Cyberprzestępcy zbierają dane logowania użytkowników Zimbry, czyli platformy do wspólnej pracy. Największą liczbę ataków phishingowych odnotowano w Polsce. Celem są małe i średnie firmy, ale też ministerstwa, agencje czy urzędy rządowe.
Zagrożenie i kampanię phishingową odkryli badacze z ESET (przedsiębiorstwo informatyczne, które zajmuje się tworzeniem oprogramowania antywirusowego). Najwięcej zaatakowanych użytkowników znajduje się w Polsce, jednak atak ma charakter międzynarodowy. Celem cyberprzestępców stały się również osoby m.in. z Ukrainy, Włoch, Francji, Holandii i Ekwadoru.
Czym są Zimbra i phishing?
Zimbra Collaboration to otwarta platforma do współpracy, popularna alternatywa dla korporacyjnych poczt elektronicznych. Korzystają z niej małe i średnie firmy oraz podmioty rządowe.
Natomiast atak phishingowy polega na oszukiwaniu użytkowników, po to, żeby zdobyć ich poufne dane, takie jak: dane logowania, hasła czy inne informacje osobiste. Phishing to jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Wykorzystuje inżynierię społeczną, czyli technikę polegającą na tym, że przestępcy internetowi próbują nas oszukać i spowodować, żebyśmy podjęli działania zgodnie z ich zamierzeniami.
Jak przebiega atak?
Atak rozpoczyna wiadomość e-mail z ostrzeżeniem o niezbędnej aktualizacji serwera poczty, dezaktywacji konta lub innym problemie technicznym. Użytkownik ma kliknąć w załączony plik. Po jego otwarciu wyświetlana jest fałszywa strona logowania Zimbra.
Tak wygląda przykładowa wiadomość:
Kiedy ofiara wpisze swoje dane uwierzytelniające, są one przesyłane wprost na serwer kontrolowany przez przestępców. W efekcie atakujący są w stanie przejąć konto e-mail ofiary. Cyberprzestępcy są również w stanie włamać się na konta administratorów i tworzyć nowe skrzynki pocztowe, które będą następnie wykorzystane do wysyłania wiadomości phishingowych do kolejnych osób.
Przejęcie dostępu do wirtualnych serwerów i kont może też otworzyć drogę do ataków typu ransomware (złośliwe oprogramowanie, które szyfruje ważne pliki przechowywane na dysku lokalnym i sieciowym, po czym żąda okupu za ich rozszyfrowanie).
300Sekund od września w nowej odsłonie. Zapisz się już dziś na nasz codzienny newsletter.
– Przestępcy wykorzystują fakt, że załączniki HTML zawierają poprawny i pozbawiony szkodliwych funkcjonalności kod, a jedynym charakterystycznym elementem jest link kierujący do złośliwego hosta. W ten sposób znacznie łatwiej jest obejść polityki antyspamowe, zwłaszcza w porównaniu z bardziej rozpowszechnionymi technikami phishingu, w których złośliwy link jest umieszczany bezpośrednio w treści wiadomości e-mail – wyjaśnia badacz ESET Viktor Šperka, który odkrył kampanię.
Czujność to podstawa
Jak się obronić? Nie potrzeba sztabu specjalistów i specjalistek IT. Każdy z pracowników powinien wiedzieć, że zanim otworzy załącznik wiadomości, musi dokładnie jej się przyjrzeć i sprawdzić czy np. nie pochodzi z fałszywego adresu.
Jeżeli treść e-maila nakłania do wpisania hasła, należy natychmiast ją zamknąć, nie podając żadnych informacji, a następnie zgłosić ten fakt administratorowi.