Bezpieczeństwo w sieci

Niebezpieczny atak na Polaków. Jeden błąd cyberprzestępców przekreślił akcję

Jakub Szczęsny
Niebezpieczny atak na Polaków. Jeden błąd cyberprzestępców przekreślił akcję
2

Co trzeba zrobić, aby przeprowadzić udany atak w sieci? Cóż, najpierw trzeba mieć dobry pomysł oraz odpowiednie narzędzia. W tym wypadku zabrakło tylko sprawdzenia, czy wszystko działa jak należy. Jak informuje Niebezpiecznik, przejęto dostępy do konta pocztowego jednego z agentów Ergo Hestia co wykorzystano do zmasowanego ataku phishingowego. Dzięki zabezpieczeniom po stronie infrastruktury pocztowej nikt nie ucierpiał.

Tym razem cyberprzestępcy w nieznany na razie sposób uzyskali dostęp do konta pocztowego jednego z agentów firmy Ergo Hestia. W typowych atakach phishingowych wykorzystuje się do tego celu przejęte skrzynki przypadkowych internautów lub te osadzone na serwerach nazwa.pl. Dzięki temu cyberprzestępcy uzyskali sporą wiarygodność w kontekście wysyłanych wiadomości - skoro te pochodzą od zaufanego nadawcy (co jest widoczne w polu adresu nadawcy), to nie powinny wzbudzać podejrzeć. Zresztą również i sama wiadomość dotycząca rzekomej dyspozycji zwrotu nadwyżki wyglądała całkiem dobrze i ci, którzy mają jakąkolwiek styczność z Ergo Hestią mogli pomyśleć, że sprawa rzeczywiście dotyczy ich samych.

Jak wykazał Niebezpiecznik, wiadomość została rozesłana przez autentyczne serwery Ergo Hestii (skrzynka w domenie ag.ergohestia.pl, za jej pomocą z klientami komunikują się prawdziwi agenci). Cyberprzestępcy podszyli się pod rzeczywiście działającego w firmie agenta, wykorzystali jego skrzynkę oraz w wiadomości wspomnieli o zwrocie nadwyżki. Ponadto, treść obfitowała w załączniki, z czego jeden mógł być potencjalnie niebezpieczny - gdyby tylko nie niedopatrzenie twórców ataku.

Cyberprzestępcy nie sprawdzili, czy systemem pocztowym nie zajmuje się program antywirusowy. Tylko to uratowało niektórych internautów przed złośliwą infekcją

Archiwa .zip stanowiące załączniki wiadomości zawierały w sobie plik .htm, w którym... znajduje się komunikat o wykryciu potencjalnie niebezpiecznej treści, przez co została ona zablokowana. Taka wiadomość jest generowana automatycznie przez wewnętrzne systemy bezpieczeństwa po stronie infrastruktury pocztowej. Cyberprzestępcy mieli wszystko - dostęp do firmowej skrzynki, całkiem nieźle skonstruowane technikalia ataku, lecz zabrakło sprawdzenia, czy załączniki ze złośliwym oprogramowaniem dochodzą do adresatów w niezmienionej formie.

Jak wykazuje Niebezpiecznik, to doskonały dowód na to, że firmy, które posiadają własne infrastruktury pocztowe powinny dbać nie tylko o to, by wiadomości przychodzące były sprawdzane pod kątem złośliwych plików. Równie ważne jest to, aby sprawdzać także wysyłane treści: w tym przypadku wszystko zadziałało tak jak trzeba.

Nie wiadomo ile osób dostało taką wiadomość z serwerów należących do Ergo Hestii, ale istnieją podejrzenia, że narażonych na atak kont było co najmniej kilka tysięcy. Sama korporacja całkiem sprawnie zareagowała na ten incydent i zablokowała dalszą wysyłkę. Co więcej, Ergo Hestia utrzymuje, że był to pierwszy w Polsce przypadek wykorzystania korporacyjnej infrastruktury do masowego rozesłania złośliwego oprogramowania.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu