0ktapus - phishingowa kampania żółtodziobów zdołała wykraść dane blisko 10 tysięcy osób

0ktapus okazał się sprytniejszy, niż można było się spodziewać

Badacze bezpieczeństwa nazywają tę kampanię “0ktapus”. Raport firmy Group-IB wskazuje, że kolektyw zdołał wykraść informacje dotyczące tysięcy osób, ofiarami padło blisko 130 firm, a wśród nich znalazło się Twilio, DoorDash czy Signal. Co prawda, jak niedawno donosił Piotr Kurek, komunikator wykorzystujący szyfrowanie end-to-end wykrył włamanie hakerów do Twilio, serwisu weryfikującego numery telefonów użytkowników. Sprawa dotyczyła 1900 użytkowników, których numery mogły zostać ujawnione jako zarejestrowane na koncie Signal. Atak mógł także doprowadzić do sytuacji, w której atakujący uzyskał dostęp do kodu weryfikacyjnego dla konkretnego numeru.

Signal bardzo szybko zareagował, Twilio niemal momentalnie odcięło hakerom dostęp do danych, a sprawa rozeszła się po kościach i miała nie dotknąć żadnego użytkownika. Takie nastroje przynajmniej panowały jeszcze w pierwszej połowie tego miesiąca.

W jaki sposób wykradano dane?

Phishing w ostatnich miesiącach to jeden z najpopularniejszych sposobów na wykradanie danych. W celu zdobycia informacji cyberprzestępcy podszywają się pod firmy kurierskie, usługi telekomunikacyjne, znajomych, rodzinę czy nawet urzędy administracyjne. Całość w większości przypadków wygląda bardzo prawdopodobnie i chociaż są sposoby na zweryfikowanie autentyczności takiej wiadomości, to mnóstwo ludzi co chwilę staje się ofiarą takich ataków.

W tym przypadku w wiadomości e-mail znajdował się link przekierowujący ofiary na stronę phishingową. Raport Group-IB stwierdza, że pod tym względem hakerzy się postarali. Z perspektywy ofiar całość miała wyglądać bardzo przekonująco i idealnie naśladować standardowe strony do uwierzytelniania danych, gdzie należy podać nazwę użytkownika, hasło i dwuskładnikowy kod uwierzytelniający. Sęk w tym, że w tym wypadku wszystkie te informacje zostawały wysyłane prosto do atakujących.

Czytaj dalej poniżej

Nieudany atak na Signal. Twórcy komunikatora zareagowali natychmiastowo Piotr Kurek

Pół roku i skradzione 2 miliardy dolarów. Hakerzy kochają Web3 Kacper Cembrowski

0ktapus to grupa żółtodziobów

Co jednak najciekawsze, ten sam raport sugeruje, że hakerzy odpowiedzialni za 0ktapus to… amatorzy. Roberto Martinez, starszy analityk ds. analizy zagrożeń w Group-IB, zdradził redakcji TechCrunch, że zestaw phishingowy ​​był źle skonfigurowany, a sposób, w jaki został opracowany, umożliwiał wydobycie skradzionych danych uwierzytelniających do dalszej analizy. Wiele rzeczy było mocno niedopracowanych, a mimo to całe przedsięwzięcie odbiło się sporym echem.

Celem 0ktapusa było 169 unikalnych domen. Dokładne dane sugerują, że kampania rozpoczęła się blisko marca bieżącego roku, a do tej pory udało się ukraść około 9931 danych logowania. Im dłużej to trwa, tym większego pędu nabierają hakerzy - na przestrzeni miesięcy rozwinęli swoje ataki o branże finansów, gier i telekomunikacji. 0ktapus celuje bardzo wysoko - jak wskazuje Group-IB, na liście celów do ataku znajdują się tacy giganci jak Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games i Epic Games (obecność na liście nie oznacza skutecznie wykonanego ataku, lecz mimo wszystko warto uświadomić sobie, na jaką skalę jest to przedsięwzięcie).

Jaka jest motywacja hakerów 0ktapusa?

Wygląda na to, że dane użytkowników nie są wcale głównym celem. Hakerom chodzi przede wszystkim o pieniądze - i właśnie z tego powodu na liście znajduje się także giełda krypto oraz firmy, do których włamanie zapewnia dostęp do ich aktywów.

Group-IB ostrzega jednak, że w najbliższym czasie prawdopodobnie nie będziemy znali właściwej skali ataków - a już okazała się ona większa, niż z początku mogło się wydawać. Niemal pewnym jednak jest, że będzie ona się tylko zwiększać. Z tego względu niesamowicie ważne jest to, aby zawsze weryfikować wszystkie wiadomości e-mail które dostajemy i linki, w które klikamy.

Źródła: 1, 2

Stock Image from Depositphotos