Ataki na skrzynki e‑mail Polaków - oto, jak mogą wyglądać

Pod koniec stycznia 2023 roku odnotowano wzmożoną aktywność atakujących próbujących autoryzować się do skrzynek pocztowych. Większość incydentów nie odznaczała się dużą skalą, jednakże jeden z nich naprawdę wyglądał bardzo ciekawie i zdecydowanie wyróżniał się na tle innych.

Poczta e-mail
Poczta e-mail
Źródło zdjęć: © Adobe Stock | pixel-shot.com (Leonid Yastremskiy)

Na czerwono na wykresie zaznaczone są konta, na które nie udało się uwierzytelnić podczas ataku. Na fioletowo - największa grupa kont, które wcale nie istnieją w systemie, a próbowano się na nie autoryzować. No i w końcu na żółto - wszystkie pozostałe błędne próby autoryzacji.

Nie jest nowością to, że atakujący podczas prób przełamywania zabezpieczeń wielu kont starają się odwrócić uwagę analityków czy też powodować błędy autoryzacjami do kont, które nie istnieją lub nawet nie mają prawa istnieć, ponieważ nazwa konta zawiera znaki, które nie są podstawowymi znakami tablicy ASCII. Zaskakująca jednak jest skala żądań dostępu do nieistniejących kont w stosunku do kont, które rzeczywiście były celem ataku.

Wykres obrazujący wzrost błędnych prób autoryzacji w dniu ataku
Wykres obrazujący wzrost błędnych prób autoryzacji w dniu ataku© Licencjodawca | Szymon Majcher

Analiza strategii atakujących

Wygląda to na próbę wywołania błędu żądaniami zawierającymi dane o nieznanym kodowaniu lub próbę spowodowania przeciążenia licząc na to, że w momencie, gdy już systemy autoryzacji nie będą w stanie obsłużyć zapytań, zaczną wpuszczać na konta. Trzeci, ale nie mniej prawdopodobny scenariusz zakłada, że atakujący starali na siłę zrobić "coś złego" i tak jeżeli nie udało się przejąć żadnego konta, to chcieli spowodować jeden z najprostszych logicznie ataków, polegający na przeciążeniu usługi - DDoS.

Dalsza część artykułu pod materiałem wideo

Charakterystyka ataku

Największa aktywność w czasie ataku pochodziła z 11 adresów IP wykonujących w czasie niespełna 1,5 godziny od 100 tys. do 400 tys. prób błędnej autoryzacji z jednego adresu IP. Oprócz tych 11 adresów udział w ataku został odnotowany również z wielu innych, mniej aktywnych adresów IP. Były to przede wszystkim adresy IP pochodzące z Wietnamu, Rosji, Korei Południowej, Japonii i Hong Kongu.

Część z nich próbowała już nadmiarowo autoryzować się na konta w systemie, więc mechanizmy ochronne nie pozwoliły na autoryzację z tego adresu IP nawet, gdy atakujący znał poprawne hasło. Część zaś, w wyniku dużej liczby prób, została zidentyfikowana przez mechanizmy ochronne w czasie ataku i od momentu identyfikacji spotykał je ten sam los. Dla wyżej wymienionych państw podczas ataku zauważalny był charakterystyczny wzrost liczby prób autoryzacji względem dni poprzednich.

Porównanie aktywności w dniu poprzedzającym i w dniu ataku, z państw, dla których adresy IP brały udział w ataku
Porównanie aktywności w dniu poprzedzającym i w dniu ataku, z państw, dla których adresy IP brały udział w ataku© Licencjodawca | Szymon Majcher

Na atakowanych kontach nie odnotowano tysięcy lub chociażby setek nieudanych prób uwierzytelnienia. Były to raczej próby sprawdzenia tego samego hasła z kilku pojedynczych adresów IP. Bazując na wiedzy serwisu haveibeenpwned.com, konta te mają bogatą historię wycieków i najprawdopodobniej był to test dostępności kont biorących udział w którymś z niedawnych wycieków danych lub nawet test haseł do kont zebranych z wielu takich wycieków.

Szymon Majcher, współpracownik dobreprogramy.pl

Jesteś świadkiem próby oszustwa?Poinformuj nas o tym zdarzeniu!

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (7)