Grupa hakerów poluje na skrzynki mailowe Polaków, podszywają się pod czołowe portale
Hakerzy z grupy UNC1151/Ghostwriter od ponad roku atakują skrzynki pocztowe polskich obywateli - informuje CERT Polska. Podszywają się pod znane domeny poczty internetowej, m.in. WP, Interia czy Onet.
CERT Polska podaje, że w ostatnim czasie hakerzy UNC1151/Ghostwriter, prawdopodobnie powiązani z rządem Białorusi, wykorzystują do cyberataków technikę Browser in the Browser.
"Technika ta zazwyczaj imituje zachowanie strony podczas logowania za pomocą dostawcy tożsamości" - wyjaśnia CERT Polska. Polega ona na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno to, będąc elementem strony, jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego okna od faktycznego nowego okna aplikacji - opisano na stronie CERT Polska.
Jak działają hakerzy UNC1151/Ghostwriter
Grupa UNC1151/Ghostwriter wysyła maile phishingowe, które służą do wyłudzania danych do logowania na maila. Przejęte skrzynki pocztowe hakerzy przeszukują, wychwytując wrażliwe informacje. Zdarza się, że tym sposobem przejmują konta w mediach społecznościowych i rozpowszechniają fake newsy.
Maile phishingowe są najczęściej wysyłane ze skrzynek pocztowych utworzonych na popularnych portalach - WP, Onet, Interia, o2, Gmail - wylicza CERT Polska.
Przykładowe adresy złośliwych domen, fot. cert.pl
Hakerzy wysyłają ofiarom wiadomości, podszywając się pod administratorów serwisów. Ich treść nakłania użytkownika do podjęcia natychmiastowego działania, którego brak może rzekomo doprowadzić do utraty dostępu do skrzynki, a nawet jej skasowania - czytamy na cert.pl.
Przykładowe wzory treści maili od hakerów, fot. cert.pl
Przykładowy maili od hakerów, fot. cert.pl
Jak opisuje CERT, w większości obserwowanych przypadków link zawarty w mailu kierował bezpośrednio na stronę phishingową cyberprzestępców. W ciągu ostatniego roku hakerom UNC1151 udało się założyć prawie 100 takich domen.
W ostatnim czasie obserwujemy ataki grupy UNC1151/Ghostwriter z wykorzystaniem techniki Browser in the Browser. Grupa ta od ponad roku atakuje skrzynki pocztowe polskich obywateli. Więcej w naszym najnowszym artykule: https://t.co/uLmI2v9uLU
— CERT Polska (@CERT_Polska) July 19, 2022
Dołącz do dyskusji: Grupa hakerów poluje na skrzynki mailowe Polaków, podszywają się pod czołowe portale