Nowe zagrożenia i oszustwa internetowe – podsumowanie miesiąca października 2023

Gorący w masę przeróżnych wrażeń październik przeszedł właśnie do historii. Mamy za sobą zaskakujące zwroty akcji, szalejącą pogodę od słońca i pięknej złotej jesieni po deszcz i nocne przymrozki. A do tego kolejne sieciowe zawirowania i niesłabnąca działalność cyberprzestępców. Czym zaskakiwali w ciągu ostatnich tygodni? Przed Tobą mały przegląd oszustw i zagrożeń z poprzedniego miesiąca. 

#1 Fałszywe reklamy Polskich Linii Lotniczych LOT

Ostrzeżenia CSIRT NASK wskazują na coraz bardziej wyrafinowane metody działania oszustów, którzy podszywają się pod znane marki. Tym razem padło na Polskie Linie Lotnicze LOT, których wizerunek został wykorzystany do wyłudzenia cennych informacji od użytkowników. 

Fałszywe reklamy na Facebooku stanowią szczególnie palący problem – oszuści nie tylko wykorzystują wizerunek zaufanych firm, ale także przekierowują nieświadomych użytkowników na fałszywe strony, gdzie podszywają się pod ankiety czy formularze płatności. Co gorsza, nawet po zgłoszeniu, te fałszywe treści pozostają przez długi czas nie zablokowane, stanowiąc stałe zagrożenie dla kolejnych osób. 

Nie tylko media społecznościowe są miejscem, gdzie hakerzy wykorzystują podobne oszustwa – także w wynikach wyszukiwania w Google pojawiają się sponsorowane linki, które często prowadzą do spreparowanych stron. Brak skutecznej kontroli nad tymi mechanizmami sprawia, że osoby nieostrożne w internecie mogą łatwo paść ofiarą, pobierając zainfekowane oprogramowanie lub ujawniając swoje dane na fałszywych stronach. Uważajmy więc, gdzie klikamy i jakie informacje udostępniamy online, by nie stać się  łatwym celem dla coraz bardziej sprytnych oszustów internetowych.

#2 Oszuści podszywają się pod Moje ING: ostrzeżenie przed fałszywymi SMS-ami

Ostrzeżenie płynie z Komisji Nadzoru Finansowego – oszuści kolejny raz wykorzystują podstępną pułapkę. Tym razem ich celem byli użytkownicy aplikacji Moje ING. Jak działa ta groźna kampania phishingowa? Cyberprzestępcy rozsyłają fałszywe SMS-y, alarmując ofiary o rzekomym wygaśnięciu dostępu do aplikacji bankowej. W treści wiadomości znajduje się link, który prowadzi na fałszywą stronę internetową, gdzie oszuści próbują przechwycić Twoje poufne dane logowania, numer PESEL oraz informacje o kartach płatniczych.

Przesłanie jest klarowne: nie klikaj w żadne podejrzane linki, a otrzymane SMS-y najlepiej od razu usuń. Phishing, czyli podstępne podszywanie się pod znane instytucje, jest techniką, której oszuści używają, by wyłudzić cenne informacje. Mogą to być fałszywe wiadomości e-mailowe czy właśnie takie jak w powyższym ataku – SMS-y. Zawsze zanim wykonasz jakikolwiek krok w stronę logowania za pośrednictwem linku, upewnij się, że Twoje dane są bezpieczne – i strona na którą wchodzisz, na pewno jest tą, na której powinieneś się znaleźć.

#3 Złośliwe reklamy w Google, czyli pułapka dla poszukujących oprogramowania

Szczególną uwagę powinieneś zwrócić na złośliwe reklamy oprogramowania, które podszywają się pod popularne programy i stanowią pułapki dla niczego nieświadomych użytkowników. W tej nowej technice ataku, internauta szukający oprogramowania, takiego jak Notepad++ czy konwertery plików PDF, wpisując hasła w Google, jest narażony na fałszywe reklamy. 

Jak wygląda atak?

Po kliknięciu w reklamę, użytkownicy są poddawani surowej filtracji, która eliminuje boty i niechciane adresy IP, pozostawiając tylko tych, którzy mogą być potencjalnymi ofiarami. Jeśli użytkownik jest uznany za interesującego – z punktu widzenia oszustów – zostaje przekierowany na fałszywą stronę internetową. To precyzyjne podejście pozwala przestępcom internetowym dokładnie wybierać swoje ofiary. Ci, którzy przejdą przez kontrolę, zostają przekierowani np. na prawdziwą stronę Notepad++, ale każdy z nich otrzymuje unikalny identyfikator. 

Atak kończy się, gdy ładunek HTA ustanawia połączenie z zdalną domeną na niestandardowym porcie. Takie zagranie umożliwia dalsze infekowanie urządzenia nieświadomej ofiary kolejnymi porcjami złośliwego oprogramowania. 

Co więcej, cyberprzestępcy nadużywają techniki zwanej Punycode. To nic innego jak wykorzystanie podobnych nazw domen, aby podszyć się pod legalne strony (to sposób kodowania znaków Unicode za pomocą liter, cyfr i myślników). Takie zawiłe działanie ma na celu namówienie ofiar do instalacji złośliwego oprogramowania. Morał, jaki płynie z tego oszustwa jest jeden – należy być niezwykle ostrożnym podczas przeglądania internetu, niezależnie od tego z jak bardzo popularnej wyszukiwarki się korzysta. Wszystkie są narażone na podobne działania i w takim przypadku przed oszustami może nas ustrzec tylko własna czujność.

#4 Hakerzy atakują Casio – prywatne dane klientów w rękach cyberprzestępców

Pod koniec października japoński producent popularnych i znanych od lat zegarków Casio, padł ofiarą bezlitosnego ataku hakerów. Firma poinformowała o włamaniu do serwerów obsługujących ich edukacyjną aplikację internetową – ClassPad. W wyniku tego ataku cyberprzestępcy zdobyli dostęp do bazy danych zawierającej informacje o niemal 150 tysiącach klientów z blisko 150 krajów na całym świecie (z czego poza Japonią mowa o 35049 pozycjach należących do klientów ze 148 krajów).

Zgubne skutki tego włamania obejmują poufne dane, takie jak imiona i nazwiska klientów, adresy e-mail, kraj/region zamieszkania, historię zakupów oraz szczegóły korzystania z aplikacji, włącznie z prowadzonymi dziennikami i pseudonimami. Szczęśliwie, atakujący nie zdobyli dostępu do samej aplikacji ClassPad i nie uzyskali żadnych informacji dotyczących kont bankowych czy kart płatniczych użytkowników. Wygląda na to, że włamanie nastąpiło z powodu przypadkowego wyłączenia pewnych ustawień bezpieczeństwa sieci w środowisku programistycznym. To zdarzenie stanowi ostrzeżenie dla wszystkich firm o konieczności podwójnej sprawdzalności w kwestiach cyberbezpieczeństwa. Jak widać na ataki narażony jest każdy. nawet te firmy, które nie zajmują się bezpośrednio technologią czy danymi finansowymi.

#5 Wybory w Polsce na celowniku rosyjskich hakerów

Jak donosi firma specjalizująca się w cyberbezpieczeństwie – Check Point Research – Polska stała się celem zorganizowanego ataku hakerów z rosyjskiej grupy NoName057(16) tuż przed wyborami do Sejmu i Senatu. Hakerzy skoncentrowali się na „stronach internetowych rządowego systemu usług administracji publicznej” związanych z wyborami. Chociaż atak nie wpłynął na wyniki wyborów, mógł zakłócić ich przebieg lub wywołać niepokoje społeczne związane z brakiem dostępu do informacji. Ostatecznie udało się odeprzeć działania hakerów, a „zaatakowane strony odnotowały jedynie okresowe problemy z utrzymaniem działania”.

Atak typu DDoS był wymierzony m.in. w oddziały delegatur Krajowego Biura Wyborczego, portal eWybory.eu podający wyniki sondaży, rządowy serwis Państwowej Komisji Wyborczej (pkw.gov.pl) oraz platformę ePUAP (Elektroniczna Platforma Usług Administracji Publicznej). Przed wyborami eksperci ds. cyberbezpieczeństwa ostrzegali przed możliwością próby destabilizacji rządowych systemów w dniu głosowania, zwracając uwagę na słabą gotowość organów zarządzających wyborami do obrony przed cyberatakami. Faktem jest, że wiele osób 15 października zgłaszało problemy z działaniem aplikacji mObywatel, jednak wg oficjalnych informacji nie miało to nic wspólnego z atakiem, a jedynie z nadmiernym obciążeniem serwerów. 

Wojciech Głażewski, country manager firmy Check Point Software, podkreślał, że instytucje publiczne, internetowe strony rządowe, portale partii politycznych i media relacjonujące kampanie były głównymi celami takich ataków już od dłuższego czasu. Świadczy to o realnym zagrożeniu ze strony grup hakerskich powiązanych z Rosją, które celowo ingerują w instytucje zaufania publicznego w naszym regionie.

Do zapamiętania

Warto pamiętać o coraz bardziej wyrafinowanych metodach działania oszustów, którzy podszywają się pod znane marki, takie jak Polskie Linie Lotnicze LOT czy ING. Fałszywe reklamy na Facebooku czy w Google stanowią szczególnie palący problem, przekierowując użytkowników na doskonale spreparowane strony, gdzie wyłudzają cenne informacje. W przypadku jakichkolwiek podejrzeń zawsze warto sprawdzić bezpieczeństwo strony, zanim podamy na niej jakiekolwiek dane.

Trzeba też wiedzieć, że nawet popularne firmy nie zawsze są dostatecznie chronione przed atakami hakerów. Przykładem jest atak na Casio, gdzie cyberprzestępcy zdobyli dostęp do bazy danych klientów. To wydarzenie stanowi swego rodzaju ostrzeżenie dla innych firm i przypomnienie o konieczności dbania o cyberbezpieczeństwo.

Wreszcie, wybory w Polsce stały się celem rosyjskich hakerów, którzy skoncentrowali się na stronach rządowego systemu usług administracji publicznej związanych z wyborami. Choć atak nie wpłynął na wyniki wyborów, mógł zakłócić przebieg procesu wyborczego lub wywołać niepokoje społeczne. To pokazuje, jak ważne jest zabezpieczanie systemów przed cyberatakami, zwłaszcza w tak kluczowych momentach dla demokracji.

Podstawowym przesłaniem października jest ostrożność i dbanie o bezpieczeństwo podczas korzystania z internetu. Unikanie podejrzanych reklam, sprawdzanie bezpieczeństwa stron oraz regularne aktualizacje i stosowanie oprogramowania antywirusowego są kluczowe, aby chronić się przed coraz bardziej zaawansowanymi zagrożeniami ze strony cyberprzestępców.