Pułapka na właścicieli domen - jak działa phishing na home.pl
Cyberprzestępcy nie muszą włamywać się do systemów, by uderzyć w Twoich klientów. Wykorzystując publicznie dostępne dane o domenach, stworzyli kampanię phishingową ukierunkowaną na klientów serwisu home.pl. Analizujemy mechanizm ataku i wskazujemy, jak można się przed nim bronić.
Bycie liderem na rynku ma swoje plusy, ale wiąże się również z zainteresowaniem ze strony cyberprzestępców. Przekonują się o tym klienci home.pl – jednego z najpopularniejszych rejestratorów domen i dostawców hostingu w Polsce. Ostatnie tygodnie przyniosły falę kampanii phishingowych, w których wyłudzane były już nie tylko dane logowania do serwisu, ale i dane kart płatniczych.
Fałszywe e-maile z informacją o oczekującej płatności trafiały bezpośrednio do właścicieli witryn i – co najważniejsze – dotyczyły faktycznie zarejestrowanych domen w home.pl. Taka personalizacja ma sprawić, że u ofiary drastycznie spadnie czujność. W końcu skąd oszust miałby wiedzieć, jaką domenę posiadamy i gdzie ją utrzymujemy? Odpowiedź jest prostsza, niż mogłoby się wydawać. Przestępcy wcale nie musieli włamywać się do systemów home.pl, aby zdobyć te informacje. Wykorzystali to, co podajemy im na tacy.
Jak publiczne dane stają się bronią w rękach przestępców?
Obecność logotypu home.pl oraz nazwy Twojej domeny w fałszywej wiadomości email nie musi być skutkiem wycieku bazy danych firmy. Często - tak jak w tym przypadku - wynika z prostej automatyzacji opartej na publicznie dostępnych informacjach. W tym celu wystarczy przeskanować ogólnodostępne rekordy DNS polskich stron internetowych. Jeśli serwery wskazują na home.pl, domena zostaje dopisana do listy celów. Powiązany z nią adres e-mail można łatwo pozyskać, np. ze stopki strony, rejestrów CEIDG/KRS lub po prostu wygenerować w ciemno jako standardowa skrzynka firmowa (np. biuro@, info@).
Tak przygotowana baza kontaktów może posłużyć do masowej wysyłki maili phishingowych. Wiadomość którą przestępcy rozsyłali podszywając się pod serwis home.pl zawierała elementy wizerunkowe marki, fikcyjny numer zamówienia oraz rzucający się w oczy czerwony przycisk Opłać usługę, który miał skłonić użytkownika do wykonania natychmiastowego przelewu.
Oszustwo zdradzały błędy w treści wiadomości oraz zastosowana manipulacja. Pierwsze, co zwraca uwagę, to niespójność językowa. Wiadomość e-mail zaczyna się od potocznego „Cześć”, po czym od razu przechodzi w oficjalną formę „Państwo”, co nie zdarza się w profesjonalnej korespondencji. Nakładana jest także presja czasu. Dowiadujemy się, że jeśli natychmiast nie dokonamy płatności, to firma odstąpi od świadczenia usług i utracimy swoje dane.
Panel logowania i mechanizm wyłudzania danych
Przycisk Opłać usługę widoczny w wiadomości spam przekierowywał na fałszywy panel logowania imitujący oryginalną stronę home.pl, gdzie przestępcy przechwytywali dane uwierzytelniające do konta.
Po wpisaniu loginu i hasła wyświetlał się podrobiony panel klienta z podsumowaniem zamówienia. Wykaz fikcyjnych usług (m.in. odnowienie domeny, certyfikat SSL i hosting) miał ostatecznie uśpić czujność użytkownika i uwiarygodnić konieczność zapłaty. Dodatkowo, we wspomnianym panelu jedynym aktywnym przyciskiem było Opłać zamówienie, a próba kliknięcia w jakikolwiek inny element na stronie nie powodowała żadnej akcji.
Kliknięcie przycisku Opłać zamówienie uruchamiało ostatni etap ataku, czyli sfałszowany formularz bramki płatniczej. Wprowadzone tam dane kart płatniczych trafiały bezpośrednio w ręce cyberprzestępców, umożliwiając im nieautoryzowane obciążenie konta ofiary, np. poprzez zakupy online.
Jak skutecznie chronić swój biznes?
Aby chronić się przed tego typu oszustwami, wystarczy wprowadzić kilka dobrych praktyk w obszarze administracji stroną. Ponieważ oszuści polują na pośpiech osób obsługujących firmową pocztę lub płatności, najważniejszym nawykiem zespołu powinno być całkowite ograniczenie zaufania do linków przesyłanych w mailach. Zamiast klikać w odnośnik z wiadomości o rzekomej zaległości w home.pl, adres oficjalnego panelu klienta należy zawsze wpisywać bezpośrednio w oknie przeglądarki. Przed podaniem hasła lub danych karty płatniczej, pracownik powinien raz jeszcze weryfikować adres URL strony, aby upewnić się, że rzeczywiście znajduje się na oficjalnej domenie dostawcy. Ostatnią, najważniejszą linią obrony przy administrowaniu biznesową witryną, jest uruchomienie uwierzytelniania dwuskładnikowego (2FA) wszędzie, gdzie to możliwe – a szczególnie w panelu klienta oraz na firmowych skrzynkach email.
PODSUMOWANIE
Atak na wizerunek firmy hostingowej home.pl był wyjątkowo niebezpieczny, ponieważ oszuści spersonalizowali go na podstawie publicznych danych. Dzięki automatycznej analizie rekordów DNS fałszywe wezwania do zapłaty mogły trafić do realnych właścicieli domen utrzymywanych w tym serwisie, zwiększając skuteczność kampanii.
Sama edukacja użytkowników już nie wystarcza. Gdy strona phishing nie różni się od oryginału, organizacje muszą posiadać systemy do natychmiastowego wykrywania i neutralizacji zagrożeń. Szybkie eliminowanie fałszywych stron pozwala zminimalizować straty finansowe i wizerunkowe oraz ograniczyć koszty obsługi incydentów, zanim przybiorą one masową skalę.
Współpraca z zewnętrznym zespołem reagowania pozwoli Twojej organizacji skoncentrować się na kluczowych zadaniach biznesowych, podczas gdy eksperci dbają o bezpieczeństwo Twojej marki i klientów.
Szczegółowe informacje o tym, jak PREBYTES SIRT wspiera organizacje w monitorowaniu i reagowaniu na nadużycia wizerunku marki, znajdziesz na naszej stronie Security Incident Response Team.