Více než tisíc ukradených hesel bylo volně přístupných na internetu

Útočníci nechtěně nechali přes tisíc odcizených přihlašovacích údajů veřejně přístupných na internetu.
Phishingová kampaň začala v srpnu loňského roku a využívala e-maily, které se vydávaly za oznámení od Xeroxu (nebo Xerosu). E-maily se snažily nalákat uživatele k otevření škodlivé HTML přílohy pod záminkou zobrazení naskenovaných souborů. Zajímavé je, že škodlivému HTML souboru se podařilo maskovat a vyhnout odhalení antivirovými programy i bezpečnostními mechanismy Microsoft Office 365 Advanced Threat Protection. Útočníkům se podařilo ukradnout více než tisíc přihlašovacích údajů, které ukládali na speciálních webových stránkách. Google ovšem při indexování internetu zaindexoval i tyto webové stránky, takže se k odcizeným datům mohl dostat kdokoli. Stačilo jednoduše vygooglit některou z ukradených e‑mailových adres a bylo možné se dostat i k ukradeným heslům, což značně zvyšovalo riziko dalších útoků.
Podvod byl také průběžně vylepšován, aby působil co nejvěrohodněji a zvýšila se šance, že oběti poskytnou své přihlašovací údaje.

Zdroj: Check Point Software Technologies

Analýza útoku

1. Útočníci nejdříve rozeslali potenciálním obětem phishingové e-maily se škodlivým HTML souborem.
2. Jakmile uživatel klikl na HTML soubor, zobrazila se přihlašovací stránka napodobující značku Xerox.
3. Hesla a e-mailové adresy obětí byly odeslané a uložené v textovém souboru na speciálním serveru.
4. Zatímco hackeři kradli informace, Google průběžně indexoval textové soubory po celém internetu, takže zaindexoval a zpřístupnil i ukradená data na serverech útočníků.

Zdroj: Check Point Software Technologies

„Uživatelé se často domnívají, že když někdo ukradne hesla, v nejhorším případě s nimi budou hackeři obchodovat na dark netu. Ale v tomto případě byly odcizené informace volně přístupné veřejnosti a mohl je tak zneužít kdokoli. Jednalo se o jasné selhání útočníků, kvůli kterému byl tento útok ještě nebezpečnější než obvykle,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.
Bezpečnostní tipy pro ochranu před phishingem:

1. U každé zprávy zkontrolujte, kdo ji posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele.
2. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám a dejte si pozor na napodobeniny známých webů.
3. Ujistěte se, že odkaz, na který chcete kliknout, vede skutečně na legitimní web. Neklikejte na odkazy v e-mailech a najděte si raději vše prostřednictvím nějakého vyhledávače, jako jsou Google nebo Seznam. Následně klikněte až na odkaz na stránce s výsledky vyhledávání.
4. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.
5. Nenechte se zmanipulovat tónem e-mailu. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.
6. Nikdy nevěřte příliš dobrým nabídkám, jako jsou například „Exkluzivní lék na koronavirus za 150 dolarů“ nebo „osmdesát procentní sleva na nový iPhone“.
7. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže krádež přihlašovacích údajů k jednomu účtu pravděpodobně poskytne útočníkům přístup k dalším online službám.
8. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení.

Foto: pixabay.com
Zdroj: Check Point Software Technologies