CERT Polska podaje, że w ostatnim czasie hakerzy UNC1151/Ghostwriter, prawdopodobnie powiązani z rządem Białorusi, wykorzystują do cyberataków technikę Browser in the Browser.
##NEWS http://www.wirtualnemedia.pl/artykul/cert-polska-cyberataki-rosja-atak-na-ukraine ##
"Technika ta zazwyczaj imituje zachowanie strony podczas logowania za pomocą dostawcy tożsamości" - wyjaśnia CERT Polska. Polega ona na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno to, będąc elementem strony, jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego okna od faktycznego nowego okna aplikacji - opisano na stronie CERT Polska.
##NEWS http://www.wirtualnemedia.pl/artykul/oszusci-podszywaja-sie-pomagam-pl-solidarni-z-ukraina-falszywe-zbiorki-jak-rozroznic ##
Jak działają hakerzy UNC1151/Ghostwriter
Grupa UNC1151/Ghostwriter wysyła maile phishingowe, które służą do wyłudzania danych do logowania na maila. Przejęte skrzynki pocztowe hakerzy przeszukują, wychwytując wrażliwe informacje. Zdarza się, że tym sposobem przejmują konta w mediach społecznościowych i rozpowszechniają fake newsy.
Maile phishingowe są najczęściej wysyłane ze skrzynek pocztowych utworzonych na popularnych portalach - WP, Onet, Interia, o2, Gmail - wylicza CERT Polska.
Przykładowe adresy złośliwych domen, fot. cert.pl
Hakerzy wysyłają ofiarom wiadomości, podszywając się pod administratorów serwisów. Ich treść nakłania użytkownika do podjęcia natychmiastowego działania, którego brak może rzekomo doprowadzić do utraty dostępu do skrzynki, a nawet jej skasowania - czytamy na cert.pl.
Przykładowe wzory treści maili od hakerów, fot. cert.pl
Przykładowy maili od hakerów, fot. cert.pl
Jak opisuje CERT, w większości obserwowanych przypadków link zawarty w mailu kierował bezpośrednio na stronę phishingową cyberprzestępców. W ciągu ostatniego roku hakerom UNC1151 udało się założyć prawie 100 takich domen.
