Powrót na stronę główną

Zmasowany atak na polskich użytkowników Gmaila. Obeszli nawet dodatkowe zabezpieczenie na takie okazje

Od kilku miesięcy polscy użytkownicy Gmaila są celem ataków phishingowych. Nowy sposób oszustwa jest wyjątkowo wyrafinowany. I nie chodzi tylko o przykrywkę - choć również o nią - ale też o obejście stworzonego na takie sytuacje uwierzytelniania dwuskładnikowego.
Logo Gmail
Fot. Algi Febri Sugita / Shutterstock

Od marca trwają ataki phishingowe na użytkowników poczty Gmail - donosi CERT Polska, zespół do reagowania na incydenty cyberbezpieczeństwa. Ataki nasilają się w środku tygodnia. Odpowiada za nie białoruska grupa UNC1151/Ghostwriter. 

Phishing to rodzaj cyberataku, w którym przestępca podszywa się pod zaufaną instytucję (np. bank, urząd, firmę kurierską), aby nakłonić użytkownika do kliknięcia złośliwego linku i wyłudzenia danych osobowych, haseł lub pieniędzy. Tym razem oszuści podszywają się pod samych administratorów Gmaila.

Zobacz wideo Łukasz Nowatkowski: Smartfona można używać albo wygodnie, albo bezpiecznie

Oszuści wyłudzają dane Polaków przez Gmail

"Zazwyczaj wiadomości są wysyłane ze specjalnie założonych kont w Gmail. Sporadycznie obserwujemy wykorzystanie w tym celu przejętych skrzynek pocztowych - wówczas atakujący zmieniają wyświetlaną nazwę nadawcy. Wiadomości są w języku polskim, bez rażących błędów językowych i zazwyczaj informują o wykryciu podejrzanej aktywności na koncie, nieuprawnionym logowaniu lub naruszeniu regulaminu usług i nakłaniają do weryfikacji problemu pod groźbą blokady lub nieodwracalnego usunięcia konta. Do wiadomości załączony jest link, który zazwyczaj bezpośrednio prowadzi do spreparowanej strony imitującej panel logowania do poczty Gmail" - czytamy w raporcie CERT.  

Oszuści często ponawiają ataki na jedno konto. W ciągu dwóch dni potrafią wysłać kilka sfałszowanych wiadomości, co nakłada na ofiary dodatkową presję. Wiadomości bowiem dotyczą problemów z kontem. Przykładowe tytuły to:

  • Krytyczny alert,
  • Wykryto próbę logowania z nowego urządzenia,
  • Alert bezpieczeństwa,
  • Podejrzana aktywność,
  • Możemy zablokować konto,
  • Ważna weryfikacja dostępu. 

Przykładowe wiadomości zawierają informacje na temat problemów z bezpieczeństwem konta i podejrzanymi próbami logowania na nie. 

Obeszli nawet dodatkowe zabezpieczenia

Zabezpieczeniem na takie sytuacje ma być logowanie dwuskładnikowe, czyli takie, które trzeba potwierdzić na innym koncie. Jak się okazuje, oszuści z UNC1151/Ghostwriter opracowali jednak metodę, dzięki której są w stanie wyłudzić również drugi składnik uwierzytelniania. 

"Gdy ofiara poda dane uwierzytelniające, atakujący automatycznie podejmują próbę logowania się na jej konto. W momencie wykrycia, że wymagane jest podanie dodatkowego kodu uwierzytelniającego, fałszywa strona wyświetla stosowny formularz, prosząc o jego przekazanie. Mechanizm ten pozwala na wyłudzenie zarówno kodów przesyłanych na numer telefonu, jak i generowanych w aplikacji typu Google Authenticator" - opisują mechanizm specjaliści CERT. 

Dziękujemy za przeczytanie artykułu!

Więcej o:
Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji