BiznesINFO.pl Technologie KNF ostrzega przed globalną kampanią phishingową. Na celowniku Polacy
Fot. Mikhail Nilov / Pexels

KNF ostrzega przed globalną kampanią phishingową. Na celowniku Polacy

8 listopada 2023
Autor tekstu: Maciej Olanicki

Działający przy Komisji Nadzoru Finansowego CSIRT opublikował analizę stanowiącą poważne ostrzeżenie przed globalną kampanią wycelowaną w cyberbezpieczeństwo, w które napastnicy poszywają się pod usługi pocztowe i kurierskie. Jednym z celów są internauci z Polski.

Wielka kampania phishingowa

W opublikowanym dziś raporcie KNF opisuje rozbudowaną i zakrojoną na państwa na całym świecie kampanię phishingową, która wykorzystuje ponad 100 unikalnych domen i 162 adresy IP . Ponadto napastnicy mieli wykorzystywać zaawansowane mechanizmy maskowania adresów, co utrudnia atrybucję.

Duże wrażenie robi nie tylko skala kampanii – rozlała się ona w zasadzie na wszystkie kontynenty – ale też poziom jej dopracowania. Napastnicy zadali sobie trud, aby uzyskać orientację w lokalnych rynkach usług pocztowych i kurierskich, a następnie opracowali wierne kopie ich witryn w celu wyłudzenia danych.

Jak atak przebiegał w Polsce?

W Polsce do realizacji celów atakujący wykorzystali wizerunek firmy InPost . W pierwszej kolejności wśród potencjalnych ofiar rozsyłano SMS-y informujące o tym, że rzekoma paczka, którą miał dostarczyć InPost nie może trafić do celu z powodu braku wskazanego adresu. Dane można wprowadzić pod wskazanym w SMS-ie adresem.

Podany w wiadomości adres, zawierający zresztą frazę „inpost”, co może dodatkowo go uwiarygadniać, przekierowuje rzecz jasna nie na stronę firmy kurierskiej, lecz do jej falsyfikatu . Znaleźć tam można formularz, w którym ofiara zostaje proszona o podanie swoich danych osobowych oraz danych karty płatniczej.

Zaawansowane techniki i setki adresów

CSIRT przy KNF zwraca uwagę, że m.in. mechanizmy generowania adresów i struktury katalogów na serwerach stron są dalece randomizowane i zautomatyzowane, co utrudniało analitykom identyfikację. Jako inny element modus operandi należy wskazać rozpoznawanie na podstawie user-agenta przeglądarki, z jakiego urządzenia odwiedzany jest adres . Próba oszustwa była kontynuowana tylko w przypadku wizyt ze smartfonów.

Atakujący wykorzystują także mechanizm maskujący – gdyby do adresu, który rozsyłanego wśród Polaków próbowano by uzyskać dostęp spoza kraju, wówczas zamiast fałszywego formularza InPostu wyświetlona zostałaby informacja o domenie na sprzedaż . Wszystko to stanowi dla napastników ochronę i zmniejsza wykrywalność całego przedsięwzięcia, zwiększając tym samym skuteczność.

Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat