Uwaga! Znana grupa hakerów atakuje skrzynki mailowe Polaków. Sprawdź, jak się chronić

Z informacji opublikowanych przez CERT Polska wynika, że - według Google oraz giganta cyberbezpieczeństwa Mandiant - dobrze znana ze swojej działalności przestępczej w Polsce, grupa UNC1151/Ghostwriter, powiązana prawdopodobnie z białoruskim rządem oraz tamtejszymi służbami wywiadowczymi, nie zmniejsza swojej aktywności w naszym kraju.

Wszystko - jak informuje Ministerstwo Spraw Zagranicznych - ma związek z agresją Rosji na Ukrainę.

"Jeden z najdonośniejszych w skutkach z dotychczasowych ataków, przeprowadzony 24 lutego 2022 na godzinę przed agresją zbrojną, miał też bezpośredni, negatywny wpływ na część państw europejskich. Atak ten został potępiony przez Unię Europejską, a także szereg państw, w tym przez Polskę oraz m.in. naszych sojuszników z NATO: USA, Wielką Brytanię i Kanadę" - przypomina MSZ.

"W ostatnim czasie zaobserwowano serię cyber ataków typu DDoS (powodujących niedostępność usług) przeciwko wielu państwom Unii Europejskiej oraz naszym partnerom. Za przeprowadzenie tych ataków odpowiedzialność wzięli na siebie prorosyjscy hakerzy, którzy w ten sposób nie tylko wspierają wysiłki militarne Rosji, lecz także uderzają w państwa, które w najszerszym zakresie udzielają pomocy broniącej się Ukrainie - w tym w Polskę" - dodaje ministerstwo w swoim komunikacie.

Ataki na skrzynki mailowe. Przeważa phishing

Najczęściej stosowaną przez hakerów metodą ataku ma być jednak phishing, czyli wysyłanie maili, które mają na celu wyłudzenie danych do logowania do skrzynek pocztowych. Przejęte skrzynki są następnie przeszukiwane z zamiarem uzyskania dostępu do wrażliwych dokumentów oraz wykorzystywane do przejmowania powiązanych kont w mediach społecznościowych i rozpowszechniania dezinformacji.

Maile phishingowe są najczęściej wysyłane ze skrzynek pocztowych utworzonych na portalach, z których korzystają potencjalne ofiary ataków. Poniżej przedstawiamy przykładowe adresy wykorzystywane do wysyłki wiadomości.

"Przesyłane wiadomości podszywają się pod administratorów danego serwisu. Ich treść nakłania użytkownika do podjęcia natychmiastowego działania, którego brak może rzekomo doprowadzić do utraty dostępu do skrzynki, a nawet jej skasowania. Co ciekawe, wiadomości początkowo zawierały liczne błędy językowe, ale z biegiem czasu były one coraz lepiej przygotowane" - informuje CERT Polska.

Poniżej prezentujemy najczęstsze motywy oraz przykłady faktycznych maili wysyłanych przez grupę UNC1151. Na czerwono zaznaczono linki, których kliknięcie przenosi użytkownika na stronę wyłudzającą dane logowania.

Przykładowa wiadomość wycelowana w użytkowników poczty WP:

Przykładowa wiadomość wycelowana w użytkowników poczty Interia:

Przykładowa wiadomość wycelowana w użytkowników poczty Onet:

Lista wytworzonych domen, których używają hakerzy

W większości przypadków link zawarty w mailu miał kierować na stronę phishingową. Tylko w ciągu ostatniego roku - jak czytamy - miało powstać blisko 100 fałszywych domen stworzonych stricte pod Polaków.

"Początkowo były wykorzystywane głównie domeny o rozszerzeniach .site, .website i .online, potem obserwowaliśmy wzrost domen z rozszerzeniem .space, a obecnie najczęściej wykorzystywanym TLD jest .top. Domeny są tworzone w taki sposób, aby pasowały do treści wiadomości. Często w ramach jednej domeny jest kilka subdomen z phishingami na różnych dostawców poczty" - informuje CERT Polska.

"Każdy rozesłany link zawiera unikalny parametr, dzięki któremu atakujący są w stanie śledzić skuteczność kampanii dla każdej z ofiar pojedynczo - od otwarcia maila poprzez osadzone obrazki, przez kliknięcie w link, do podania danych" - dodaje CERT Polska.

Wykorzystanie przejętych stron

Jak podają eksperci, od czerwca 2021 roku do stycznia 2022 roku grupa Ghostwriter wykorzystywała przejęte polskie strony internetowe na których umieszczano przekierowania do phishingu.

W mailach był podawany adres przejętej strony, często z długoletnią reputacją, zamiast nowo założonej domeny przez atakujących. "Mogło to pomóc w ominięciu filtrów antyspamowych" - informuje CERT Polska.

Strona była identyczna, jak oryginalna, ale po chociażby zaakceptowaniu komunikatu o plikach cookies ofiara była już przekierowywana do innej witryny wyłudzającej dane.

Przykład strony z takim przekierowaniem pokazujemy poniżej.

Technika "przeglądarka w przeglądarce"

Z kolei od marca 2022 r. grupa zaczęła stosować technikę Browser in the Browser.

"Początkowo była ona wykorzystywana głównie w atakach ukierunkowanych na obywateli Ukrainy, ale obecnie obserwujemy ją także w Polsce. Technika ta może być wyjątkowo niebezpieczna i łatwa do przeoczenia. Polega ona na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno to, będąc elementem strony, jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego okna od faktycznego nowego okna aplikacji" - podkreśla CERT Polska.

Poniżej prezentujemy jedną z ostatnich kampanii tego typu skierowaną do użytkowników skrzynek na Onecie:

W kolejnym kroku po kliknięciu "Dalej" ofiara była proszona o podanie hasła. "Podzielenie procesu na dwa etapy jest celowym działaniem mającym uśpić czujność i zwiększyć zaangażowanie ofiary" - ostrzegają eksperci.

Ataki phishingowe. Jak się przed nimi chronić? Poniżej przedstawiamy najważniejsze zasady:

• Nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej
• Nie używaj prywatnych komputerów i telefonów do spraw służbowych
• Nie używaj służbowych komputerów i telefonów do spraw prywatnych
• (w szczególności do czytania prywatnej poczty elektronicznej), nie udostępniaj ich członkom rodziny
• Logując się na konto zawsze sprawdź czy domena danego portalu jest prawidłowa.
• Domena to nazwa zawierająca się między https://, a pierwszym kolejnym znakiem /
• Ignoruj wszystkie inne prośby o podanie swojego hasła, nawet jeżeli komunikat wygląda oficjalnie, wymaga natychmiastowej reakcji i grozi deaktywacją konta
• Wszystkie podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom w swojej organizacji
• O wszystkie podejrzane wiadomości na prywatnej skrzynce możesz zapytać CERT Polska
• Stosuj długie hasła (powyżej 14 znaków)
• Unikaj haseł, które łatwo powiązać z publicznymi informacjami na temat Twojej osoby
• Hasło zmieniamy wtedy, gdy mamy podejrzenie, że mogła poznać je inna osoba. Nie ma potrzeby cyklicznej zmiany hasła
• Nie używaj tego samego hasła więcej niż raz (w szczególności do konta email, banku i innych wrażliwych kont)
• Dla ułatwienia korzystaj z menedżerów haseł. Te wbudowane w przeglądarkę czy telefon są bezpieczne i proste w użyciu
• Zweryfikuj wszystkie dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych
• Jeżeli podejrzewasz, że ktoś mógł włamać się na twoje konto, zmień hasło, sprawdź dostępną w profilu historię logowania i zakończ wszystkie aktywne sesje
• Nie zaniedbuj aktualizacji systemu operacyjnego i programów na używanym komputerze
• Posiadaj aktualny program antywirusowy
• VPN nie chroni przed atakami phishingowymi i złośliwym oprogramowaniem!
• Do wrażliwej prywatnej komunikacji używaj komunikatorów szyfrowanych end-to-end, np. Signala
• Używaj opcji automatycznego kasowania wiadomości po upływie określonego czasu - nie da się ukraść czegoś, czego już nie ma

jp/cert.pl