Przez lata celem grupy hakerskiej UNC1151 były przede wszystkim konta w polskich serwisach pocztowych. Teraz cyberprzestępcy zmienili taktykę i coraz częściej koncentrują się na użytkownikach Gmaila. Według ekspertów CERT Polska kampania prowadzona jest na dużą skalę, a stosowane przez napastników metody stają się coraz bardziej zaawansowane.
CERT Polska: hakerzy potrafią ominąć weryfikację dwuetapową
Największe obawy budzi fakt, że przestępcy nauczyli się skutecznie wyłudzać kody uwierzytelniania dwuskładnikowego. Dotyczy to zarówno kodów przesyłanych SMS-em, jak i tych generowanych przez aplikacje uwierzytelniające.
Oznacza to, że samo włączenie dodatkowego zabezpieczenia nie zawsze wystarczy, jeśli użytkownik sam poda kod na spreparowanej stronie internetowej. Zdaniem ekspertów właśnie ten element sprawia, że najnowsza kampania jest szczególnie niebezpieczna.
Uwaga, to możesz być ty
Analitycy wskazują, że celem ataków są przede wszystkim osoby pełniące ważne funkcje publiczne lub posiadające dostęp do cennych informacji. Na celowniku znajdują się politycy, urzędnicy, dziennikarze, naukowcy, działacze społeczni oraz funkcjonariusze służb mundurowych.
Jednocześnie CERT Polska podkreśla, że nie wszystkie ataki są precyzyjnie ukierunkowane. Cyberprzestępcy często próbują odgadnąć adresy e-mail swoich ofiar, dlatego niebezpieczne wiadomości mogą trafiać również do przypadkowych osób o podobnych imionach i nazwiskach. Po przejęciu skrzynki napastnicy szukają dokumentów, list kontaktowych oraz danych umożliwiających przejęcie kolejnych kont, w tym profili w mediach społecznościowych.
Tak wygląda wiadomość, która ma przejąć konto Gmail
Atak rozpoczyna się od wiadomości przypominającej oficjalną korespondencję Google. W mailu pojawiają się informacje o rzekomym naruszeniu zasad, podejrzanym logowaniu lub zagrożeniu dla konta. Adresat jest nakłaniany do szybkiego działania pod groźbą blokady lub usunięcia skrzynki. Po kliknięciu w link trafia na stronę łudząco podobną do prawdziwego panelu logowania Google.
Wpisanie loginu, hasła i kodu weryfikacyjnego sprawia, że dane trafiają bezpośrednio do przestępców. Dodatkową presję wywierają kolejne wiadomości wysyłane w krótkich odstępach czasu, które mają przekonać ofiarę, że sprawa jest pilna.
Kreatywność hakerów nie zna granic
Eksperci zwracają uwagę, że grupa UNC1151 stale rozwija swoje narzędzia. Fałszywe strony logowania ukrywane są nie tylko na nowych domenach, ale czasem również na przejętych witrynach należących do polskich instytucji i firm. Dzięki temu oszustwo może przez długi czas pozostać niewykryte. CERT Polska apeluje o szczególną ostrożność, dokładne sprawdzanie adresów stron internetowych i zgłaszanie wszelkich podejrzanych wiadomości oraz witryn.