Hakerzy podszywali się pod Pocztę Polską. Połowa internautów zrobiła duży błąd

Tylko w drugiej poł. sierpnia br. ponad 40 proc. internautów, którzy otrzymali e-maile od cyberprzestępców podszywających się pod Pocztę Polską, pobrało na swoje komputery złośliwe oprogramowanie – poinformował Łukasz Siewierski z zespołu CERT Polska.

Zespół CERT Polska działa w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) od 1. lat i monitoruje zagrożenia związane z cyberbezpieczeństwem użytkowników internetu w Polsce. Regularnie przygotowuje także raport będący podsumowaniem zagrożeń w internecie w danym roku.

Siewierski wspólnie z pozostałymi pracownikami zespołu CERT Polska przeprowadził analizę działań cyberprzestępców, a wyniki zaprezentował w środę na XIX Konferencji na temat bezpieczeństwa teleinformatycznego Secure 2015.

Pierwsze informacje o nowym ataku prowadzonym przez cyberprzestępców, w której wykorzystywany był logotyp i nazwa Poczty Polskiej, pojawiły się w mediach w maju br. E-maile informowały o rzekomo nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użytkowników, w zależności od wykorzystywanej przez nich przeglądarki internetowej, do pliku o rozszerzeniu .exe bądź .apk. Następnie komunikat zawarty na stronie internetowej prosił o pobranie pliku w wersji pdf, uruchomienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internauci pobierali na swoje urządzenia złośliwe oprogramowanie o nazwie TorrentLocker, które szyfrowało pliki na dysku użytkownika, a za ich odszyfrowanie żądało okupu.

- Tylko w drugiej połowie sierpnia z fałszywą stroną połączyło się ponad 15 tysięcy unikalnych adresów IP, z których większość pochodziła z Polski. Z dużym prawdopodobieństwem możemy powiedzieć, że liczba 1. tys. dotyczy poszczególnych użytkowników. Spośród nich, aż 6388 pobrało szkodliwe oprogramowanie – powiedział Siewierski.

Oznacza to, że prowadzone ataki miały skuteczność powyżej 41 proc.

- Stanowi to niezwykle wysoką liczbę jak na atak tego typu, szczególnie biorąc pod uwagę fakt, że już w maju media szeroko informowały o występowaniu takiego zagrożenia w internecie –. wskazał ekspert.

Dodał, że w tym przypadku, – co było pewną nowością – atakowani byli zarówno użytkownicy urządzeń stacjonarnych, jak i mobilnych. Siewierski powiedział PAP, że za atakami najprawdopodobniej stoi międzynarodowa grupa przestępcza, która odpowiada za podobne działania przeprowadzone m.in. w Hiszpanii, Wielkiej Brytanii czy Australii. Eksperci z CERT–u roboczo nazwali ją „Grupą Pocztową”.

- Nazwa grupy jest pochodną przyjętego przez nią schematu atakowania, który był podobny w wielu innych krajach. W każdym z państw cyberprzestępcy podszywali się pod przedsiębiorstwo świadczące usługi pocztowe, wykorzystując jego logo, i inne charakterystyczne elementy –. wyjaśnił ekspert. Wskazał, że o tym, iż ataki wydają się być dokonane przez tę samą grupę świadczy nie tylko sposób działania, lecz także wykorzystanie podobnej infrastruktury sieciowej i podobnego złośliwego oprogramowania.

Siewierski dodał, że grupa jest aktywna, co najmniej od 201. roku i pozostaje odpowiedzialna za przeprowadzenie w wielu państwach kampanii rozprzestrzeniających złośliwe oprogramowanie.

Ekspert podkreślił, że przed tego typu atakami można się jednak uchronić. „Wystarczy przed otwarciem załącznika sprawdzić, skąd przyszedł do nas mail, jaki jest adres, czy zamawialiśmy jakąś paczkę czy firma, która przesyła nam w załączniku fakturę świadczy dla nas usługi”- wyliczył Siewierski.