Polska: Nigdy nie otwieraj tych maili. To hakerzy z UNC1151/Ghostwriter

Eksperci od bezpieczeństwa w sieci ostrzegają przed atakami hakerskimi za pomocą poczty internetowej. Stoi za tym grupa hakerska powiązana z białoruskim reżimem.

Ostrzeżenie wydał CERT, czyli państwowa agencja stojąca na straży bezpieczeństwa w internecie. Specjaliści zauważyli wzmożoną działalność grupy hakerskiej UNC1151/Ghostwriter. Już od ponad roku atakuje skrzynki pocztowe polskich użytkowników sieci. Analizy m.in. Google wykazały, że grupa „z dużym prawdopodobieństwem” jest powiązana z rządem Białorusi.

– Jak wynika z naszych obserwacji, mimo upływu czasu aktywność tej grupy nie zmniejszyła się, a stosowane przez nią techniki podlegają ciągłym zmianom. W ostatnim czasie obserwujemy wykorzystanie przez nią techniki Browser in Browser. Technika ta może być wyjątkowo niebezpieczna i łatwa do przeoczenia – alarmuje CERT.

Ta technika polega na wyświetleniu – po kliknięciu w podesłany link – nowego okna przeglądarki zawierającego fałszywy panel logowania. – Okno to, będąc elementem strony, jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego okna od faktycznego nowego okna aplikacji – ostrzegają specjaliści.

UNC1151 chce w ten sposób wyłudzić dane do logowania do skrzynek pocztowych. Potem takie skrzynki są przejmowane i przeszukiwane. Hakerzy wypatrują w nich ważnych dokumentów. Przejęcie służy też do przejmowania kont w serwisach społecznościowych. To z kolei ma być narzędziem dezinformowania.

Dlaczego UNC1151 jest taka groźna? Bo maile od hakerów przychodzą z adresów, które użytkownicy mogą dobrze znać. Są to np.:

- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

Żeby uśpić czujność ofiary, cel ataku jest dokładnie wybierany. I tak użytkownicy poczty na Onecie otrzymują wiadomości z Onetu, a klienci WP.pl dostają maile w WP.pl.

– Przesyłane wiadomości podszywają się pod administratorów danego serwisu. Ich treść nakłania użytkownika do podjęcia natychmiastowego działania, którego brak może rzekomo doprowadzić do utraty dostępu do skrzynki, a nawet jej skasowania. Co ciekawe, wiadomości początkowo zawierały liczne błędy językowe, ale z biegiem czasu były one coraz lepiej przygotowane. Poniżej prezentujemy najczęstsze motywy oraz przykłady faktycznych maili wysyłanych przez grupę UNC1151. Na czerwono zaznaczono linki, których kliknięcie przenosi użytkownika na stronę wyłudzającą dane logowania – informuje CERT.

Dodatkowym krokiem hakerów jest to, że maile mają atrakcyjne, ważne dla użytkownika tematy. Są to np.:

- blokowanie konta e-mail,
- zawieszenie konta,
- naruszenia konta,
- skargi,
- uwaga,
- krytyczny alert.

13.08.2022 Niedziela.BE // źródło: News4Media // fot. iStock

(ss)