Grupa Ghostwriter atakuje. Czym jest technika Browser in the Browser?

W ostatnim czasie obserwujemy ataki grupy UNC1151/Ghostwriter z wykorzystaniem techniki Browser in the Browser. Grupa ta od ponad roku atakuje skrzynki pocztowe polskich obywateli.

  • Michał Górecki
  • /
  • 19 lipca 2022

Ataki grupy UNC1151/Ghostwriter

Jak informuje CERT Polska grupa UNC1151/Ghostwriter od ponad roku atakuje skrzynki pocztowe polskich obywateli. Firmy Mandiant i Google, w swoich publikacjach wskazały, że grupa ta z dużym prawdopodobieństwem jest powiązana z rządem Białorusi. — Jak wynika z naszych obserwacji, mimo upływu czasu, aktywność tej grupy nie zmniejszyła się, a stosowane przez nią techniki podlegają ciągłym zmianom. W ostatnim czasie obserwujemy wykorzystanie przez nią techniki Browser in the Browser. Technika ta może być wyjątkowo niebezpieczna i łatwa do przeoczenia – czytamy w artykule.

Jedną z najczęściej stosowanych metod ataku przez grupę UNC1151 jest wysyłanie maili phishingowych, które mają na celu wyłudzenie danych do logowania do skrzynek pocztowych. Przejęte skrzynki są następnie przeszukiwane z zamiarem uzyskania dostępu do wrażliwych dokumentów oraz wykorzystywane do przejmowania powiązanych kont w mediach społecznościowych i rozpowszechniania dezinformacji. Więcej na ten temat artykule CERT Polska. 

Czym jest phishing?

Phishing — to nazwa, która nie przez przypadek budzi dźwiękowe skojarzenia z angielskim słowem „fishing” oznaczającym łowienie ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę” i „łowią” swoje ofiary.Zacznijmy od podejrzanych stron. To takie, które wyłudzają dane osobowe i dane uwierzytelniające. Linki do nich przesyłane są różnymi kanałami — SMS-em, mailem lub przez media społecznościowe. Ich adresy mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl. W przypadku takich stron kluczowe jest szybkie działanie — rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach. Wszystko po to, by jak najszybciej zablokować do nich dostęp. Pomaga w tym uruchomiona przez NASK lista ostrzeżeń, która jest dostępna publicznie i wykorzystywana przez operatorów do blokowania dostępu do niepożądanych stron.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Korzystacie z Facebook Marketplace? Uwaga, oto najpopularniejsze oszustwa na platformieKorzystacie z Facebook Marketplace? Uwaga, oto najpopularniejsze oszustwa na platformieMichał Górecki

Nowa kampania phishingowa. Klienci znanego banku zagrożeni

Tym razem cyberprzestępcy podszywają się pod bank BNP Paribas. Uwaga na hasła do bankowości- Uważajcie na nową kampanię phishingową! Cyberprzestępcy podszywają się pod @BNPParibas_PL. Na niebezpiecznych stronach wykradają loginy i hasła do bankowości. Bądźcie czujni w sieci i chrońcie swoje dane! – alarmuje CSIRT KNF.

Atak na klientów innych banków też trwa. Getin Bank pod ostrzałem cyberprzestępców

Oszuści przez fałszywe strony wyłudzają dane logowania w bankowości elektronicznej. Klienci Getin Banku muszą uważać. — Uwaga! Ostrzegamy klientów Getin Bank przed fałszywymi stronami, na których cyberprzestępcy wyłudzają dane logowania w bankowości elektronicznej. Zachowajcie rozwagę i nie dajcie się okraść! – alarmuje CSIRT KNF.

Bezwzględnie trzeba uważać na podejrzane strony i wnikliwie czytać adres strony. Nie należy też na stronę przechodzić bezpośrednio z linków wysyłanych z wiadomości mailowych i SMS. To kolejny atak na klientów banków ostatnim czasie. Bardzo dużo ataków ukierunkowanych zostało na klientów Santander Bank Polska.

Kampania phishingowa i niebezpieczne domeny. Klienci Santandera znów atakowani

Klienci banku Santander ponownie zostali celem ataku phishingowego. CSIRT KNF podał fałszywe strony podszywające się pod Bank Santander Polska. — Uwaga! Cyberprzestępcy na fałszywych stronach podszywają się pod @SantanderBankPL i wyłudzają poświadczenia logowania w bankowości elektronicznej. Zachowajcie rozwagę – to kolejna próba oszustwa! – alarmuje CSIRT KNF.

Jako niebezpieczne URL-e wykorzystywane do kampanii phishingowej wskazano: centrym24[.]in centrym24[.]cx centrym24[.]ch centrym24[.]pl centrym24[.]cc centrum24[.]cc contrum24[.]in centrum24-app[.]cc centrum24-app[.]pl

Źródło: CSIRT KNF, CERT Polska, gov.pl

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!