Cyberatak na Polaków. Można stracić dostęp do e‑maila i Facebooka
CERT Polska ostrzega o fałszywych postach na Facebooku i stronach internetowych, których użytkownicy proszeni są o potwierdzenie swojej tożsamości. Pretekst jest chwytliwy - dostęp do materiału wymagającego weryfikacji wieku. Niestety to procedura, która prowadzi do wyłudzenia danych logowania, nie tylko do Facebooka, ale także poczty e-mail.
Teoretycznie jest to dobrze znany atak, na który uważni czytelnicy dobrychprogramów powinni być wyczuleni. W tym przypadku jednak machinalne przepisanie swoich danych logowania do spreparowanego formularza może prowadzić do szeregu konsekwencji, których użytkownik najpewniej nie będzie w stanie przewidzieć. Problemem jest rozszerzenie zainteresowania cyberprzestępców o dane logowania do znanych skrzynek pocztowych, w tym m.in. Gmaila czy WP Poczty.
Dotychczas atakujący specjalizowali się bowiem głównie w wyłudzaniu w ten sposób danych logowania do serwisów społecznościowych. Użytkownik, który trafiał na fałszywy komunikat o konieczności weryfikacji wieku, wpisywał swój login i hasło, które trafiały wprost na komputery atakujących. Jeśli nie miał włączonej weryfikacji dwuetapowej, co jest dziś podstawą bezpiecznego logowania w sieci, jego konto do Facebooka było przejmowane przez oszusta. Ten wykorzystywał je dalej do innych ataków - stosując m.in. popularne oszustwo "na Blika".
Zainteresowanie oszustów kwestią skrzynek e-mail to nowy wątek i tu pojawiają się dodatkowe "schody". Administratorzy poczty mogą bowiem stosować zabezpieczenia, które pomagają rozpoznać podejrzane logowania i wymuszać restartowanie haseł. Niestety praktyka pokazuje, że użytkownicy zaniedbują ustawienia swoich skrzynek e-mail w tym zakresie. Często jako element weryfikacji do formularza wprowadzony jest nieaktualny numer lub alternatywny adres e-mail, do którego nie mają już dostępu.
Dalsza część artykułu pod materiałem wideo
To problem, który generuje przeróżne konsekwencje. Użytkownicy, którzy nie potrafią ustanowić nowych haseł do swoich skrzynek przez nieaktualne dane kontaktowe, w praktyce nie mogą dostać się do swojej poczty. Często decydują się więc szukać pomocy na infolinii, a skala problemu jest tak duża, że trudno o obsłużenie każdego klienta w rozsądnym czasie. Administratorzy WP Poczty otrzymują w ostatnim czasie setki takich połączeń, a nie zapominajmy, że na celowniku są użytkownicy różnych skrzynek.
Od czego się zaczyna?
Jak zwykle w przypadku tego rodzaju ataków problem zaczyna się od dobrze przygotowanego, fałszywego materiału dostępnego w sieci. Najpopularniejsza forma to spreparowany post w mediach społecznościowych. Jak podaje CERT Polska, oszuści zachęcają do obejrzenia materiału (najczęściej kontrowersyjnego), jako pretekst podając konieczność weryfikacji wieku. Ten etap nie ma związku z rzeczywistością - wyświetlone "okno logowania" to fałszywy formularz, który wprost przesyła dane na ręce atakujących.
Inna forma ataku to fałszywa strona internetowa. Użytkownicy najczęściej mogą poznać taką próbę wyłudzenia po samym adresie www. Rzadko kiedy trudzą się bowiem, by zarejestrować domeny, które wizualnie przypominają adresy znanych stron internetowych. Na przykładzie podanym przez CERT Polska, strona udająca witrynę serwisu WP Wiadomości została zarejestrowana w domenie wiadomosci24wp[.]eu - to fałszywy adres, a po trafieniu na taką witrynę najlepiej od razu się wycofać i zgłosić podejrzenie do CERT Polska - służy do tego formularz na stronie do obsługi incydentów.
Jak zadbać o bezpieczeństwo?
Na co dzień podobnych przypadków można stosunkowo łatwo uniknąć. Kluczowe jest przede wszystkim stosowanie podstawowych zasad bezpieczeństwa, które powinny towarzyszyć każdemu internaucie. Pamiętajmy, aby przede wszystkim:
- nie klikać machinalnie linków w mediach społecznościowych, zwłaszcza gdy obiecywana jest wówczas możliwość obejrzenia kontrowersyjnego lub nadzwyczajnie ciekawego materiału - zazwyczaj można w ten sposób paść ofiarą phishingu i nieświadomie przekazać swoje dane logowania oszustom,
- aktywować uwierzytelnianie dwuetapowe we wszystkich serwisach, gdzie tylko to możliwe - w przypadku przejęcia loginu i hasła przez atakującego, pozostanie zabezpieczenie pod postacią drugiego składnika (może to być na przykład jednorazowe hasło z SMS-a), dzięki czemu oszust nie zaloguje się na konto,
- nie stosować takich samych loginów i haseł do różnych serwisów - to częsty błąd, przez który w przypadku wycieku haseł na przykład po ataku na sklep internetowy i bazę klientów, oszust wchodzi w posiadanie danych, które pozwolą mu zalogować się nie tylko do tego sklepu w imieniu ofiary, ale także do szeregu innych usług, z których korzysta (bo stosuje tam te same dane uwierzytelniające).
Poza tym warto pamiętać o bieżącym aktualizowaniu oprogramowania w komputerze i telefonie oraz śledzeniu komunikatów bezpieczeństwa. Nie zapominajmy, że wciąż najpowszechniejszą metodą atakowania losowych odbiorców jest droga SMS-owa. Oszuści chętnie wykorzystują m.in. wątek niedostarczonych paczek, zachęcając do podawania swoich danych logowania pod pretekstem wznowienia dostawy czy weryfikacji adresu.
Niezmiennie głównym problemem wszystkich tego rodzaju ataków jest zbyt duża łatwowierność przyszłych ofiar. Zalecamy podchodzić do wszystkich próśb o podanie danych z dużym dystansem, z góry zakładając, że może to być próba wyłudzenia.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl