U.S. Weekly oferuje analityczne spojrzenie na procesy geopolityczne zachodzące na arenie międzynarodowej, które w sposób bezpośredni lub pośredni oddziałują na politykę Stanów Zjednoczonych. To geopolityczna kolumna powstająca przy współpracy z mediami polonijnymi. Do partnerów należą: Dziennik Związkowy – największe pismo polonijne w USA, Polishexpress oraz WIrlandii.pl

Data: 5 lipca 2021

Phishing – cyberwyłudzenia wymierzone w polityków

Niemal dwie dekady przed powstaniem pierwszej strony WWW, w 1971 Ray Tomlinson wysłał przez sieć ARPANET wiadomość do samego siebie o treści „something like QWERTYUIOP” (pol. coś w stylu QWERTYUIOP). Ta wiadomość uważana jest za pierwszy w historii e-mail. Poczta internetowa oraz jej funkcjonalność przez pół wieku znacznie ewoluowała, jednak jej główna zasada pozostała niezmieniona.

ŹRÓDŁO: FLICKR

Poczta email ma umożliwiać asynchroniczną wymianę wiadomości przez Internet. Komunikacja asynchroniczna oznacza, że ​​wiadomość może zostać wykorzystana w dowolnym momencie po jej utworzeniu, nie jest wymagana jednoczesna interakcja odbiorcy z nadawcą. Wiele osób spodziewało się, że szybki rozwój całej gałęzi technologii komunikacyjnej, pojawienie się czatów, mediów społecznościowych, komunikatorów online i biznesowych platform komunikacyjnych, jak Microsoft Teams czy Slack przyczyni się do upadku poczty e-mail. Nic takiego się nie stało. E-mail pozostał głównym medium komunikacyjnym, a bez adresu e-mail dziś nie jesteśmy nawet w stanie zarejestrować się w ogromnej większości usług, które miały zwiastować zmierzch poczty internetowej.

Powszechność usługi, wspomniana asynchroniczność (wykorzystywana przez nas do przechowywania historii wiadomości) oraz ignorowanie przez użytkowników podstawowych zasad bezpieczeństwa w Internecie, powodują, że e-mail jest głównym wektorem ataków wykorzystywanych przez cyberprzestępców. Ataki typu phishing, polegające na wysyłaniu do odbiorców maili do złudzenia przypominających prawdziwą wiadomość celowane są w każdego z nas. Według FBI to właśnie phishing był najczęstszym rodzajem cyberataku w 2020 roku. Ilość incydentów phishingowych wzrosła niemal dwukrotnie, ze 114 702 incydentów w 2019 roku do 241 324 incydentów w 2020 roku. Pięć lat temu (w roku 2016) ilość tego typu incydentów była ponad 11 razy mniejsza.

Większość wiadomości phishingowych zawiera złośliwe linki kierujące na, do złudzenia przypominające prawdziwe strony, kopie popularnych serwisów internetowych. Te przygotowane przez przestępców strony najczęściej starają się wykraść dane dostępowe (login i hasło) użytkownika, bądź uruchomić złośliwe skrypty wykorzystujące luki w oprogramowaniu użytkownika. Nie raz do wiadomości phishingowej dołączane są załączniki, które w przypadku otwarcia przez ofiarę uruchamiają złośliwy kod. Raport firmy ESET traktujący o zagrożeniach występujących w 2020 roku [1] informuję, że najczęściej spotykanymi załącznikami są: pliki wykonywalne (.exe), makra, dokumenty MS Office oraz pliki .pdf.

Drugim częstym typem ataków jest bezpośrednie włamanie na skrzynkę e-mail przy pomocy znanego hasła lub metody bruteforce. Praktycznie każdego dnia dochodzi do wycieku danych z większego bądź mniejszego portalu internetowego. Dane nie raz zawierają hasła bądź ich hashe. O ile w przypadku skomplikowanego hasła, jego odgadnięcie na podstawie hasha jest czasochłonne, o tyle proste hasła składające się z mniej niż 12 znaków mogą być obecnie złamane w przeciągu kilku godzin. Niestety użytkownicy często stosują jeszcze krótsze hasła, możliwe do złamania na domowym komputerze w kilkanaście minut. Skalę problemu bardzo dobrze oddaje analiza opublikowana przez Alice Henshaw [2]. W 2019 roku przy użyciu narzędzia Hashcat i infrastruktury AWS (wypożyczonej za 18 dolarów) w przeciągu 20 godzin złamanych zostało 80% haseł pochodzących z wycieku zawierającego ponad 14 milionów hashy.

Jeśli atakujący nie posiada hasła użytkownika, zawsze pozostaje mu mozolna próba siłowego włamania się na skrzynkę pocztową poprzez zautomatyzowany proces prób logowania się na nią przy użyciu najczęściej stosowanych haseł.

Problemy z bezpieczeństwem usług poczty internetowej dotyczą wszystkich. Osoby publiczne z oczywistych względów są narażone jeszcze bardziej. Ponad dekadę temu hakerzy włamali się [3] na skrzynkę Belgijskiego premiera. Uzyskawszy dostęp do historii prywatnych maili, przesłali wiele z nich na adres lokalnej gazety.

Ofiarą ataku na prywatną skrzynkę pocztową padł w 2015 roku ówczesny szef CIA,  John Brennan. Cyberprzestępca odpowiedzialny za atak uzyskał dostęp do rządowych dokumentów przechowywanych jako załączniki do wiadomości na osobistym koncie Brennana, ponieważ szef agencji przesłał je ze swojego służbowego e-maila [4]. Zrzuty ekranu części dokumentów zostały upublicznione na Twitterze, wśród nich znalazła się lista kontaktów Brennana oraz rejestr rozmów telefonicznych byłego zastępcy dyrektora CIA – Avrila Hainesa.

Udany atak phishingowy doprowadził też do najbardziej znanego wycieku danych ze skrzynki e-mail. Szef kampanii Hillary Clinton John Podesta, nieświadomie kliknął złośliwy link w e-mailu, który wyglądem przypominał wiadomość generowaną przez serwis Google. Nadawcami nie był system Google, ale grupa hakerów phishingowych, których rząd USA później powiązał z Rosją [5]. Podesta zmylony przez cyberprzestępców oraz własnego doradcę, nie tylko kliknął złośliwy link, ale też podał poprawne dane logowania na przygotowanej przez cyberprzestępców stronie internetowej. Dzięki temu hakerzy uzyskali dostęp do jego konta e-mail. Niedługo później na portalu WikiLeaks zaczęły pojawiać się tysiące e-maili Podesty, co w efekcie wpłynęło na wybory prezydenckie w USA.

Pod koniec maja 2021 Microsoft poinformował o nowej kampanii phishingowej wymierzonej w agencje rządowe [6], think tanki oraz konsultantów związanych z organizacjami pozarządowymi. Największą liczbę celów stanowiły organizacje działające w USA. Microsoft przypisuje to działanie pochodzącej z Rosji grupie odpowiedzialnej za atak SolarWinds. Aktywność ta zbiega się w czasie z atakiem przeprowadzonym na osoby pełniące funkcje publiczne w Polsce. Pod koniec czerwca 2021 roku rzecznik ministra koordynatora służb specjalnych poinformował:

„ABW i SKW ustaliły, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych. (…) Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. Służby odpowiedzialne za cyberbezpieczeństwo przeanalizowały kilka wiadomości wysłanych na adres ministra, które mogły posłużyć do potencjalnego phishingu – ich zawartość oraz konstrukcja miały na celu wyłudzenie danych niezbędnych do logowania. Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka”.

Ta sama grupa odpowiedzialna jest za włamania na konta niemieckich polityków [7]. Działania grupy UNC1151 to element akcji „Ghostwriter”. Jej celem jest destabilizacja nastrojów oraz sytuacji politycznej w krajach Europy Środkowej. W efekcie ataku, dokumenty oraz korespondencja z prywatnego konta ministra Dworczyka została upubliczniona na platformie Telegram.

We wszystkich powyższych przykładach poza oczywistym błędem, polegającym na używaniu do celów służbowych prywatnych skrzynek pocztowych mamy do czynienia z kilkoma innymi, podstawowymi zaniedbaniami. Wszyscy musimy pamiętać, że to my jesteśmy odpowiedzialni za bezpieczeństwo naszej i powierzanej nam korespondencji. Nawet najlepsze zabezpieczenie oferowane przez usługodawców, nie ustrzegą nas przed atakiem przestępców jeśli ich nie używamy. Jak więc zachować podstawy bezpieczeństwa poczty e-mail? Sprawdźmy, czy nasze hasła nie wyciekły, możemy to zrobić używając serwisu haveibeenpwned.com. Zmieńmy nasze hasła na silne, najlepiej przynajmniej 16 znakowe. Nie używajmy wszędzie tego samego hasła, a gdzie możliwe pamiętajmy o włączeniu opcji weryfikacji dwuetapowej (2-step verification).

 

 

[1]https://www.welivesecurity.com/wp-content/uploads/2020/10/ESET_Threat_Report_Q32020.pdf

[2]https://medium.com/hackernoon/20-hours-18-and-11-million-passwords-cracked-c4513f61fdb1

[3]https://www.reuters.com/article/us-belgium-pm-hacking/belgian-pms-personal-emails-hacked-and-sent-to-newspaper-idUSBRE94U0HV20130531

[4]https://www.wired.com/2015/10/hacker-who-broke-into-cia-director-john-brennan-email-tells-how-he-did-it/

[5]https://apnews.com/article/hillary-clinton-phishing-moscow-russia-only-on-ap-dea73efc01594839957c3c9a6c962b8a

[6]https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/

[7] https://www.tagesschau.de/investigativ/wdr/hackerangriffe-105.html

Autor: Wiktor Sędkowski
Wiktor Sędkowski ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.

Wesprzyj nas

Jeżeli przygotowane przez zespół Warsaw Institute treści są dla Państwa przydatne, prosimy o wsparcie naszej działalności. Darowizny od osób prywatnych są niezbędne dla kontynuacji naszej misji.

Wspieram

All texts published by the Warsaw Institute Foundation may be disseminated on the condition that their origin is credited. Images may not be used without permission.

Udostępnij
Tweetnij
Udostępnij

Tags:

Powiązane wpisy
Programy

Fundacja Warsaw Institute

Biuro: ul. Wilcza 9, 00-538 Warszawa, Polska

Telefon: +48 22 417 63 15

E-mail: [email protected]

Nowa idea Warsaw Institute dla regionu

www.balticfund.org

Top