Uwaga, trwa niebezpieczna kampania. Znana grupa hakerów atakuje skrzynki Polaków

Podczas konferencji prasowej, na której byliśmy obecni, minister ds. cyfryzacji Janusz Cieszyński poinformował, że namierzono kampanię cyberprzestępców, która polegała na podszywaniu się pod pocztę elektroniczną znanego dostawcy – Onetu.

Dodał, że istnieje „prawdopodobieństwo ataku ze Wschodu”, a sprawą zajmuje się już CERT Polska. Kampania miała być wymierzona w osoby, co do których „zwiększone jest ryzyko, że przetwarzają i mają dostęp do wrażliwych informacji”. Nie chciał jednak określić czy chodzi o polityków, dziennikarzy, czy o inne osoby ze sfery publicznej.

Z informacji opublikowanych przez CERT Polska wynika, że – według Google oraz giganta cyberbezpieczeństwa Mandiant - dobrze znana ze swojej działalności przestępczej w Polsce, grupa UNC1151/Ghostwriter (to ona ma stać za tzw. aferą mailową w Polsce, czyli za atakiem i w rezultacie wyciekiem ze skrzynek pocztowych polskiego rządu) powiązana prawdopodobnie z rządem białoruskim oraz tamtejszymi służbami wywiadowczymi nadal jest w naszym kraju aktywna.

Według CERT Polska jej aktywność nie zmniejsza się, a co więcej: ciągle zmienia techniki ataków. W ostatnim czasie stosuje technikę (Browser in the Browser – ang. przeglądarka w przeglądarce).

Natomiast najczęściej stosowana metoda ataku przez grupę UNC1151 to wysyłanie maili phishingowych, których celem jest wyłudzenie danych do logowania się do skrzynek pocztowych. Tym samym sprawca uzyskuje dostęp do wrażliwych dokumentów, kont w mediach społecznościowych i może rozpowszechniać dane użytkownika oraz szerzyć dezinformację.

Ataki na skrzynki mailowe Polaków

Celem ataku mieli być użytkownicy poczty Wirtualnej Polski, Onetu, Interii, o2, Gmaila na których skrzynki wysyłane były wiadomości phishingowe.

Przesyłane wiadomości podszywają się pod administratorów danego serwisu i dotyczyły m.in. rzekomej „obsługi poczty email”, „kontroli bezpieczeństwa”, „biura obsługi klienta”, „Departamentu Bezpieczeństwa”, „Zespołu Poczty” czy „Walidacji Poczty”. W większości ataki miały dotyczyć polskich dostawców poczty mailowej, ale podejmowane były próby ataków także na konta Gmail (Google).

Treść wiadomości ma skłonić użytkowników do natychmiastowej reakcji, a jej brak ma rzekomo spowodować np. utratę dostępu do skrzynki lub jej skasowanie.

W większości przypadków link zawarty w mailu miał kierować na stronę phishingową – tylko w ciągu ostatniego roku miało powstać blisko 100 fałszywych domen stworzonych stricte pod Polaków.

Początkowo wykorzystywane miały być domeny o rozszerzeniach .site, .website i .online, potem z rozszerzeniem .space, a obecnie najczęściej wykorzystywanym TLD jest .top. Domeny są tworzone tak, by pasowały do treści wiadomości.

Jak podał CERT Polska, od czerwca 2021 roku do stycznia 2022 roku grupa Ghostwriter wykorzystywała przejęte polskie strony internetowe na których umieszczano przekierowania do phishingu.

W mailach był podawany adres przejętej strony, często dobrze znanej użytkownikom, co miało pomóc w ominięciu filtrów antyspamowych.

Jak podano przykład: komunikat udawał informację o stosowaniu plików cookie, a dopiero po kliknięciu "Przejdź do serwisu" ofiara była kierowana na docelową stronę wyłudzającą dane logowania.

Technika „przeglądarka w przeglądarce”

Natomiast od marca 2022 roku grupa UNC1151 ma stosować technikę Browser in the Browser (przeglądarka w przegląrce), która początkowo była wycelowana w Ukraińców, ale potem dotyczyła także Polaków.

Technika polega na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Jak przestrzega CERT Polska, okno przeglądarki jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego od faktycznego nowego okna aplikacji.

Tak wyglądała przykładowa kampania, skierowana do użytkowników skrzynek na Onecie:

W kolejnym kroku po kliknięciu "Dalej" ofiara była proszona o podanie hasła. Podzielenie procesu na dwa etapy jest celowym działaniem mającym uśpić czujność i zwiększyć zaangażowanie ofiary.

Jak chronić się przed phishigniem?

O tym, jak chronić się przed phishingiem pisaliśmy wielokrotnie na naszych łamach. Ponadto, warto pamiętać, że każdy incydent, który dotyczy nas, jako obywateli (i użytkowników internetu) warto zgłosić do CERT Polska pod adresem: incydent.cert.pl.

Tym samym ma się szansę uchronić innych przed złośliwymi kampaniami i przyczynić do szybszego namierzenia rodzaju incydentu i jego sprawców.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].