Tylko w drugiej poł. sierpnia br. ponad 40 proc. internautów, którzy otrzymali e-maile od cyberprzestępców podszywających się pod Pocztę Polską, pobrało na swoje komputery złośliwe oprogramowanie – poinformował w środę w Warszawie Łukasz Siewierski z zespołu CERT Polska.
Zespół CERT Polska działa w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) od 19 lat i monitoruje zagrożenia związane z cyberbezpieczeństwem użytkowników internetu w Polsce. Regularnie przygotowuje także raport będący podsumowaniem zagrożeń w internecie w danym roku.
Okup za odszyfrowanie
Siewierski wspólnie z pozostałymi pracownikami zespołu CERT Polska przeprowadził analizę działań cyberprzestępców, a wyniki zaprezentował w środę na XIX Konferencji na temat bezpieczeństwa teleinformatycznego Secure 2015. Pierwsze informacje o nowym ataku prowadzonym przez cyberprzestępców, w której wykorzystywany był logotyp i nazwa Poczty Polskiej, pojawiły się w mediach w maju br. E-maile informowały o rzekomo nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użytkowników, w zależności od wykorzystywanej przez nich przeglądarki internetowej, do pliku o rozszerzeniu .exe bądź .apk. Następnie komunikat zawarty na stronie internetowej prosił o pobranie pliku w wersji pdf, uruchomienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internauci pobierali na swoje urządzenia złośliwe oprogramowanie o nazwie TorrentLocker, które szyfrowało pliki na dysku użytkownika, a za ich odszyfrowanie żądało okupu.
Tysiące pobrań
- Tylko w drugiej połowie sierpnia z fałszywą stroną połączyło się ponad 15 tysięcy unikalnych adresów IP, z których większość pochodziła z Polski. Z dużym prawdopodobieństwem możemy powiedzieć, że liczba 15 tys. dotyczy poszczególnych użytkowników. Spośród nich, aż 6388 pobrało szkodliwe oprogramowanie – powiedział Siewierski. Oznacza to, że prowadzone ataki miały skuteczność powyżej 41 proc. - Stanowi to niezwykle wysoką liczbę jak na atak tego typu, szczególnie biorąc pod uwagę fakt, że już w maju media szeroko informowały o występowaniu takiego zagrożenia w internecie – wskazał ekspert. Dodał, że w tym przypadku, – co było pewną nowością – atakowani byli zarówno użytkownicy urządzeń stacjonarnych, jak i mobilnych. Siewierski powiedział PAP, że za atakami najprawdopodobniej stoi międzynarodowa grupa przestępcza, która odpowiada za podobne działania przeprowadzone m.in. w Hiszpanii, Wielkiej Brytanii czy Australii. Eksperci z CERT–u roboczo nazwali ją „Grupą Pocztową”.
Wykorzystanie marki
- Nazwa grupy jest pochodną przyjętego przez nią schematu atakowania, który był podobny w wielu innych krajach. W każdym z państw cyberprzestępcy podszywali się pod przedsiębiorstwo świadczące usługi pocztowe, wykorzystując jego logo, i inne charakterystyczne elementy – wyjaśnił ekspert. Wskazał, że o tym, iż ataki wydają się być dokonane przez tę samą grupę świadczy nie tylko sposób działania, lecz także wykorzystanie podobnej infrastruktury sieciowej i podobnego złośliwego oprogramowania. Siewierski dodał, że grupa jest aktywna, co najmniej od 2013 roku i pozostaje odpowiedzialna za przeprowadzenie w wielu państwach kampanii rozprzestrzeniających złośliwe oprogramowanie. Ekspert podkreślił, że przed tego typu atakami można się jednak uchronić. - Wystarczy przed otwarciem załącznika sprawdzić, skąd przyszedł do nas mail, jaki jest adres, czy zamawialiśmy jakąś paczkę czy firma, która przesyła nam w załączniku fakturę świadczy dla nas usługi- wyliczył Siewierski.
Autor: msz/ / Źródło: PAP