Akcja phishingowa na stronie polskiego samorządu. Specjalny sposób oszustów

W internecie jest wiele miejsc, które oszuści starają się wykorzystać do kampanii phishingowych, aby zdobyć nasze dane. Często przyjmują formę znanych nam stron, które powinny nam się kojarzyć z dobrym zabezpieczeniem. Niestety to bardzo zgubna myśl.

Przykład tego pokazał portal Sekurak na bazie zgłoszenia od jednego z użytkowników. Zauważył on, że pewnego rodzaju akcja phishingowa została oparta o fałszywą stronę gminy Długołęka o adresie gmina.dlugoleka.pl.

Strona witała użytkownika prośba o potwierdzenie, że jesteśmy człowiekiem przez Cloudflare. Na pierwszy rzut oka wszystko wydaje się normalne. Jednak gdy tylko kliknęlibyśmy w okienko, to w schowku systemowym Windows skopiowaliśmy złośliwe polecenie, ukryte na stronie.

Po tym dostajemy prośbę o "potwierdzenie". Jak podaje Sekurak, potwierdzenie wygląda tak, że trzeba wykonać serię trzech komend:

• Windows+R (otwiera windowsowe okno dialogowe "uruchom")
• Ctrl+V (wkleja polecenie ze schowka)
• Enter (wykonuje wklejone polecenie)

Mamy więc sytuację, gdy wchodząc na podmienioną stronę, podczas "weryfikacji" najpierw kopiujemy złośliwe polecenie, a potem je uruchamiamy. Wszystko w procesie, który jak się wydaje, stanowi znany nam dobrze element z Cloudflare. I to na stronie przebranej za portal samorządu.

Sekurad podał, że powodem tego mogło być zhackowanie strony lub słabe hasło administracyjne/jego wyciek. Sprawa została zgłoszona do CERT Polska.

Niemniej należy pamiętać, że tego typu przejęcia i podszywanie się pod oficjalne strony państwowych urzędów czy stron administracji publicznej, wcale nie muszą należeć do rzadkości. Zwłaszcza strony małych samorządów, mogą nie posiadać szczegółowych zabezpieczeń. Często są postawione na Wordpressie, używając wtyczek bez wsparcia z jego repozytorium, lub nie mając uwierzytelniania dwuskładnikowego. Przez to mogą być bardzo łatwym i kuszącym miejscem do podszywania się dla oszustów.