Nowy sposób, by kraść pieniądze. Trop wiedzie na Białoruś

Krajowi eksperci do spraw cyberbezpieczeństwa ostrzegają przed rosnącą aktywnością zorganizowanych grup przestępczych w cyfrowej przestrzeni. Od kilku miesięcy obserwowana jest zintensyfikowana kampania, której głównym celem są polscy posiadacze kont w usłudze Gmail, co stanowi bezpośrednie zagrożenie dla interesów państwa. Jak wynika z ustaleń zespołu CERT Polska, za zmasowanymi atakami stoi grupa hakerska UNC1151, działająca na zlecenie lub w ścisłym powiązaniu z władzami w Mińsku. W szerszym ujęciu cyberbezpieczeństwo stało się obecnie jednym z kluczowych wyzwań dla polskich instytucji, zwłaszcza w dobie trwających napięć geopolitycznych za wschodnią granicą.

Mechanizm ataku opiera się na starannie przygotowanym phishingu, który jest obecnie najpowszechniejszym narzędziem w rękach internetowych włamywaczy. Użytkownicy są alarmowani o rzekomej podejrzanej aktywności na ich koncie, logowaniu z nieznanego urządzenia lub naruszeniu regulaminu usługi. Przestępcy rozsyłają wiadomości w języku polskim, które do złudzenia przypominają oficjalne komunikaty administracyjne od firmy Google. Aby uwiarygodnić przekaz i przeprowadzić skuteczne oszustwo, hakerzy wykorzystują adresy łudząco podobne do technicznych skrzynek pocztowych, zawierające słowa sugerujące monitoring konta czy pomoc techniczną.

Po kliknięciu w spreparowany link, ofiara jest przenoszona na fałszywą stronę logowania, zaprojektowaną tak, by nie wzbudzać żadnych podejrzeń. Cyberprzestępcy nie poprzestają jednak wyłącznie na kradzieży loginu i hasła, ale idą o krok dalej w łamaniu zabezpieczeń. Stosowane przez nich nowoczesne metody pozwalają na przechwycenie kodów jednorazowych z wiadomości SMS oraz aplikacji uwierzytelniających. W praktyce oznacza to całkowite ominięcie popularnych zabezpieczeń dwuskładnikowych i błyskawiczne uzyskanie pełnego dostępu do prywatnego profilu ofiary.

Warto przypomnieć, że aktywność grupy UNC1151, znanej w branży bezpieczeństwa informatycznego również pod kryptonimem Ghostwriter, nie jest na naszym terytorium zjawiskiem nowym. Zespół ten od lat specjalizuje się w zaawansowanych operacjach socjotechnicznych i kradzieży danych uwierzytelniających w naszej części Europy. Ich działania nierzadko są koordynowane z sojusznikami, a sama Rosja i sprzymierzona z nią Białoruś systematycznie wykorzystują cyberprzestrzeń jako kluczowy element wojny hybrydowej. Ataki te często wpisują się w znacznie szerszy kontekst wschodnich operacji dezinformacyjnych, sabotażowych i szpiegowskich wymierzonych w państwa członkowskie NATO.

Obecna kampania charakteryzuje się niespotykaną dotąd dużą dynamiką zmian infrastruktury technicznej po stronie włamywaczy. Przestępcy niemal każdego dnia rejestrują nowe domeny internetowe, wykorzystują platformy hostingowe pozwalające na szybkie wdrażanie stron, a w niektórych przypadkach przejmują legalnie działające, polskie witryny. Na przejętych stronach umieszczają następnie złośliwy kod, z którego kierują ruch ofiar do swoich cyfrowych pułapek. Dodatkowo, aby utrudnić pracę analitykom i opóźnić reakcję służb, hakerzy masowo korzystają z ukrytych kopii wiadomości, co skutecznie maskuje rzeczywistą skalę wysyłki i utrudnia blokowanie złośliwych domen.

Eksperci do spraw bezpieczeństwa zwracają szczególną uwagę na fakt, że obecne ataki nie mają charakteru wyłącznie masowego i przypadkowego. Działania białoruskich hakerów są w dużej mierze precyzyjnie sprofilowane na konkretne, decyzyjne grupy zawodowe. Na celowniku znajdują się przede wszystkim osoby posiadające dostęp do wrażliwych informacji państwowych. Ich obiektem zainteresowania są także szeroko pojęta gospodarka, jej strategiczne spółki oraz kluczowi menedżerowie. Wśród głównych celów wymienia się pracowników administracji publicznej, prominentnych polityków, dziennikarzy, naukowców, a także funkcjonariuszy służb mundurowych. Aby dotrzeć do tych osób, przestępcy często stosują ataki wieloetapowe, kompromitując najpierw słabiej chronione konta ich rodzin i znajomych.

– Grupa UNC1151/Ghostwriter pozostaje jedną z najbardziej aktywnych grup APT spośród obserwowanych przez zespół CERT Polska. Od wielu lat regularnie przeprowadza ona kampanie phishingowe w celu uzyskania dostępu do skrzynek pocztowych polskich obywateli. Przejęte skrzynki są następnie dokładnie przeszukiwane pod kątem interesujących z punktu atakujących informacji, takich jak lista kontaktowa, wrażliwe dokumenty czy powiązane konta, które można przejąć z ich dalszym, destrukcyjnym wykorzystaniem – informują w opublikowanym komunikacie przedstawiciele CERT Polska.

W obliczu stale rosnącego zagrożenia, specjaliści przypominają o fundamentalnych zasadach cyfrowej higieny, które mogą uchronić przed tragiczną w skutkach utratą danych. Globalni dostawcy usług pocztowych, tacy jak chociażby Google, nigdy nie wymagają podawania haseł ani kodów weryfikacyjnych za pośrednictwem linków przesyłanych w standardowych wiadomościach e-mail. Obecnie za najskuteczniejszą formę twardej obrony przed tego typu zaawansowanym phishingiem uznaje się wyłącznie sprzętowe klucze zabezpieczeń.

Fizyczne tokeny kryptograficzne, w przeciwieństwie do kodów przepisywanych z ekranu telefonu, są całkowicie odporne na ataki polegające na podstawieniu fałszywej strony logowania. Wszelkie podejrzane incydenty zaobserwowane w sieci należy niezwłocznie zgłaszać do odpowiednich krajowych zespołów reagowania na incydenty komputerowe.