Reklama

Cyberbezpieczeństwo

Uwaga, trwa niebezpieczna kampania. Znana grupa hakerów atakuje skrzynki Polaków

fot. Pixabay
fot. Pixabay

Dobrze znana ze swojej działalności przestępczej w Polsce, grupa UNC1151/Ghostwriter od ponad roku atakuje skrzynki pocztowe Polaków – informuje CERT Polska. Trwa kampania, która wycelowana jest w konta użytkowników WP, Interii, O2, Onetu oraz Gmaila (Google). Jakie są jej konsekwencje?

Reklama

Podczas konferencji prasowej, na której byliśmy obecni, minister ds. cyfryzacji Janusz Cieszyński poinformował, że namierzono kampanię cyberprzestępców, która polegała na podszywaniu się pod pocztę elektroniczną znanego dostawcy – Onetu.

Reklama

Dodał, że istnieje „prawdopodobieństwo ataku ze Wschodu”, a sprawą zajmuje się już CERT Polska. Kampania miała być wymierzona w osoby, co do których „zwiększone jest ryzyko, że przetwarzają i mają dostęp do wrażliwych informacji”. Nie chciał jednak określić czy chodzi o polityków, dziennikarzy, czy o inne osoby ze sfery publicznej.

Czytaj też

Z informacji opublikowanych przez CERT Polska wynika, że – według Google oraz giganta cyberbezpieczeństwa Mandiant - dobrze znana ze swojej działalności przestępczej w Polsce, grupa UNC1151/Ghostwriter (to ona ma stać za tzw. aferą mailową w Polsce, czyli za atakiem i w rezultacie wyciekiem ze skrzynek pocztowych polskiego rządu) powiązana prawdopodobnie z rządem białoruskim oraz tamtejszymi służbami wywiadowczymi nadal jest w naszym kraju aktywna.

Reklama

Według CERT Polska jej aktywność nie zmniejsza się, a co więcej: ciągle zmienia techniki ataków. W ostatnim czasie stosuje technikę (Browser in the Browser – ang. przeglądarka w przeglądarce).

Natomiast najczęściej stosowana metoda ataku przez grupę UNC1151 to wysyłanie maili phishingowych, których celem jest wyłudzenie danych do logowania się do skrzynek pocztowych. Tym samym sprawca uzyskuje dostęp do wrażliwych dokumentów, kont w mediach społecznościowych i może rozpowszechniać dane użytkownika oraz szerzyć dezinformację.

Czytaj też

Ataki na skrzynki mailowe Polaków

Celem ataku mieli być użytkownicy poczty Wirtualnej Polski, Onetu, Interii, o2, Gmaila na których skrzynki wysyłane były wiadomości phishingowe.

Trwa niebezpieczna kampania w wykonaniu cyberprzestępców z grupy Ghostwriter.
Trwa niebezpieczna kampania w wykonaniu cyberprzestępców z grupy Ghostwriter.
Autor. cert.pl

Przesyłane wiadomości podszywają się pod administratorów danego serwisu i dotyczyły m.in. rzekomej „obsługi poczty email”, „kontroli bezpieczeństwa”, „biura obsługi klienta”, „Departamentu Bezpieczeństwa”, „Zespołu Poczty” czy „Walidacji Poczty”. W większości ataki miały dotyczyć polskich dostawców poczty mailowej, ale podejmowane były próby ataków także na konta Gmail (Google).

Trwa niebezpieczna kampania w wykonaniu cyberprzestępców z grupy Ghostwriter.
Lista tematów od rzekomych nadawców w kampanii phishingowej
Autor. cert.pl

Treść wiadomości ma skłonić użytkowników do natychmiastowej reakcji, a jej brak ma rzekomo spowodować np. utratę dostępu do skrzynki lub jej skasowanie.

Przykład złośliwej wiadomości za pośrednictwem poczty WP
Przykład złośliwej wiadomości za pośrednictwem poczty WP
Autor. cert.pl
Przykład złośliwej wiadomości za pośrednictwem poczty Interii.
Przykład złośliwej wiadomości za pośrednictwem poczty Interii.
Autor. cert.pl
Przykład złośliwej wiadomości za pośrednictwem poczty Onet
Przykład złośliwej wiadomości za pośrednictwem poczty Onet
Autor. cert.pl

W większości przypadków link zawarty w mailu miał kierować na stronę phishingową – tylko w ciągu ostatniego roku miało powstać blisko 100 fałszywych domen stworzonych stricte pod Polaków.

Początkowo wykorzystywane miały być domeny o rozszerzeniach .site, .website i .online, potem z rozszerzeniem .space, a obecnie najczęściej wykorzystywanym TLD jest .top. Domeny są tworzone tak, by pasowały do treści wiadomości.

Przykład złośliwych domen
Przykład złośliwych domen
Autor. cert.pl

Jak podał CERT Polska, od czerwca 2021 roku do stycznia 2022 roku grupa Ghostwriter wykorzystywała przejęte polskie strony internetowe na których umieszczano przekierowania do phishingu.

W mailach był podawany adres przejętej strony, często dobrze znanej użytkownikom, co miało pomóc w ominięciu filtrów antyspamowych.

Jak podano przykład: komunikat udawał informację o stosowaniu plików cookie, a dopiero po kliknięciu "Przejdź do serwisu" ofiara była kierowana na docelową stronę wyłudzającą dane logowania.

Przykład złośliwej kampanii w Interii
Przykład złośliwej kampanii w Interii
Autor. cert.pl
Przykład złośliwej kampanii w Interii
Przykład złośliwej kampanii w Interii
Autor. cert.pl

Czytaj też

Technika „przeglądarka w przeglądarce”

Natomiast od marca 2022 roku grupa UNC1151 ma stosować technikę Browser in the Browser (przeglądarka w przegląrce), która początkowo była wycelowana w Ukraińców, ale potem dotyczyła także Polaków.

Technika polega na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Jak przestrzega CERT Polska, okno przeglądarki jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego od faktycznego nowego okna aplikacji.

Tak wyglądała przykładowa kampania, skierowana do użytkowników skrzynek na Onecie:

Złośliwa kampania wycelowana w użytkowników poczty Onet
Złośliwa kampania wycelowana w użytkowników poczty Onet
Autor. cert.pl

W kolejnym kroku po kliknięciu "Dalej" ofiara była proszona o podanie hasła. Podzielenie procesu na dwa etapy jest celowym działaniem mającym uśpić czujność i zwiększyć zaangażowanie ofiary.

Kampania phishingowa za pośrednictwem poczty Onet
Kampania phishingowa za pośrednictwem poczty Onet
Autor. cert.pl

Jak chronić się przed phishigniem?

O tym, jak chronić się przed phishingiem pisaliśmy wielokrotnie na naszych łamach. Ponadto, warto pamiętać, że każdy incydent, który dotyczy nas, jako obywateli (i użytkowników internetu) warto zgłosić do CERT Polska pod adresem: incydent.cert.pl.

Tym samym ma się szansę uchronić innych przed złośliwymi kampaniami i przyczynić do szybszego namierzenia rodzaju incydentu i jego sprawców.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze