troia, alegando que ele estava por trás dos ataques falsos. Troia entrou em confrontos online com cibercriminosos, que por sua vez afirmam que ele não é mais ético do que eles. Não sabemos o suficiente sobre os detalhes para formar uma opinião sobre essas acusações.

Enquanto as mensagens eram enviadas, alguém que se autodenominava "Pompompurin" contatou Krebs e reivindicou o crédito pelos assustadores e-mails de spam. Eles disseram a Krebs que tudo foi possível devido a um processo de registro incrivelmente idiota embutido na página de inscrição do LEEP.

"É uma coisa horrível de se ver em qualquer site", Krebs cita Pompompurin como lhe dizendo. "Já vi isso algumas vezes antes, mas nunca em um site do governo, muito menos em um administrado pelo FBI."

Como o 'hack' de e-mail parece ter funcionado

Como muitos serviços online fazem durante o processo de inscrição, o LEEP envia uma mensagem de e-mail de teste para o endereço de e-mail com o qual você se registrou, incluindo um código secreto. 

Isso é para confirmar que você realmente está se inscrevendo no serviço e não apenas um garoto travesso inscrevendo você para receber e-mails indesejados. O código secreto é algo que você dá à operadora de um número de telefone do FBI para o qual você liga para finalizar o processo de inscrição.

Até agora tudo bem. Aqui está o que parece ser a parte idiota: de acordo com Pompompurin, a página de inscrição do LEEP gera a mensagem de e-mail de confirmação e o código secreto NA SUA MÁQUINA, usando seu navegador. 

Seu navegador então usa o comando POST para enviar as informações da mensagem, junto com todos os detalhes pessoais que você acabou de preencher, de volta ao site do FBI. O servidor da web passa os detalhes da mensagem de e-mail de confirmação para o servidor de e-mail do FBI, que por sua vez envia a mensagem para o seu endereço de e-mail. 

Mas, disse Pompompurin, você pode ver o código-fonte da página de inscrição do LEEP (Control + U no Chrome), incluindo a mensagem de e-mail que seu navegador gerou e os comandos POST que seu navegador usa para enviar a mensagem ao servidor do FBI. 

Você pode então usar as próprias ferramentas do navegador (Control-Shift-I no Chrome) para alterar o conteúdo da mensagem de e-mail, ou até mesmo alterar quem recebe a mensagem, antes que ela seja enviada para o servidor de e-mail do FBI.

Isso ocorre porque, quando você está acessando uma página da web, não está visualizando um arquivo em um servidor distante. Em vez disso, você está olhando para um arquivo que o servidor remoto enviou para sua máquina, que colocou o arquivo no cache do navegador. O navegador abre o arquivo no cache do navegador e apresenta seu conteúdo para você.

Como o arquivo já está em sua máquina, você pode alterá-lo e visualizar os resultados de suas alterações em seu navegador. Mas as alterações que você faz normalmente não devem ser enviadas de volta ao servidor remoto que lhe enviou o arquivo original em primeiro lugar. Infelizmente, a maneira como a página de inscrição do LEEP foi estruturada permite que você faça exatamente isso.

"Basicamente, quando você solicitou o código de confirmação, [ele] foi gerado no lado do cliente e, em seguida, enviado a você [seu endereço de e-mail] por meio de uma solicitação POST", disse Pompompurin a Krebs. "Esta solicitação POST inclui os parâmetros para o assunto do e-mail e o conteúdo do corpo."

Propaganda

Isso parece complicado, mas não é, e não é um hack. Não houve quebra de senha ou alteração de software envolvida. Pompompurin fez exatamente o que a página de inscrição do FBI no LEEP aparentemente foi projetada para fazer. 

É que quem projetou o sistema nunca parou para pensar que alguém poderia dar uma olhada no código-fonte da página e usar ferramentas de navegador integradas para editar o conteúdo e os destinatários da mensagem.

“Os hackers não  invadiram  o servidor - eles  enganaram  o servidor”, escreveu o especialista em segurança Rob Graham em uma postagem de blog sobre esse incidente em 14 de novembro. “Eles [isto é, Pompompurin] não invadiram o servidor. o servidor ainda está seguro. Os hackers acabaram de fazer solicitações de criação de conta com dados personalizados. "

Pompompurin usou um script do lado do cliente para automatizar o envio de emails para aqueles milhares de destinatários, embora não esteja claro se eles coletaram os endereços de email ou de alguma forma acessaram um banco de dados de todos que se inscreveram para emails LEEP.

"Eu poderia ter 1000% usado isso para enviar e-mails com aparência mais legítima, enganar as empresas para que entreguem dados, etc.", disse Pompompurin a Krebs.

Agora, quando você clica no site do LEEP para solicitar uma conta, recebe uma mensagem de aviso de que "houve um problema ao processar sua solicitação" e recebe um número de telefone para ligar.