Cyberatak na Polaków. Można stracić dostęp do e‑maila i Facebooka
CERT Polska ostrzega o fałszywych postach na Facebooku i stronach internetowych, których użytkownicy proszeni są o potwierdzenie swojej tożsamości. Pretekst jest chwytliwy - dostęp do materiału wymagającego weryfikacji wieku. Niestety to procedura, która prowadzi do wyłudzenia danych logowania, nie tylko do Facebooka, ale także poczty e-mail.
Teoretycznie jest to dobrze znany atak, na który uważni czytelnicy dobrychprogramów powinni być wyczuleni. W tym przypadku jednak machinalne przepisanie swoich danych logowania do spreparowanego formularza może prowadzić do szeregu konsekwencji, których użytkownik najpewniej nie będzie w stanie przewidzieć. Problemem jest rozszerzenie zainteresowania cyberprzestępców o dane logowania do znanych skrzynek pocztowych, w tym m.in. Gmaila czy WP Poczty.
Dotychczas atakujący specjalizowali się bowiem głównie w wyłudzaniu w ten sposób danych logowania do serwisów społecznościowych. Użytkownik, który trafiał na fałszywy komunikat o konieczności weryfikacji wieku, wpisywał swój login i hasło, które trafiały wprost na komputery atakujących. Jeśli nie miał włączonej weryfikacji dwuetapowej, co jest dziś podstawą bezpiecznego logowania w sieci, jego konto do Facebooka było przejmowane przez oszusta. Ten wykorzystywał je dalej do innych ataków - stosując m.in. popularne oszustwo "na Blika".
Zainteresowanie oszustów kwestią skrzynek e-mail to nowy wątek i tu pojawiają się dodatkowe "schody". Administratorzy poczty mogą bowiem stosować zabezpieczenia, które pomagają rozpoznać podejrzane logowania i wymuszać restartowanie haseł. Niestety praktyka pokazuje, że użytkownicy zaniedbują ustawienia swoich skrzynek e-mail w tym zakresie. Często jako element weryfikacji do formularza wprowadzony jest nieaktualny numer lub alternatywny adres e-mail, do którego nie mają już dostępu.
Dalsza część artykułu pod materiałem wideo
To problem, który generuje przeróżne konsekwencje. Użytkownicy, którzy nie potrafią ustanowić nowych haseł do swoich skrzynek przez nieaktualne dane kontaktowe, w praktyce nie mogą dostać się do swojej poczty. Często decydują się więc szukać pomocy na infolinii, a skala problemu jest tak duża, że trudno o obsłużenie każdego klienta w rozsądnym czasie. Administratorzy WP Poczty otrzymują w ostatnim czasie setki takich połączeń, a nie zapominajmy, że na celowniku są użytkownicy różnych skrzynek.
Od czego się zaczyna?
Jak zwykle w przypadku tego rodzaju ataków problem zaczyna się od dobrze przygotowanego, fałszywego materiału dostępnego w sieci. Najpopularniejsza forma to spreparowany post w mediach społecznościowych. Jak podaje CERT Polska, oszuści zachęcają do obejrzenia materiału (najczęściej kontrowersyjnego), jako pretekst podając konieczność weryfikacji wieku. Ten etap nie ma związku z rzeczywistością - wyświetlone "okno logowania" to fałszywy formularz, który wprost przesyła dane na ręce atakujących.
Atakujący wchodzą na skrzynki użytkowników, jakby dobrze znali hasła do tych kont (przyczynami mogą być wycieki lub fakt, że konta były już wcześniej przejęte). Przejęcie dostępu do skrzynki pocztowej oznacza możliwość przejęcia dostępu do tych wszystkich elementów internetu, z których użytkownicy tak ochoczo korzystają. Tak dzieje się i w tym przypadku, przejmowane skrzynki pocztowe to dopiero pierwszy etap ataku, w kolejnych pojawiają się przejęcia portali społecznościowych (przede wszystkim Facebooka i Instagramu). Konta przejmowane w serwisach społecznościowych służą do wyłudzeń pieniędzy od znajomych ofiary. Wyłudzenia te odbywają się za pomocą prośby o przelew metodą "na Blika". Im więcej znajomych ma ofiara, tym większe prawdopodobieństwo powodzenia ataku. Ostatni etap polega na wysyłaniu wiadomości inforumującej ofiarę o dostępie do jej skrzynki pocztowej i szantaż polegający na żądaniu okupu.
Inna forma ataku to fałszywa strona internetowa. Użytkownicy najczęściej mogą poznać taką próbę wyłudzenia po samym adresie www. Rzadko kiedy trudzą się bowiem, by zarejestrować domeny, które wizualnie przypominają adresy znanych stron internetowych. Na przykładzie podanym przez CERT Polska, strona udająca witrynę serwisu WP Wiadomości została zarejestrowana w domenie wiadomosci24wp[.]eu - to fałszywy adres, a po trafieniu na taką witrynę najlepiej od razu się wycofać i zgłosić podejrzenie do CERT Polska - służy do tego formularz na stronie do obsługi incydentów.
Najlepiej w ogóle nie klikać w linki do stron, z których chcemy skorzystać i wyszukać stronę internetową, jaką chcieliśmy odwiedzić - to minimalizuje szansę, że znajdziemy się na fałszywej stronie. Jeżeli już skorzystamy z odnośników, warto zwrócić uwagę, czy strona wygląda tak samo jak zawsze, nie uwzględniając oczywiście możliwej aktualizacji wyglądu. Prezentacja graficzna strony to tylko najbardziej pozorny wyznacznik tego, czy dana strona jest prawdziwa, ale w przypadku nieschludnych stron z "rozjechanymi" formularzami, pozwala na szybkie stwierdzenie, że strona jest fałszywa. Oprócz aspektów wizualnych strony, trzeba sprawdzić jej adres URL i należy to robić za każdym razem, gdy coś nam wyda się podejrzane.
Korzystając z portali społecznościowych, możemy być narażeni na dezinformację oraz natknąć się na strony usiłujące się podszyć pod znane podmioty, osoby czy organizacje. Na fanpage'u Wirtualnej Polski na Facebooku tuż przy nazwie strony widoczne jest charakterystyczne oznaczenie Zweryfikowanego Konta w formie okrągłego piktogramu. Oznacza to, że strona została dodatkowo sprawdzona przez Facebooka i świadczy o jej wiarygodności jako reprezentującej dany podmiot, organizację lub osobę. Dobrze jest zwracać na te oznaczenia uwagę. Dodatkowo na wiarygodność wpływa liczba obserwujących osób - jeśli spotykamy stronę, którą obserwuje mała liczba użytkowników, a podaje się za fanpage dużej organizacji, powinno to wzbudzić nasze podejrzenia.
Jak zadbać o bezpieczeństwo?
Na co dzień podobnych przypadków można stosunkowo łatwo uniknąć. Kluczowe jest przede wszystkim stosowanie podstawowych zasad bezpieczeństwa, które powinny towarzyszyć każdemu internaucie. Pamiętajmy, aby przede wszystkim:
- nie klikać machinalnie linków w mediach społecznościowych, zwłaszcza gdy obiecywana jest wówczas możliwość obejrzenia kontrowersyjnego lub nadzwyczajnie ciekawego materiału - zazwyczaj można w ten sposób paść ofiarą phishingu i nieświadomie przekazać swoje dane logowania oszustom,
- aktywować uwierzytelnianie dwuetapowe we wszystkich serwisach, gdzie tylko to możliwe - w przypadku przejęcia loginu i hasła przez atakującego, pozostanie zabezpieczenie pod postacią drugiego składnika (może to być na przykład jednorazowe hasło z SMS-a), dzięki czemu oszust nie zaloguje się na konto,
- nie stosować takich samych loginów i haseł do różnych serwisów - to częsty błąd, przez który w przypadku wycieku haseł na przykład po ataku na sklep internetowy i bazę klientów, oszust wchodzi w posiadanie danych, które pozwolą mu zalogować się nie tylko do tego sklepu w imieniu ofiary, ale także do szeregu innych usług, z których korzysta (bo stosuje tam te same dane uwierzytelniające).
Poza tym warto pamiętać o bieżącym aktualizowaniu oprogramowania w komputerze i telefonie oraz śledzeniu komunikatów bezpieczeństwa. Nie zapominajmy, że wciąż najpowszechniejszą metodą atakowania losowych odbiorców jest droga SMS-owa. Oszuści chętnie wykorzystują m.in. wątek niedostarczonych paczek, zachęcając do podawania swoich danych logowania pod pretekstem wznowienia dostawy czy weryfikacji adresu.
Niezmiennie głównym problemem wszystkich tego rodzaju ataków jest zbyt duża łatwowierność przyszłych ofiar. Zalecamy podchodzić do wszystkich próśb o podanie danych z dużym dystansem, z góry zakładając, że może to być próba wyłudzenia.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
