Trwają ataki na skrzynki pocztowe

CERT Polska informuje o wzmożonych atakach grupy hakerskiej UNC1151/Ghostwriter na skrzynki pocztowe Polaków. Celem ataków jest uzyskanie dostępów do poczty, a następnie do wrażliwych danych, które mogą posłużyć m.in. do przejmowania kont w serwisach społecznościowych.

Szacuje się, że w ciągu ostatniego roku powstało niemal 100 domen dedykowanych pod te konkretne działania. W większości przypadków ataki polegały na przekierowaniu bezpośrednio na strony phishingowe. Na liście fałszywych stron znalazły się m.in. domeny z rozszerzeniami: .site, .website i .online, .space oraz .top. Często w ramach jednej domeny jest kilka subdomen z phishingami na różnych dostawców poczty. Dzięki zawarciu w rozesłanych linkach unikalnych parametrów atakujący są w stanie śledzić efekty ataku dla każdej osoby pojedynczo.

Przestępcy wykorzystują zaufanie Polaków do popularnych serwisów, w których posiadają skrzynki pocztowe. Dla przykładu prezentujemy cele ataków oraz adresy skrzynek, które posłużyły do ataku:

W treści maili oszuści najczęściej nakłaniali do podjęcia natychmiastowych działań w celu uniknięcia utraty dostępu do poczty, a nawet jej usunięcia. Tematem kampanii phishingowych była też konieczność potwierdzenia danych, konieczność weryfikacji tożsamości, potwierdzenia własności skrzynki w obliczu wysyłki spamu czy złamania warunków serwisu.

Grupa hakerska w ostatnich tygodniach nasiliła również częstotliwość ataków typu browser in the browser. Ta metoda ataków jest wyjątkowo niebezpieczna i skuteczna ze względu na łatwość przeoczenia. Polega ona na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno do złudzenia przypomina element odwiedzanej strony, więc ofiara może mieć trudność z odróżnieniem fałszywego okna od faktycznego nowego okna aplikacji.

Na zdjęciu przykład tego typu kampanii skierowanej do użytkowników serwisu Onet.