To kampania phishingowa podszywająca się pod Allegro. Jej celem jest wyłudzenie hasła, danych osobowych i kompletu informacji o karcie płatniczej. Sprawdź, jak działa ten mechanizm i na jakie sygnały ostrzegawcze warto zwrócić uwagę.l

Fałszywy mail Allegro – po czym poznać oszustwo?

Wszystko zaczyna się od maila, którego pełny kontekst widnieje na powyższym zrzucie ekranu. Wizualnie wiadomość ma przypominać oficjalną komunikację Allegro. Charakterystyczne pomarańczowe logo, stopka podobna do oficjalnej oraz układ graficzny mają za zadnie potwierdzić oficjalny komunikat z systemu Allegro.

Obecnie próbujemy przetworzyć Twoje zamówienie, ale napotkaliśmy problem ze wskazanym adresem dostawy. Powód: Adres dostawy wydaje się być nieprawidłowy, niekompletny lub nie został rozpoznany przez naszego partnera kurierskiego.

Gdzie tkwi haczyk? Odpowiedź kryje się pod nagłówkiem wiadomości. Po rozwinięciu szczegółów nadawcy, zamiast oficjalnej domeny platformy widzimy adres admin@aruma.app. To pierwszy i najważniejszy sygnał ostrzegawczy – Allegro nigdy nie wysyła komunikatów z domen innych niż @allegro.pl.

Fałszywa strona logowania Allegro

Jeżeli ofiara kliknie w rzucający się w oczy przycisk „Zaktualizuj adres dostawy”, nie trafia od razu na stronę logowania. Oczom użytkownika ukazuje się ekran zabezpieczający Cloudflare (Security Check) z prośbą o potwierdzenie: „Potwierdź, że jesteś człowiekiem”.

Z jednej strony jest to mechanizm, który ma za zadanie podświadomie przekonać ofiarę, że link jest bezpieczny oraz obniżyć czujność ofiary. Z drugiej natomiast przestępcy wykorzystują to rozwiązanie, by blokować automatyczne systemy skanujące (tzw. crawlery antyphishingowe), które mogłyby zbyt szybko wykryć i zablokować złośliwą witrynę.

Po przejściu weryfikacji użytkownik zostaje przekierowany do panelu logowania. Ekran jest wierną kopią prawdziwego formularza Allegro w wersji mobilnej z drobnym niuansem. Wersja mobilna przy uruchomieniu na komputerach powinna automatycznie pokazać nam pełną, desktopową wersję logowania. Można przypuszczać, że atakujący mocno ukierunkowali się na szukanie potencjalnych ofiar wśród osób, które uruchomią wiadomość na swoim smartfonie.

W tym miejscu warto jednak oderwać wzrok od centralnej części ekranu i spojrzeć na pasek adresu URL. Zamiast bezpiecznego adresu allegro.pl, w przeglądarce widnieje domena: allegro.clinicaactmedica[.]ro. Oszuści wykorzystali tutaj technikę poddomeny – słowo „allegro” zostało stworzone w formie subdomeny do przejętej rumuńskiej strony (.ro). Każdy login i hasło wpisane w tym oknie trafiają bezpośrednio na serwer przestępców.

Fałszywa płatność za dostawę i to w dwóch językach

Po wpisaniu danych logowania (nawet tych całkowicie fikcyjnych) system przepuszcza ofiarę dalej, do ekranu rzekomego koszyka z płatnością za dostawę. Wyświetla się tam czerwony komunikat o błędzie adresu dostawy z żądaniem podania pełnych danych: imienia, nazwiska, ulicy, kodu pocztowego oraz numeru telefonu. Gdy ofiara uzupełni formularz, pojawia się rzekoma konieczność dopłaty symbolicznej kwoty (np. 10,49 PLN za ponowną weryfikację kurierską) oraz kliknięcia przycisku „PAYMENT”.

Jest to formularz płatności kartą płatniczą, rzekomo zabezpieczony certyfikatami PCI DSS Compliant, Mastercard ID Check oraz Visa Secure. Wpisanie tam numeru karty, daty ważności oraz kodu CVV/CVC daje oszustom dostęp do środków finansowych na podanej karcie ofiary. Oszuści mogą wówczas podłączyć kartę do portfela elektronicznego lub autoryzować transakcje z konta ofiary.

A co się dzieje w warstwie, której nie widać?

Gdy przyjrzymy się tej witrynie za pomocą narzędzi deweloperskich w momencie płatności, zauważymy, że podczas wyświetlania ekranu ładowania płatności (loading.html) skrypt nieustannie wykonuje zapytania asynchroniczne o nazwie sync do domeny allegro.clinicaactmedica[.]ro. W praktyce oznacza to, że panel działa w trybie administracyjnym na żywo. Przestępca po drugiej stronie ekranu widzi w czasie rzeczywistym, co wpisuje ofiara. Jeśli bank zażąda dodatkowego potwierdzenia transakcji kodem SMS lub autoryzacji w aplikacji mobilnej, oszuści wygenerują na tej stronie kolejne fałszywe okienko z prośbą o przepisanie tego kodu.

Jak nie dać się nabrać na fałszywy mail Allegro

Adres mailowy, na który otrzymaliśmy wiadomość nie ma zarejestrowanego konta na platformie Allegro. Potwierdza to fakt, że przestępcy wykorzystują duże marki, licząc na masowy zasięg takich działań. Na co uważać w dłuższej perspektywie? Aby nie stać się ofiarą tego typu ataków, pamiętaj o poniższych zasadach:

1. Zawsze sprawdzaj adres URL: Przed wpisaniem hasła lub danych karty upewnij się, że w pasku adresu widnieje wyłącznie oficjalna domena (w przypadku Allegro jest to allegro.pl). Żadne przedrostki i dodatkowe domeny narodowe (jak .ro) nie wchodzą w grę.
2. Weryfikuj adres e-mail nadawcy: Informacja wyświetlana jako nazwa nadawcy (np. „Allegro”) może być łatwo sfałszowana. Zawsze sprawdzaj pełny adres e-mail nadawcy.
3. Korzystaj z dwuskładnikowego uwierzytelniania (2FA): Włączenie dodatkowej weryfikacji na koncie Allegro utrudni przestępcom przejęcie profilu, nawet jeśli poznają oni Twoje hasło. Więcej dowiesz się z artykułu: https://cert.orange.pl/warto-wiedziec/uwierzytelnianie-dwuskladnikowe/
4. Nie działaj pod presją czasu: Komunikaty oznaczane jako „Pilne”, „Wymagane działanie” czy „Blokada konta” niemal zawsze powinny wzbudzić Twoją czujność. Bezpieczniej jest zalogować się do platformy bezpośrednio przez oficjalną aplikację mobilną lub wpisując adres ręcznie w przeglądarce, aby sprawdzić realny status zamówień.

Takie kampanie pokazują, że skuteczny phishing nie musi być technicznie skomplikowany. Wystarczy wiarygodny pretekst, dobrze podrobiona strona i presja czasu, by część odbiorców przekazała swoje dane przestępcom.

The post Fałszywy mail od „Allegro” o błędzie w adresie dostawy. Jak rozpoznać ten phishing? appeared first on CERT Orange.

Atak rozpoczyna się od SMS-a przychodzącego z nadpisu (od nadawcy) „Inpost”. W takiej sytuacji, jeśli dostajesz SMS-y od tego dostawcy, fałszywe treści trafią do wątku z prawdziwymi (!) co może sprawić, że ofiara uzna treść za wiarygodną.

Oczywiście domeny inpostpl.lol i inpostpl.mem nie są prawdziwe. Dla wielu TLD (top level domain, domeny najwyższego poziomu) .lol i .mem wydadzą się śmieszne. Wciąż jednak znacznej części internautów wystarczy ciąg „inpostpl”. Kluczowy jest przekaz:

• czeka na Ciebie paczka
• została wysłana na Twój numer telefonu (w jednym schemacie podany nawet w linku w wiadomości)

Gdy odbiorca skupi się na tych dwóch informacjach, tę ostatnią – z adresem strony – mózg będzie już przetwarzał tylko pobieżnie.

Najpierw informacje o rzekomej paczce od InPost…

Po kliknięciu w link okazuje się, że ma na nas czekać paczka. Co warto zauważyć – i co odróżnia ten scenariusz od wcześniejszych – nikt nie chce naszych pieniędzy. Nie ma mowy o przekierowaniu czy konieczności dopłaty. Jesteśmy proszeni wyłącznie o wybór paczkomatu.

Uprzedzając pytanie – numer przesyłki podany na poniższym zrzucie jest w prawidłowym formacie (24 cyfry) jednak przesyłka o takim numerze nie istnieje.

Kolejny krok to fałszywa historia przesyłki, jej parametry (w tym nadawca) oraz termin do kiedy będzie przechowywana. To też zabieg socjotechniczny (reguła niedostępności – kończy się czas). Presja jest nieco mniejsza (mamy „aż dwa dni”) – to paradoksalnie może pomóc, bowiem ofiara nie odczuwa aż tak dużej presji. Przy ponownym wejściu na tę stronę (w sieci Orange Polska oczywiście blokuje ją CyberTarcza) pojawia się inny losowy numer paczki, ale też – co ciekawe – inny nadawca.

Pozostaje zatem już tylko wybrać paczkomat?

…aż tu nagle dostęp od WhatsApp

Okazuje się, że opisana na powyższym zrzucie ekranu autoryzacja ma wymagać użycia popularnego komunikatora!

Co się stanie, gdy wpiszemy nasz numer telefonu?

Okazuje się, że „weryfikacja tożsamości” wymaga:

• otwarcia aplikacji WhatsApp na telefonie
• wybrania opcji Połączone urządzenia => Połącz urządzenie
• wpisania podanego na stronie kodu

Mechanizm oszustwa może wydawać się mało wiarygodny, jednak doświadczenie wskazuje, że internauci potrafią nie zwracać uwagi nawet na tak oczywiste znaki. Co się stanie, kiedy wpiszemy zgodnie z poleceniem kod do naszej aplikacji? Oszust uzyska dostęp do WhatsApp zainstalowanego na naszym telefonie!

Na czym polega taki dostęp? Urządzenie pierwotne (telefon ofiary) i docelowe (telefon/maszyna wirtualna napastnika) mają taki sam dostęp do konta komunikatora. Cokolwiek zostanie wysłane i odebrane na jednym – pojawi się również na drugim. Oszust może więc czytać prywatne konwersacje toczone przez nas na komunikatorze, jednak zazwyczaj nie to jest jego celem. Dostęp do WhatsApp jest mu przede wszystkim potrzebny do oszustw np. „na OLX” i kontaktowania się z ofiarą z naszego konta. Po krótkiej konwersacji i przekazaniu sprzedającemu z OLX fałszywej strony płatności usunie czat, więc na pierwotnym urządzeniu nie pozostanie ślad. A oszukany będzie kontaktował się z nami – bo to przecież „my” do niego pisaliśmy.

Jak nie dać się oszukać?

W opisywanym schemacie oszustwo jest proste do rozpoznania. Pamiętaj – zawsze czytaj treść stron, które wymagają od Ciebie podania loginu, hasła, kodu, czy PIN-u. W sytuacji, gdy wybierając… paczkomat masz podać kod pozwalający połączyć urządzenie z WhatsApp to ogromna czerwona flaga!

Dostajesz SMS-a czy maila od kuriera? Wejdź na jego stronę (wpisz nazwę w przeglądarce, nie ufaj linkowi), znajdź opcję śledzenia przesyłki i wpisz numer przesyłki podany w wiadomości. Jeśli nie będzie istniał – masz pewność, że to oszustwo.

Warto o tym pamiętać, bo taki dostęp do WhatsApp dla osoby trzeciej może potencjalnie oznaczać spore konsekwencje. Bo choć na takim ataku potencjalnie niczego nie stracisz, chwila niefrasobliwości może się skończyć nawet wizytą policji. A to nic przyjemnego, tym bardziej, że dowiedzenie niewinności może nie być łatwe.

The post Oszuści podszywają się pod InPost i kradną dostęp do WhatsApp! Sprawdź jak nie dać się oszukać appeared first on CERT Orange.

Telco

Twój Smart TV pracuje dla AI?

• Badacze wykazali, że niektóre aplikacje instalowane na telewizorach Smart TV mogą przekształcać urządzenia użytkowników w elementy komercyjnych sieci proxy wykorzystywanych m.in. do zbierania danych dla modeli AI. 
• Sieci residential proxy coraz częściej wykorzystują urządzenia IoT, telefony, telewizory oraz aplikacje zawierające specjalne moduły (SDK), umożliwiające przekazywanie ruchu internetowego przez infrastrukturę należącą do zwykłych użytkowników.  
• Zjawisko stanowi nie tylko problem prywatności, ale również bezpieczeństwa – ruch generowany przez podmioty trzecie może być wykorzystywany do omijania mechanizmów antyfraudowych, prowadzenia kampanii scrapingowych lub ukrywania aktywności cyberprzestępczej. 

Badacze z Include Security opisali mechanizm działania komercyjnych sieci residential proxy wykorzystywanych na potrzeby masowego pozyskiwania danych z Internetu, w tym danych wykorzystywanych do trenowania modeli sztucznej inteligencji. Problematyka ta nie jest nowa – w marcu 2026 r. Opisywaliśmy na stronach CERT Orange Polska, w jaki sposób telewizory Smart TV i inne urządzenia konsumenckie mogą być wykorzystywane jako elementy rozproszonych sieci proxy. Najnowsze badania wskazują jednak, że zjawisko nabiera nowego znaczenia w związku z rosnącym zapotrzebowaniem na dane wykorzystywane przez sektor AI. 

Analiza wykazała, że niektóre darmowe aplikacje instalowane na urządzeniach Smart TV zawierają komponenty umożliwiające wykorzystanie połączenia internetowego użytkownika do realizacji żądań pochodzących od podmiotów trzecich. W praktyce telewizor może stać się węzłem sieci proxy, przez który przekazywany jest ruch wykorzystywany do automatycznego pobierania danych z witryn internetowych. Mechanizm ten często przedstawiany jest jako sposób finansowania darmowych aplikacji, jednak większość użytkowników nie zdaje sobie sprawy ze skali wykorzystania swoich urządzeń i adresów IP. 

Model ten opiera się na wykorzystaniu tzw. residential proxies, czyli adresów IP należących do gospodarstw domowych. Dla operatorów systemów wykrywających boty taki ruch wygląda jak aktywność zwykłego użytkownika Internetu, co znacząco utrudnia identyfikację i blokowanie automatycznych operacji. Według analiz Infoblox zjawisko osiągnęło już skalę masową – ponad 65% monitorowanych organizacji odnotowało komunikację z domenami powiązanymi z sieciami residential proxy, a liczba takich połączeń stale rośnie. Część tego wzrostu analitycy wiążą z rosnącym zapotrzebowaniem na dane wykorzystywane do trenowania i rozwoju systemów sztucznej inteligencji. 

Szczególną uwagę zwraca sposób pozyskiwania urządzeń do takich sieci. Oprócz systemów przejętych przez malware operatorzy sieci proxy coraz częściej wykorzystują legalne aplikacje zawierające specjalne biblioteki SDK umożliwiające współdzielenie łącza internetowego użytkownika. Rozwiązania takie spotykane są w aplikacjach mobilnych, programach VPN, wygaszaczach ekranu, aplikacjach streamingowych, urządzeniach IoT oraz platformach Smart TV. W efekcie właściciel urządzenia może formalnie wyrazić zgodę na udział w takim programie, nie rozumiejąc jednocześnie jego konsekwencji dla prywatności i bezpieczeństwa. 

Komentarz eksperta

Residential proxy są atrakcyjnym narzędziem zarówno dla legalnego i półlegalnego automatyzowania działań, jak i dla działalności stricte przestępczej. Ruch przechodzący przez takie sieci upodabnia się do aktywności zwykłych klientów, co może utrudniać wykrywanie na podstawie heurystyk opartych na ASN, IP lub geolokalizacji. Residential proxy znacząco komplikują też atrybucję, ponieważ technicznym źródłem incydentu staje się niczego nieświadomy użytkownik zwykłej aplikacji lub urządzenia

Analiza Infoblox wskazuje również, że infrastruktura residential proxy jest wykorzystywana nie tylko do legalnego scrapingu danych, monitorowania cen czy badań rynku. Tego typu sieci są regularnie wykorzystywane do omijania mechanizmów antybotowych, prowadzenia kampanii phishingowych, zakładania fałszywych kont, obchodzenia ograniczeń geograficznych oraz ukrywania rzeczywistego źródła ruchu podczas działań cyberprzestępczych. Oznacza to, że ruch pochodzący z legalnych adresów IP użytkowników domowych coraz częściej nie może być automatycznie traktowany jako zaufany. 

Rosnąca popularność generatywnej sztucznej inteligencji dodatkowo zwiększa popyt na tego typu usługi. Sieci residential proxy mogą być wykorzystywane do masowego pozyskiwania danych z serwisów internetowych przy jednoczesnym utrudnianiu identyfikacji zautomatyzowanego ruchu przez właścicieli witryn. Powoduje to dalszy wzrost zainteresowania pozyskiwaniem nowych urządzeń do takich sieci i zwiększa ryzyko, że telewizory Smart TV, urządzenia IoT oraz smartfony użytkowników będą wykorzystywane jako elementy infrastruktury, nad którą właściciele mają jedynie ograniczoną kontrolę. 

Patrząc szerzej

Opisywane zjawisko pokazuje, że współczesne zagrożenia coraz częściej nie wymagają kompromitacji urządzeń przy użyciu klasycznego malware. W wielu przypadkach użytkownicy sami instalują aplikacje, które zgodnie z zaakceptowanym regulaminem udostępniają część zasobów urządzenia operatorom sieci proxy. W efekcie granica pomiędzy legalnym modelem biznesowym a potencjalnym nadużyciem staje się coraz mniej wyraźna. 

Dla branży cyberbezpieczeństwa oznacza to konieczność redefinicji pojęcia „zaufanego źródła ruchu”. Skoro ruch pochodzący z adresów IP użytkowników domowych może być generowany przez sieci residential proxy, systemy antyfraudowe i rozwiązania wykrywające boty muszą w coraz większym stopniu opierać się na analizie behawioralnej i kontekstowej. Z perspektywy użytkowników rośnie natomiast znaczenie świadomego zarządzania urządzeniami Smart TV i IoT oraz ograniczania instalacji oprogramowania pochodzącego z niezweryfikowanych źródeł. 

Więcej informacji:
https://blog.includesecurity.com/2026/06/the-smart-tv-in-your-livingroom-is-a-node-in-the-aiscraping-economy/ 
https://www.infoblox.com/blog/threat-intelligence/residential-proxies-in-the-wild/ 
https://cert.orange.pl/aktualnosci/twoj-telewizor-szpieguje-internet-ciebie-tez/ 

Mobile

NFCShare – ewolucja oszustw NFC i wykorzystanie GitHuba

• Kampania NFCShare rozszerzyła zasięg z pojedynczej instytucji finansowej na wiele banków w Europie, wykorzystując fałszywe aktualizacje aplikacji bankowych.
• Atakujący wykorzystują funkcję NFC w smartfonach do pozyskiwania danych kart płatniczych oraz kodów PIN, co umożliwia przeprowadzanie oszustw z użyciem technologii zbliżeniowych.  
• Dystrybucja złośliwych aplikacji za pośrednictwem repozytoriów GitHub pokazuje rosnące wykorzystywanie legalnych platform do zwiększania wiarygodności kampanii phishingowych.

Badacze z D3Lab zaobserwowali znaczącą ewolucję kampanii NFCShare, która od początku 2026 r. przekształciła się z pojedynczej operacji phishingowej wymierzonej w klientów Deutsche Bank w wielomarkową kampanię obejmującą banki i instytucje finansowe w Europie. Najnowsze warianty wykorzystują repozytoria GitHub jako źródło dystrybucji fałszywych aktualizacji aplikacji mobilnych, co zwiększa wiarygodność całego łańcucha infekcji i utrudnia identyfikację zagrożenia przez użytkowników. 

Po instalacji aplikacja podszywa się pod legalne rozwiązania płatnicze i prezentuje użytkownikowi proces rzekomej weryfikacji bezpieczeństwa karty. Ofiara jest instruowana, aby przyłożyć kartę płatniczą do telefonu oraz wprowadzić kod PIN. W rzeczywistości malware wykorzystuje interfejs NFC urządzenia do odczytu danych EMV zapisanych na karcie i przesłania ich do infrastruktury operatorów kampanii. Pozyskane informacje są następnie wykorzystywane w atakach typu NFC relay, w których komunikacja pomiędzy kartą a terminalem płatniczym jest przekazywana przez urządzenia kontrolowane przez przestępców. 

Technika ta wpisuje się w rozwijający się od kilku lat trend nadużyć technologii NFC. Jednym z pierwszych szeroko opisanych przykładów był NGate – malware ujawniony przez ESET w 2024 r., który wykorzystywał narzędzie NFCGate do przechwytywania i przekazywania ruchu NFC pomiędzy urządzeniem ofiary a telefonem przestępcy znajdującym się przy bankomacie. Kampania umożliwiała wykonywanie wypłat gotówki bez fizycznego posiadania karty płatniczej ofiary. W kolejnych latach badacze obserwowali dalszą profesjonalizację tego typu zagrożeń. Kolejne warianty NGate wykorzystywały zmodyfikowane legalne narzędzia służące do przekazywania ruchu NFC, co utrudniało ich wykrywanie i analizę. 

Analiza D3Lab wskazuje, że NFCShare stanowi kolejny etap tej ewolucji. W przeciwieństwie do klasycznych trojanów bankowych, których głównym celem było przechwycenie danych uwierzytelniających do bankowości elektronicznej, nowe kampanie koncentrują się na pozyskaniu danych kart płatniczych umożliwiających przeprowadzenie oszustw zbliżeniowych. Oznacza to przesunięcie aktywności cyberprzestępców z obszaru kradzieży loginów i haseł w kierunku nadużyć infrastruktury płatności bezstykowych. 

Patrząc szerzej

Wyzwaniem dla sektora finansowego jest ograniczona możliwość wykrywania tego typu nadużyć po stronie banku. W przeciwieństwie do klasycznych ataków na bankowość elektroniczną, gdzie możliwe jest monitorowanie anomalii logowania, urządzeń, adresów IP czy zachowań użytkownika, w przypadku kampanii wykorzystujących NFC większość złośliwych działań realizowana jest bezpośrednio na urządzeniu ofiary. Przechwycenie danych karty, komunikacja NFC oraz proces socjotechniczny odbywają się poza infrastrukturą bankową, co znacząco ogranicza widoczność ataku dla systemów antyfraudowych. 

Oznacza to konieczność większego nacisku na ochronę urządzeń końcowych, w tym wykrywanie nieautoryzowanych aplikacji, monitorowanie prób instalacji oprogramowania spoza oficjalnych sklepów oraz rozwijanie mechanizmów Mobile Threat Defense (MTD). Obrona przed tego typu zagrożeniami będzie wymagała połączenia klasycznych systemów antyfraudowych z rozwiązaniami zwiększającymi bezpieczeństwo samych urządzeń mobilnych, które stają się głównym celem współczesnych kampanii finansowych.    

Więcej informacji:  
https://www.d3lab.net/nfcshare-evolves-from-a-banking-phishing-apk-to-a-github-hosted-android-nfc-fraud-campaign/ 

CVE Tygodnia

Ivanti Sentry: aktywna exploitacja CVE-2026-10520

• CVE-2026-10520 to krytyczna podatność w Ivanti Sentry, umożliwiająca zdalne wykonanie poleceń systemowych bez uwierzytelnienia i przejęcie systemu z uprawnieniami root.  
• Po ujawnieniu szczegółów technicznych i upublicznieniu PoC bardzo szybko pojawiły się próby wykorzystania luki.
• 11 czerwca 2026 r. CISA dodała CVE-2026-10520 do katalogu KEV, co potwierdza wykorzystywanie podatności w rzeczywistych atakach.

CVE-2026-10520 dotyczy Ivanti Sentry, komponentu wykorzystywanego w środowiskach MDM. To system działający blisko mechanizmów kontroli dostępu i ruchu kierowanego do usług wewnętrznych, dlatego jego skuteczna kompromitacja może mieć istotne konsekwencje dla organizacji. 

Jest to podatność typu OS command injection, która pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać kod z uprawnieniami root. Innymi słowy, atak nie wymaga wcześniejszego logowania ani przejęcia konta. Jeśli podatna instancja jest osiągalna z sieci, sama ekspozycja może wystarczyć do pełnego przejęcia systemu. Problem dotyczy wersji wcześniejszych niż R10.5.2, R10.6.2 i R10.7.1. 

Analiza watchTowr pokazuje też coś więcej niż sam opis podatności. Badacze zestawili wersję 10.5.1 z poprawioną 10.5.2 i wskazali, że zmiany nie ograniczały się wyłącznie do kodu aplikacji. Według ich ustaleń producent dodał również zabezpieczenia w konfiguracji Apache, aby utrudnić dostęp do podatnego endpointu przed uwierzytelnieniem. Chodzi o ścieżkę związaną z Sentry, dostępną pod /mics. To sugeruje, że poprawka miała ograniczyć nie tylko sam błąd, ale też możliwość prostego dotarcia do miejsca, w którym można go było wykorzystać. 

Shadowserver obserwował aktywność wskazującą na próby exploitacji, którym sprzyjał publicznie dostępny PoC. Ten obraz uzupełniają także dane z Shadowserver dotyczące wystawionych do internetu paneli Ivanti Sentry Admin Portal. Nie dają pełnego obrazu całej populacji systemów, ale pokazują, że powierzchnia ataku jest realna i widoczna. Przy luce typu pre-auth RCE to wystarczy, żeby podatne hosty szybko trafiły na listy celów automatycznych skanerów i prostych kampanii oportunistycznych. Jeżeli dodać do tego publicznie opisany mechanizm ataku i potwierdzenie eksploatacji, to trudno mówić już o ryzyku wyłącznie teoretycznym.     

Rys. Wystawione do internetu panele Ivanti Sentry Admin Portal. Źródło: Shadowserver. 

11 czerwca 2026 r. CISA dodała CVE-2026-10520 do KEV, potwierdzając wykorzystywanie tej podatności w rzeczywistych atakach. Dla zespołów bezpieczeństwa to zwykle jasny sygnał, że odkładanie aktualizacji znacząco podnosi ryzyko.

Patrząc szerzej

CVE-2026-10520 to kolejny przykład problemu, który regularnie wraca przy systemach brzegowych i produktach pośredniczących w dostępie do usług organizacji. Gdy podatność działa przed uwierzytelnieniem, daje wysoki poziom dostępu i da się ją szybko odtworzyć na podstawie publicznych materiałów, czas między ujawnieniem a realnym wykorzystaniem zwykle jest krótki. 

Takie przypadki przypominają, że o wadze podatności nie decyduje wyłącznie ocena CVSS ani nawet liczba wystawionych hostów. Równie istotne jest to, jakie miejsce dany produkt zajmuje w architekturze organizacji, jak łatwo odtworzyć exploit i czy pojawiają się wiarygodne sygnały aktywnego wykorzystania. W przypadku Ivanti Sentry wszystkie te elementy złożyły się na realne zagrożenie, które nie daje dużo czasu na reakcję.

Więcej informacji:
https://www.bleepingcomputer.com/news/security/max-severity-ivanti-sentry-vulnerability-now-exploited-in-attacks/ 
https://labs.watchtowr.com/more-evidence-that-words-dont-mean-what-we-thought-they-meant-ivanti-sentry-pre-auth-os-command-injection-cve-2026-10520/ 
https://dashboard.shadowserver.org/pl/statistics/iot-devices/time-series/?date_range=other_range&d1=2026-06-04&d2=2026-06-10&vendor=ivanti&type=mobile-device-management&model=sentry+admin+portal&tag=exposed-admin-panel%2B&dataset=count&limit=100&group_by=geo&stacking=stacked 

The post Krajobraz Zagrożeń – 15.06.2026 appeared first on CERT Orange.

Przestępcy posługując się syntetycznie generowanymi materiałami wideo znanych ludzi (deepfake) próbują nakłonić użytkowników do rejestracji na fałszywych platformach bukmacherskich. Jednym z kluczowych przykładów realizujących ten schemat jest zaobserwowana przez nas kampania wykorzystująca sfabrykowany materiał wideo z udziałem popularnej aktorki i influencerki Julii Wieniawy, a także gwiazdy sportu Igi Świątek. Poniżej przedstawiamy szczegółową analizę tego ataku – od mechanizmu dystrybucji, przez techniki socjotechniczne, aż po kradzież danych przez oszustów.

Reklama na Facebooku i manipulacja wizerunkiem (deepfake)

Wektor wejścia stanowią sponsorowane posty (reklamy) emitowane przez firmę Meta w ramach serwisów Facebook oraz Instagram. Kampania prowadzona jest z poziomu profili o losowej, neutralnej tematyce (np. „Street Style Culture”), co ma utrudnić automatyczną detekcję przez systemy moderacji platformy. Wpisy kuszą unikalnymi bonusami z okazji startu mundialu, jednak kluczowym elementem uwiarygodniającym jest załączone wideo z udziałem celebrytów.

W analizowanym przez nas przypadku w materiale filmowym wykorzystano wizerunki Igi Świątek oraz Julii Wieniawy (co doskonale ilustruje szerszy proceder dotykający osób publicznych). Temat ten głębiej poruszaliśmy już w 2025 roku opisując wykorzystywanie wizerunku osób sławnych w oszustwach: Celebryci w sieci oszustw. Analiza audio-wideo naszego przykładu wykazuje jednoznaczne cechy manipulacji z wykorzystaniem sztucznej inteligencji:

• Klonowanie głosu (Voice Cloning): Ścieżka dźwiękowa została wygenerowana przez algorytmy AI przeszkolone na próbkach głosu. Choć barwa i intonacja naśladują oryginał, wypowiadane kwestie brzmią nienaturalnie monotonnie
• Modyfikacja mimiki (Lipsync AI): Na oryginalne nagranie wideo nałożono cyfrowo wygenerowany ruch warg, dopasowany do podrobionego skryptu audio. Przestępcy celowo zastosowali dynamiczne, kolorowe napisy (transkrypcję) w dolnej części ekranu, aby odwrócić uwagę ofiary od artefaktów graficznych widocznych wokół ust i linii żuchwy.

Fałszywa platforma i wielkie wygrane

Kliknięcie w link zaszyty w reklamie przekierowuje użytkownika na zewnętrzną domenę – w opisywanym przez nas przypadku sportezpremium[.]com. Witryna docelowa została zaprojektowana w taki sposób, aby imitować profesjonalny panel zakładów sportowych. Przestępcy zastosowali klasyczny zestaw mechanizmów psychologicznych zaczerpniętych od faktycznych stron tego typu.

• licznik odliczający czas do meczu otwarcia oraz hasła wywierające presję, np. „Zarejestruj się jeszcze dzisiaj”,
• dynamicznie generowane powiadomienia o rzekomych wpłatach innych użytkowników, np. „Kamil z Poznań wpłacił depozyt”,
• bezprawnie użyte oznaczenia mające sugerować legalność i bezpieczeństwo, np. 18+, ikony certyfikatów SSL i licencji hazardowych.

Dodatkowym sygnałem ostrzegawczym mogą być błędy językowe i nienaturalne komunikaty. W podobnych oszustwach to częsty ślad wskazujący, że strona została przygotowana pospiesznie i nie ma nic wspólnego z legalnym serwisem.

Cel ataku „platformy bukmacherskiej”

Głównym celem kampanii jest nakłonienie użytkownika do przejścia procedury rejestracyjnej oraz dokonania pierwszej wpłaty (depozytu). Analiza omawianej witryny wskazuje na próby wyłudzenia środków za pomocą

• Spreparowanych bramek płatności: Podstawione formularze dla kart płatniczych (Visa/Mastercard) służą do kradzieży pełnych danych karty (PAN, CVV, data ważności), co umożliwia późniejsze nieautoryzowane transakcje
• Wyłudzenia środków przez BLIK: Środki wpłacane jako „depozyt” są natychmiast przetransformowane na kryptowaluty lub wypłacane bezpośrednio w bankomatach – w omawianym przypadku była możliwość jedynie wpłaty kartą kredytową
• Wykorzystywanie danych osobowych: Dane wpisane w formularzu rejestracyjnym zasilają bazy danych wykorzystywane do kolejnych ukierunkowanych ataków socjotechnicznych np. vishing/smishing (na temat smishingu więcej przeczytasz w artykule „Fałszywy SMS? Zobacz, jak rozpoznać smishing„).

Rekomendacje bezpieczeństwa i wnioski po opisanym materiale

Opisany przypadek pokazuje, że przygotowanie przekonujących materiałów deepfake staje się coraz łatwiejsze i tańsze. W okresie poprzedzającym duże wydarzenia sportowe warto zachować szczególną ostrożność wobec treści wykorzystujących wizerunek sportowców, celebrytów i influencerów.

Na co warto zwrócić uwagę:

• Sprawdzaj legalność podmiotu: legalna działalność bukmacherska w Polsce wymaga licencji Ministerstwa Finansów.
• Zachowaj ograniczone zaufanie do reklam w mediach społecznościowych: obecność reklamy na Facebooku czy Instagramie nie oznacza, że oferta jest prawdziwa.
• Weryfikuj profil publikujący reklamę: jeśli jego tematyka nie ma związku z reklamowaną ofertą, to sygnał ostrzegawczy. W analizowanym przypadku reklama była publikowana z profilu o tematyce modowej.
• Zwracaj uwagę na ślady deepfake: nienaturalny ton głosu, słaba synchronizacja dźwięku z ruchem warg i artefakty obrazu powinny wzbudzić podejrzenia.
• Nie działaj pod presją czasu: liczniki, „ostatnia szansa” i wyjątkowe bonusy to klasyczne techniki socjotechniczne.
• Nie podawaj danych karty na nieznanej stronie: przed wpisaniem danych sprawdź domenę, wiarygodność serwisu i legalność oferty.

Jeśli reklama z udziałem znanej osoby zachęca do szybkiej rejestracji lub wpłaty pieniędzy, warto założyć, że może to być próba oszustwa, i dokładnie zweryfikować źródło, zanim podejmiesz jakiekolwiek działanie.

The post Mundialowy „pewniak”, który wyczyści konto. Analiza kampanii deepfake w przededniu Mistrzostw Świata appeared first on CERT Orange.

Liczby mówią same za siebie. Według raportu CERT Orange Polska za 2025 rok Cybertarcza Orange zablokowała w ubiegłym roku 345 000 domen phishingowych i uchroniła przed utratą pieniędzy lub danych niemal 5,5 miliona użytkowników sieci Orange. Fałszywe inwestycje stanowiły aż 68% wszystkich kampanii phishingowych.

A dlaczego w ogóle dajemy się oszukiwać? Odpowiedź jest prostsza, niż myślicie — oszuści są coraz lepsi w swoich działaniach socjotechnicznych, a my wciąż zakładamy, że:

mnie to nie dotyczy

lub

ja na pewno nie dam się na to nabrać.

W poniższym tekście przeczytacie o najczęstszych scenariuszach smishingu, czyli oszustw opartych na fałszywych wiadomościach SMS. Ponieważ – niestety – dajemy się na nie nabierać, wciąż zbyt często.

SMS z linkiem? Tu nie ma przypadku

Fałszywy SMS od kuriera, banku, dostawcy energii czy ZUS-u – to nie przypadkowe wiadomości rozsyłane w ciemno. To starannie zaplanowane kampanie, które grają na emocjach:

• strachu np. przed windykacją należności
• radości z (nie)oczekiwanej paczki
• paniki po informacji o podejrzanym logowaniu

Przestępcy wiedzą, że mają tylko chwilę na przyciągnięcie naszej uwagi. Wiedzą też, że pod wpływem emocji zazwyczaj działamy instynktownie.

Jako CERT Orange Polska wykrywamy te zdarzenia, blokujemy je, a następnie ostrzegamy. W tym tekście chcielibyśmy przybliżyć najpopularniejsze scenariusze, które są wykorzystywane przez przestępców. Znajdziecie tutaj opisy i ilustracje faktycznych sytuacji, które mogą przydarzyć się wam i waszym bliskim. Warto podzielić się z nimi linkiem do tego materiału.

Każdy z opisanych poniżej scenariuszy dotyczy smishingu, czyli metody oszustwa, gdzie pierwszym punktem zaczepienia jest otrzymanie wiadomości SMS. Skąd oszuści mają nasz numer telefonu? Przeważnie są to wycieki baz danych z różnych serwisów.

Jak rozpoznać smishing? Najczęstsze warianty oszustw SMS

Fałszywa paczka

Zdarza się wam robić zakupy w internecie? Z pewnością tak, bo według raportu Fundacji Polska Bezgotówkowa zakupy w internecie w Polsce robi 70% jego użytkowników. Zakupy wiążą się z płatnościami, a to gratka dla oszustów.

Podszywanie pod: najpopularniejszych przewoźników takich jak: InPost, DHL, Poczta Polska, DPD

Scenariusz: SMS: „INPOST: Twoja paczka wymaga dopłaty 3,67 zł, zapłać aby otrzymać paczkę : inp0st-pay.pl”

Co się naprawdę wydarzyło: Wpisałeś dane karty na fałszywej stronie. Oszust natychmiast użył ich do robienia zakupów online lub wypłacenia środków. Jeśli użyłeś szybkich przelewów, istnieje ryzyko przejęcia dostępu do twojego konta.

Zwróć uwagę na: dziwna domena (inpst, inp0st, inpost-pl), prośba o dane karty za kilka złotych, presja czasowa. To sygnały ostrzegawcze wskazujące na próbę oszustwa.

Więcej o scenariuszu „Fałszywa paczka – SMS o dopłacie” znajdziesz tutaj.

Fałszywy bank

Podszywanie pod: np. PKO BP, Pekao, Erste, mBank, ING.

Scenariusz: SMS: „PKO BP: wykryliśmy podejrzane logowanie na twoim koncie. Potwierdź swoją tożsamość: pkobp-weryfikacja.com”. Wpisujesz login, hasło, a potem kod z aplikacji bankowej lub SMS-a. W ciągu kilku minut tracisz wszystkie oszczędności.

Co się naprawdę wydarzyło: Na fałszywej stronie podszywającej się pod bank podałeś dane logowania i kod weryfikacyjny, który służył do autoryzacji przelewu — nie weryfikacji tożsamości.

Zwróć uwagę na: Bank nigdy nie prosi o podanie kodu autoryzacyjnego po kliknięciu linku z SMS-a. Wszędzie tam, gdzie wprowadzasz jakiekolwiek dane logowania, zweryfikuj domenę.

Więcej o scenariuszu „Fałszywy bank – SMS o podejrzanym logowaniu” znajdziesz tutaj.

Fałszywy BLIK / „na znajomego”

Podszywanie pod: np. rodzinę i bliskich znajomych, rzekomo z nowego numeru.

Scenariusz: Nagle ktoś odzywa się z nieznanego numeru: „Mamo, zgubiłam telefon, piszę od koleżanki. Potrzebuję pilnie kodu BLIK na 500 zł, zaraz oddam”. Wysyłasz kod. Pieniędzy nigdy nie zobaczysz.

Co się naprawdę wydarzyło: Oszust losowo rozsyła takie SMS-y licząc, że ktoś w to uwierzy.

Zwróć uwagę na: kod BLIK służy do wypłaty gotówki albo opłacenia konkretnej transakcji. Dlatego kod podany obcej osobie = bezpowrotnie stracone pieniądze. Przed autoryzacją kodu BLIK w aplikacji bankowej sprawdź, gdzie są wypłacane pieniądze.

Dokładny opis scenariusza „Potrzebuję pieniędzy – SMS z prośbą o kod BLIK”, znajdziesz tutaj.

Fałszywa faktura za prąd/gaz

Podszywanie pod: np. PGE, Tauron, Enea, Energa.

Scenariusz: SMS lub e-mail: „Twoja faktura za energię nr ES1680/88/978 jest przeterminowana. Ureguluj zadłużenie 12,40 zł lub nastąpi odłączenie: pge-platnosc.pl”. Panikujesz. Płacisz. Podajesz dane karty. Tracisz kilka tysięcy złotych.

Co się naprawdę wydarzyło: Fałszywa strona płatności za energię wyłudza od ciebie dane karty. Następnie realizowane są nią transakcje w internecie aż do osiągnięcia dobowego limitu.

Zwróć uwagę na: Strach przed odcięciem prądu powoduje, że działasz bez zastanowienia – dokładnie o to chodzi oszustom. Dostawcy takich usług mogą wysyłać upomnienia w wiadomości SMS. Zwracaj szczególną uwagę na domenę.

Więcej na temat scenariusza „Fałszywa faktura – SMS o dopłacie” znajdziesz tutaj.

Fałszywy urząd (ZUS, NFZ, US, e-TOLL, gov.pl)

Podszywanie pod: np. ZUS, NFZ, Urząd Skarbowy, Inspekcja Transportu Drogowego

Scenariusz: SMS: „Masz zaległość w ZUS: 47,00 zł. Ureguluj na: zus-platnosc.pl lub sprawa trafi do komornika”. Lęk przed komornikiem czy wierzycielami działa skutecznie. Wchodzisz w link, płacisz, tracisz znacznie większe pieniądze.

Co się naprawdę wydarzyło: Fałszywa strona płatności wyłudza od ciebie dane logowania do konta. Wykorzystuje podszywanie się pod bramkę płatności. Oszust wyłudza twoje dane, aby zalogować się na twoje konto i zlecić transakcję. Ty ją autoryzujesz myśląc, że autoryzujesz znacznie mniejszą kwotę.

Zwróć uwagę na: ZUS, US i NFZ nigdy nie wysyłają linków do płatności przez SMS. Sprawy formalne zawsze mają pisemne potwierdzenie. W momencie autoryzacji transakcji bankowej czytaj uważnie powiadomienia w aplikacji lub SMS. Zwróć szczególną uwagę na kwoty i odbiorców.

Szczegółowy opis scenariusza „Fałszywy urząd – SMS o zaległości” jest opisany tutaj.

Fałszywa subskrypcja (Netflix, Disney+, streaming)

Scenariusz: SMS: „NETFLIX: Twoje konto zostało zawieszone z powodu nieudanej płatności. Zaktualizuj dane: netflix-odnowienie.pl”. Podajesz dane karty – i tracisz znacznie więcej niż miesięczna subskrypcja.

Co się naprawdę wydarzyło: Fałszywa strona płatności wyłudza od ciebie dane karty. Następnie realizowane są nią transakcje w internecie aż do osiągnięcia dobowego limitu.

Zwróć uwagę na: wszelkie sprawy związane z płatnościami za subskrypcje załatwiaj tylko po zalogowaniu do danej platformy.

Szczegółowy opis tego scenariusza znajdziesz tutaj.

Co zrobić po otrzymaniu fałszywego SMS-a? Jak nie dać się oszukać?

Na pierwszy rzut oka ogrom wariantów oszustw SMS-owych może przerażać. Mają one jednak wiele wspólnych cech.
Tak naprawdę jednak wystarczy zapamiętać kilka kluczowych wskazówek, by znacząco ograniczyć ryzyko.

Zawsze sprawdzaj:

• Czy domena w SMS-ie to oficjalna strona firmy (np. inpost.pl) czy coś podobnego (inpost-paczka.pl, inp0st.com)?
• Czy SMS zawiera skrócony link (bit.ly, tinyurl)? To podejrzane.
• Czy ktoś wywiera presję czasu? („zapłać teraz”, „wygaśnie za 24h”) — to celowe działanie, by nie dać Ci czasu na myślenie.

Pamiętaj, by nigdy:

• Nie podawać danych karty po kliknięciu linku z SMS-a.
• Nie podawać kodu BLIK nikomu, kto prosi o niego przez SMS/komunikator.
• Nie instalować aplikacji z linku otrzymanego SMS-em.
• Nie dzwonić pod numer podany w podejrzanym SMS-ie.

Jak reagować na podejrzaną sytuację?

• Masz podejrzanego SMS-a? Prześlij go do nas na 508 700 900.
• Chcesz się upewnić, czy wiadomość jest prawdziwa? Samodzielnie skontaktuj się z nadawcą poprzez nr telefonu na jego stronie internetowej.

Jako podsumowanie załączamy poniższą infografikę.

The post Fałszywy SMS? Zobacz, jak rozpoznać smishing. appeared first on CERT Orange.

Dla wielu osób cyberprzestępcy (hollywoodzki „haker”) to zakapturzony samotnik w otoczeniu pudełek po pizzy, który jednym wciśnięciem ENTER może przejąć władzę nad czyimś komputerem. W rzeczywistości prawda wygląda zgoła inaczej – większość ataków na systemy komputerowe przeprowadzają boty, a ludzcy hakerzy wybierają duże cele, takie jak korporacje czy rządy, nie zawracając sobie głowy internautami.

W przypadku przeciętnego użytkownika stosowane przez niego oprogramowanie jest wystarczająco zabezpieczone, aby automatyczne ataki były bezcelowe. Największą słabością komputera stał się człowiek, a phishing (od fishing – „łowienie”, czyli cyberataki opierające się na oszukaniu człowieka) pozostaje najpopularniejszą formą cyberataku (według CISA – Cybersecurity & Infrastructure Security Agency – ponad 90% cyberataków zaczyna się od phishingowej wiadomości).

Phishing jest tak samo kreatywny jak każda inna działalność człowieka, a wśród możliwych ataków należy wyróżnić zarówno bezpośrednie wyłudzenia w konwersacjach na istniejących portalach, podszywanie się pod zaufane osoby (najczęściej – najbliższa rodzina) oraz strony, jak i preparowanie całych, łudząco podobnych do prawdziwych, witryn.

Standardowym sposobem walki z oszustami przeprowadzającymi te ataki jest blokowanie ich stron oraz podnoszenie świadomości społecznej o ich działalności. W internecie znalazły się jednak osoby, które zdecydowały się zwalczać ogień ogniem – udają one ofiary, a następnie oszukują oszustów. Działalność taka jest nazywana scambaitingiem (łowieniem oszustów), a osoby zajmujące się nią scambaiterami (łowcami oszustów), i to właśnie na nich skupimy się w tym artykule.

Zwalczanie ognia ogniem

Wbrew powszechnemu obrazowi cyberprzestępcy większość scammerów nie ma dużych umiejętności technicznych, a ich atak opiera się na wyuczonych sztuczkach socjotechnicznych i przygotowanym skrypcie. Rzadko działają z „sekretnych baz”, a częściej z mieszkań czy zwykłych biur. Mało tego, nierzadko zakładają całe firmy udające legalną działalność.

Takie, gdzie pracownicy siedzą na open space, rozmawiają i żartują, mają kuchnię, a nawet miejsca do odpoczynku oraz wspólnego spędzenia czasu. I tak samo jak te legalne mają swoje sieci komputerowe… i tak jak w przypadku „uczciwych” systemów i maszyn, tak też tutaj najsłabszym składnikiem układanki pozostaje człowiek. Najwięcej takich biur scammerskich znajdziemy w Indiach.

„Atak” scambaitera to poniekąd „odwrócony phishing”. On także zaczyna od człowieka. Jego cele są jednak dalekie od tych, jakie mają jego rozmówcy, i wahają się od zestresowania oszusta, przez zmarnowanie jego czasu, do przejęcia kontroli nad jego komputerem, bądź nawet siecią lokalną – co może poskutkować zamknięciem działającej tam operacji phishingowej. Warto jednak pamiętać, że scambaiting to nie jest aktywność dla każdego, mogąc wiązać się z ryzykiem technicznym a nawet prawnym.

Metodologie scammerów

W tym artykule wyróżnimy dwa rodzaje phishingu: pasywny i aktywny.

Ten pierwszy polega na spreparowaniu wiadomości (e-mail, SMS, WhatsApp itp.), postu na mediach społecznościowych bądź całej witryny w celu wyłudzenia od ofiary pieniędzy (np. w sklepie internetowym) lub danych osobistych. Często zawierają
one błędy, jakie, co ciekawsze, mogły tam zostać pozostawione specjalnie w celu „odfiltrowania” uważniejszych użytkowników, którzy nie daliby się nabrać na oszustwo.

W pierwszym przypadku trudno mówić o scambaitingu, jako że proces oszustwa jest zautomatyzowany. Dlatego skupimy się na tym drugim, który wymaga bezpośredniej interakcji oszusta z ofiarą w formie rozmowy – głosowej lub tekstowej.

W zależności od przyjętej metodologii, oszust może pierwszy nawiązać kontakt z ofiarą (np. oszustwo „na kupującego” lub „na wnuczka”) bądź wysłać „zarzutkę” pod postacią wiadomości do potencjalnej ofiary, np. z wezwaniem do zapłaty.

Najpopularniejsze scamy w Polsce

Rodzime oszustwa opierające się na rozmowie można podzielić na tekstowe (rozmowa odbywa się poprzez komunikatory, najczęściej WhatsApp) i głosowe (rozmowa telefoniczna).

Kilka najbardziej rozpoznawalnych oszustw tekstowych:

• oszust kupił nasz przedmiot na aukcji internetowej (np. na portalu OLX) i wyśle po niego kuriera, tylko potrzebuje naszego
  numeru karty kredytowej, żeby wysłać nam zapłatę
• córka/syn/wnuczka/wnuczek zgubił/a telefon i pisze z urządzenia kolegi, bo potrzebuje pieniędzy na nowy
• nasza przesyłka została wstrzymana i musimy opłacić dalszy transport

i tak dalej.

W tym przypadku oszust działa masowo, a w imieniu wielu z nich rozmowę przeprowadzają boty. O ile w tej sytuacji uprawianie scambaitingu w celu zmarnowania czasu oszusta bądź przejęcia systemów jest daremne, o tyle wciąż umożliwia zdobycie informacji o oszuście i jego sposobie działania w celu chociażby ostrzeżenia potencjalnych ofiar.

Odważniejsi oszuści decydują się na spróbowanie sił w bezpośredniej rozmowie telefonicznej. Dzwonią do potencjalnej ofiary, najczęściej podając się za zaufane instytucje, np. banki, firmy pożyczkowe czy firmy ubezpieczeniowe. Takie formy ataku na ogół opierają się na wywarciu presji, np. poprzez wmawianie ofierze, że na jej dowód osobisty został wzięty kredyt, że wystąpił problem z jej funduszem inwestycyjnym albo że mogą pomóc z kredytem we frankach.

W takich przypadkach ich celem jest uzyskanie jak największej ilości danych, które mogą posłużyć zarówno do wyłudzenia kredytu naszym kosztem, jak i wykorzystania ich w przyszłych oszustwach.

Rozmowy takie bywają prowadzone osobiście, a także całkowicie automatycznie przez boty. Zdarzają się też rozwiązania hybrydowe, z człowiekiem wybierającym adekwatne kwestie następnie wypowiadane przez automat.

Ataki te najczęściej trafiają do nas zza wschodniej granicy, a numer telefonu jest zespoofowany (tj. sfałszowany, co sprawia, że odbiorca widzi inny numer niż faktycznie dzwoniący). A to utrudnia, bądź nawet uniemożliwia, odnalezienie sprawcy.

Oszustwo „na wsparcie techniczne”

Poza Polską, szczególnie w krajach anglojęzycznych, powszechne są bardziej angażujące oszustwa, gdzie scammer może spędzić wiele godzin – a nawet dni – na próbie wyłudzenia od jednej ofiary. W tym przypadku stawka toczy się o nagrodę statystycznie
większą niż u nas, bo wynoszącą od kilkuset do nawet kilkudziesięciu tysięcy dolarów.

Tutaj oszust zarzuca „przynętę”, która najczęściej przybiera postać wiadomości mailowej i ma doprowadzić do zdalnego połączenia z komputerem ofiary. Wiadomość może zawierać informacje o wykonanej/oczekującej płatności, opiewającej na kwoty rzędu kilkuset dolarów (e-mail taki może też sugerować przejęcie konta przez rzekomych oszustów, dzięki czemu ci prawdziwi
mogą wejść w rolę życzliwego bezpiecznika). Nadawcami są m.in.: PayPal, Microsoft, czy Amazon. Alternatywnie, zarzutka kusi zyskami, np. z inwestycji w kryptowaluty.

W takiej wiadomości jest wskazany numer „wsparcia”, czy też „pomocy technicznej”, na który należy zadzwonić w celu rozwiązania sprawy. Telefon odbierze człowiek podający się za wsparcie zaufanej firmy.

Tak według oszustów wygląda proces wnioskowania o zwrot środków u PayPala czy Amazona.

Warto także wspomnieć, że producenci oprogramowania do zdalnego połączenia są świadomi nielegalnego wykorzystania ich produktów. AnyDesk i TeamViewer aktywnie walczą z oszustami: blokują i zachęcają do zgłaszania ich, przekazują ich dane odpowiednim służbom, a nawet współpracują ze scambaiterami. Ciekawą metodą prewencji jest chociażby wyświetlenie ostrzeżenia o potencjalnym oszustwie w przypadku połączeń przejmujących kontrolę pochodzących z Indii. Jeszcze ciekawszy jest jej skutek uboczny: w celu uniknięcia tego ostrzeżenia oszuści zaczęli wysyłać prośby o „przejęcie kontroli nad ich maszyną”, a dopiero potem odwracać kierunek połączenia, co znacznie ułatwiło pracę ich łowcom.

Dla osób „technicznych” powyższy atak wydaje się absurdalny i trudno im uwierzyć, że ktoś może faktycznie stać się jego ofiarą.

A jednak… to działa

A przyczyn nie jest mało:

• Celem są ludzie starsi, nieobeznani z komputerami, bardziej ufni. Ataki są kierowane na osoby starsze, które często nie mają wiedzy technicznej, jaka zapaliłaby czerwone lampki i pomogłaby im wyłapać oszustwo; w dodatku nierzadko są bardziej ufne niż młodsze grupy wiekowe. To połączenie czyni ich szczególnie podatnymi na te ataki.
• Ofiara jest zestresowana wizją utraty dużych pieniędzy, co zaburza jej zdolność osądu. Tak jak w przypadku wielu innych oszustw, atakujący wywiera presję czasu na ofiarę, wywołuje wrażenie, że każda chwila zwłoki niesie za sobą coraz poważniejsze konsekwencje. W efekcie paniki ofiara nie tylko nie myśli logicznie, ale także nie ma czasu na skonsultowanie sytuacji z zaufanymi osobami.
• Oszust manipuluje ofiarą emocjonalnie. Zarówno poprzez wywołanie litości, jak i zastraszanie. Na przykład może twierdzić, że jeśli ofiara nie „zwróci” pieniędzy, to utraci on pracę bądź ofiara poniesie poważne konsekwencje prawne, łącznie z pójściem do więzienia za „kradzież pieniędzy” dużej korporacji.
• Oszuści udają profesjonalizm. Starają się, aby cały proces wyglądał profesjonalnie dla osób niezaznajomionych z technologią. Wiadomości mailowe wyglądają (wystarczająco) prawdziwie, a oszuści symulują rozbudowaną strukturę w firmie, wliczając w to hierarchię i oddział zwrotów (w tym celu często przekazują słuchawkę innemu oszustowi). W czasie oszustwa używają także wiersza poleceń, co ofiarę może przytłoczyć i sprawić wrażenie, że wykonuje zaawansowane operacje techniczne, których nawet nie rozumie.

Inaczej patrzysz na problem, gdy wiesz, czego się spodziewać

Osoby zaznajomione z tematem są świadome, że:

• Oszustwo opiera się na skrypcie. Oszust nie jest socjotechnicznym geniuszem ani nie ma szczególnej wiedzy z psychologii.
  W rzeczywistości skrypt został przygotowany przez kogoś innego, np. właściciela danej firmy phishingowej, a i to na podstawie popularnych schematów. Oszust jedynie wykonuje skrypt i bardzo źle znosi wszelkie odstępstwa od niego, nieważne, jak absurdalne by były. Na YouTube można znaleźć filmy, na których scambaiterzy doprowadzają oszustów do irytacji samym wciskaniem enter w wierszu poleceń.
• Oszustwo opiera się na całkowitej niewiedzy technicznej ofiar. W rzeczywistości proces zwrotu środków wygląda inaczej; natychmiastowe zwroty są marzeniem (mamy szczęście, jeśli czekaliśmy „tylko” kilka dni), a sklepy ściśle kontrolują wypłacane środki. Jeśli nawet doszłoby do takiej pomyłki, to odpowiedzialność byłaby po stronie wypłacającego.
• Oszuści mają silny akcent. Mówią z charakterystycznym akcentem kraju, z którego pochodzą, ale starsze osoby w swojej ufności na ogół przymykają na to oko i wierzą, że rozmawiają z prawdziwym wsparciem technicznym.
• Oszuści mają słabe nerwy. Pomimo że można oczekiwać charyzmatycznego i opanowanego mówcy jako osoby podającej się za wsparcie techniczne Microsoftu, w rzeczywistości oszuści łatwo wpadają w złość. Na nagraniach ze scambaitingu są powszechne wulgaryzmy wypowiadane przez sfrustrowanych oszustów, także kierowane w stronę ofiar. Oczywiście takie sytuacje nie mają miejsca w przypadku profesjonalnego wsparcia technicznego i być może w normalnych warunkach ofiara zauważyłaby tę oczywistą, czerwoną flagę. Niestety, kiedy oszust zaczyna krzyczeć i przeklinać, ofiara jest już na tyle zmanipulowana i wystraszona, że ignoruje ten fakt lub, co gorsza, zdaje sobie sprawę, że coś jest nie tak, że jej rozmówca nie jest tym, za kogo się podaje. W tym momencie jednak za bardzo się boi, aby przerwać proces.
• Oszuści nie mają zdolności technicznych. Szewc bez butów chodzi, a cyberprzestępca nie ma zdolności technicznych – gdyby je miał, zajmowałby się fachem ambitniejszym niż okradanie starszych ludzi. Oszust potrafi obsłużyć komputer, zestawić sesję zdalną oraz użyć funkcji „Zbadaj element” do prostej edycji strony, ale na tym kończą się jego umiejętności. Dzięki temu łatwo ulega sztuczkom scambaiterów, które umożliwiają przejęcie władzy nad jego komputerem – tunelem, jaki sam otworzył. Warto nadmienić, że inwestowanie w takiego pracownika nie jest opłacalne, a w przypadku jego ujawnienia jako scammera, bądź chociażby niezdolności do oszukiwania ze względu na brak umiejętności miękkich, dużo łatwiejsze jest znalezienie nowego.
• Nie tylko oszuści, ale całe firmy nie mają zaplecza technologicznego. Bo kosztuje. „Firmy” zajmujące się wyłudzaniem
  w założeniu mają być jak najtańsze, szczególnie że ich właściciele sami są świadomi ryzyka nagłego zamknięcia, a koszt edukacji pracowników i opłacenia specjalisty odpowiedzialnego za zabezpieczenie systemów przekracza potencjalne korzyści. Nie pomaga też fakt, że kolejne oszczędności wprowadzają kosztem oprogramowania (korzystają ze starych i/lub pirackich wersji) oraz sprzętu (decydują się na domowe routery, i to te najtańsze). Nawet podstawowe zabezpieczenia sieci Wi-Fi często są poniżej poziomu domowych, gdyż mają być dostępne dla pozbawionych umiejętności technicznych oszustów.
• Oszuści widzą małą część ukradzionej kwoty, większość idzie do ich pracodawców. W całej hierarchii osoba, która wykonuje brudną robotę, czyli wyłudzenie, widzi tylko mały procent wyłudzonej kwoty. W Indiach, w zależności od doświadczenia i wysokości łupu, jest to na ogół 5–15% (jeśli w oszustwie bierze udział więcej osób, nagroda zostaje podzielona między nie). Część zysku trafia także do lidera zespołu, którego głównym zadaniem jest monitorowanie i rozliczanie podwładnych. 70–90% skradzionej kwoty trafia końcowo do właściciela takiego „biznesu”. Oszuści otrzymują także premię bazową, która w przypadku początkujących oscyluje w granicach dolnego progu przeciętnego wynagrodzenia.
• Oszuści nazywają ofiary „klientami”. Ze zdobytych przez scambaiterów raportów i skryptów wynika, że oszuści nazywają swoje ofiary „klientami”… na czym chyba można zakończyć tę sekcję.

Scambaiting też ma swoje metodologie

Proces scambaitingu rozpoczyna się od „łyknięcia zarzutki” – odpowiedzi na wysłaną przez oszusta wiadomość. Scambaiterzy
sami przygotowują własne skrzynki, które mają zwabiać takie wiadomości, a także analizują próby phishingu zgłoszone przez innych użytkowników.

Otrzymawszy taką wiadomość, scambaiter dzwoni na wskazany numer telefonu, najczęściej udając „wzorcową” ofiarę: starszą osobę bez umiejętności technicznych. To, co nastąpi po odebraniu telefonu przez oszusta, zależy od przyjętej przez łowcę oszustów metodologii i założonego celu działania.

W tej części podzielimy łowców oszustów według metodologii i celu ich działania.

Czterej Jeźdźcy Scampokalipsy

• Iluzjonista: godzinami wodzi oszusta wizją rychłego dużego zarobku.
• Trefniś: zręcznie „odgrywa role”, nie tylko ofiary, ale także sławnej osoby czy instytucji.
• Łowca: namierza oraz upublicznia dane oszustów i ich miejsc „pracy”.
• Czarodziej: swoimi „czarami” włamuje się do komputera oszusta.

Iluzjonista: złudnej nadziei czar

Iluzjonista zajmuje się najbardziej klasycznym scambaitingiem: godzinami (albo i dniami! – oczywiście z przerwami) udaje ofiarę szczerze wierzącą scammerowi. Potulnie wykonuje polecenia oszusta w najwolniejszy i możliwie najbardziej wypełniony błędami sposób, udaje niezrozumienie, niedosłyszenie, ale także uległość i całkowite zaufanie wobec oszusta. Tworzy tym iluzję frustrującego, ale w gruncie rzeczy łatwego łupu, a oszust kontynuuje swój plan przekonany, że już niedługo „zarobi” wysoką kwotę – nieświadomy, że jedyne, co go czeka na końcu tej drogi, to śmiech scambaitera i, jeśli dzieli się swoją działalnością, jego widzów.

O ile Iluzjonista nie hakuje systemów oszustów, o tyle sam może przygotować techniczne zasadzki po swojej stronie. Dobrym przykładem jest film, który zamieścił Kitboga – jeden z najbardziej rozpoznawalnych scambaiterów – gdzie oszuści musieli przeprawić się przez niekończące się captche, wcześniej przygotowane przez widzów jego kanału. Kitboga korzysta także ze specjalnie przygotowanej, lokalnej wersji Sklepu Google, umożliwiającej mu udawanie, że właśnie zrealizował wartą setki dolarów kartę podarunkową tuż przed oczami oszusta, który jeszcze chwilę temu wierzył, że lada moment dostanie swój łup.

Jakie są korzyści takiego scambaitingu? Pierwszą jest zmarnowanie czasu oszustów, którzy przyjąwszy zarzutkę, rozmawiają z „wędkarzem” długie godziny, podczas których nie będą w stanie wyrządzić prawdziwych szkód. Drugą jest edukowanie społeczeństwa o zagrożeniach; wielu scambaiterów nagrywa i publikuje całe zdarzenie, co następnie oglądają internauci, jednocześnie zyskują wiedzę o sposobie działań cyberprzestępców. Ostatnią z korzyści jest zepsucie humoru oszustowi i zdenerwowanie go, co prowadzi do zniechęcenia do pracy – nawet jeśli niecałkowicie, to przynajmniej na najbliższe kilka godzin.

Trefniś: drobny psikus, duże zmartwienie

Trefnisiem nazywamy osobę, która odbiega od standardowej roli potulnej ofiary, a zamiast tego przyjmuje poważniejsze – a wręcz groźniejsze – role. Wśród nich można wyróżnić zespoły do zwalczania cyberprzestępczości, policję, ale także znane osoby, a nawet wirtualnych asystentów, takich jak Alexa czy Siri. Tak jak w przypadku Iluzjonisty, tutaj największymi korzyściami jest zmarnowanie czasu oszustów i edukacja społeczeństwa, ale także zestresowanie oszusta, np. wizją zmierzającego do jego
biura oddziału policji.

Jako przykład takiego scambaitera można wyróżnić aktorkę głosową IRLRosie, która wykorzystuje swoje umiejętności do pogrywania z oszustami, m.in. jako Siri „blokująca” dostęp do ofiary, wydział bezpieczeństwa Microsoftu czy… Britney Spears.

Łowca: polowanie na dane

Celem Łowcy jest zdobycie informacji o oszustach, takich jak dane osobowe oszusta i jego współpracowników, dokładny adres siedziby, a także ich ofiary i wyłudzone od nich kwoty. Łowca może działać za pomocą OSINT i innych „nietechnicznych” metod, jednak najczęściej przejmuje on kontrolę nad systemem oszusta, tym samym stając się Czarodziejem.

Czarodziej: zaklęcie zniszczenia

„Magią” są oczywiście umiejętności i wiedza techniczna, które umożliwiają Czarodziejowi przejęcie kontroli nad wrogimi maszynami.

Tak jak opisaliśmy, nierzadko poziom techniczny oszustów i ich zabezpieczeń okazuje się rażąco niski, co czyni z nich atrakcyjny cel dla tych scambaiterów. Kiedy oszust łączy się z komputerem ofiary, to scambaiter wykorzystuje jego niewiedzę i niedbałość do odwrócenia połączenia i przejęcia kontroli nad jego maszyną. Oprogramowanie skonfigurowane byle jak, wielokrotne używanie jednego ID sesji i akceptowanie próśb o połączenie – to wszystko tworzy wybuchową mieszankę, którą ugotowali sami oszuści.

Po przejęciu kontroli „czarodziej” często rozpoczyna od zdobycia danych. Czasem tutaj akcja się kończy; czasem łowca podtrzymuje połączenie dłużej, obserwuje działalność oszusta, zbiera dowody popełnionych przez niego przestępstw, a także ostrzega ofiary, jeśli oszust przejdzie do próby wyłudzenia od kogoś innego. Można znaleźć filmy, w których taką osobę udało się ostrzec dosłownie w ostatniej chwili, np. minutę przed wysłaniem oszustowi pieniędzy.

Trzecia i najbardziej spektakularna opcja to przejście do bardziej agresywnych działań, takich jak:

• kasowanie plików
• wyświetlenie widoku z kamerki internetowej (łowcy oszustów uwielbiają pokazywać oszustom ich zdjęcia z zaskoczenia)
• instalowanie złośliwego oprogramowania (chociaż w tym przypadku może wypada powiedzieć: życzliwego?); często
  w żartobliwej formie, która zaleje oszusta komunikatami w stylu: „NIE MA WIĘCEJ SCAMOWANIA” albo „SCAMMER PAYBACK TU BYLI” (Scammer Payback – znana grupa scambaitowa); oprogramowanie takie osadza się głęboko w systemie, uniemożliwiając używanie komputera;
• przejęcie kontroli nad kolejnymi urządzeniami w sieci lokalnej, w tym kamerami i routerami; dobrze przeprowadzony atak w takiej skali może poskutkować paraliżem infrastruktury oszustów

Skuteczny atak na komputer oszusta jest równoznaczny z końcem jego kariery w danym miejscu. Natomiast pozyskane dane
łowcy przekazują służbom porządkowym, które podejmują odpowiednie działania w celu ukarania przestępców i uniemożliwienia im dalszej działalności. W tym miejscu warto wrócić do wcześniejszej uwagi, że scambaiting nie jest dla każdego. Takie działania – mimo dobrej woli scambaitera – mogą okazać się niejednoznaczne moralnie i wiązać się z ryzykiem prawnym.

Warto wspomnieć, że niektórzy ze scambaiterów podejmujących te działania to często tzw. gray hat hackers, czyli hakerzy używający niekoniecznie legalnych metod i narzędzi, niemniej w etycznym celu. Dlatego też pozostają anonimowi…, ale trudno sobie wyobrazić służby ścigające ten konkretny rodzaj „wykroczenia”.

Poza ww. grupą Scammer Payback można wyróżnić takich łowców oszustów, jak: Jim Browning, Scambaiter, NanoBaiter oraz Scam Sandwich.

Scambaiting w Polsce

Scambaiting nie jest rozpowszechniony u nas tak jak za granicą, a to z prostej przyczyny: „rodzimi” nie stosują tak proaktywnych metod jak połączenie zdalne pod pretekstem wsparcia technicznego.

Z drugiej strony, scambaiting to poniekąd samo kontaktowanie się z oszustami pod przykrywką ofiary, np. w celu zdobycia informacji i dalszego ostrzeżenia prawdziwych potencjalnych ofiar oraz szerzenia świadomości społecznej. Na pewnym poziomie w taką aktywność włącza się też CERT Orange Polska. W naszym przypadku celem jest analiza aktywności oszustów, uniemożliwienie im dalszego szkodzenia ofiarom i ostrzeżenie internautów przed nowymi schematami ataków.

Tego typu inicjatywy pojawiają się także oddolnie, a polscy internauci często dzielą się próbami phishingu – zarówno w celu ostrzegania potencjalnych ofiar, jak i wyśmiania niedoszłych złodziei. Na przykład kanał Poszukiwacze Okazji na YouTube informuje i przestrzega przed działalnością oszustów internetowych, natomiast Fangotten od lat prowadzi serię Internetowi Handlarze, gdzie także przewijają się niedoszli mistrzowie cyber zbrodni.

Ostatecznie sami użytkownicy chętnie udostępniają zrzuty ekranu niedoszłych rozmów – i tak jak często ich celem jest głównie rozbawienie odbiorcy nieudolnością oszusta, tak też pomaga to zwiększyć świadomość społeczną o skali oszustw. Próby wyłudzenia na „znajomego kuriera” czy „opłaconą przesyłkę” wydają się obecnie bardziej zabawne niż groźne.

Podsumowanie

Walka wirtualnych szeryfów i przestępców nie ustaje. Dzięki rosnącej świadomości społecznej wcześniej stosowane oszustwa – na kartę podarunkową, wnuczka, kuriera czy pracodawcę – tracą swoją skuteczność. Potencjalne ofiary są ostrożniejsze, mniej ufne, niektóre banki i sklepy uczą swoich pracowników tak, aby wyczulić ich na oznaki trwających oszustw u ich klientów, a strony internetowe i producenci oprogramowania biorą poprawkę na możliwość nielegalnego wykorzystania przez złodziei.

Memem w anglojęzycznej sieci stało się „Do not redeem” („Nie realizuj kodu”). Jego źródłem jest Kitboga, który nabrał scammera, że właśnie za pomocą wartych tysiące dolarów kart podarunkowych doładował swoje własne konto, zamiast przekazać je scammerowi. Powiedzieć, że reakcją hinduskiego „wsparcia technicznego” była złość, to jak nic nie powiedzieć.

Filmy takie bawią i uczą – dzięki nim osoby starsze i nietechniczne dowiadują się o czyhających na nich zagrożeniach. Mało tego, zdarzają się tacy, którzy bawią się w scambaiting – np. babcie i dziadkowie, którzy „dają się nabrać”, aby zmarnować godziny pracy oszusta.

Z drugiej strony, oszustów nie zniechęca to w pogoni za (pozornie) łatwym zarobkiem kosztem innych osób. Zamiast kart podarunkowych, nakazują teraz wpłacanie pieniędzy do bankomatów kryptowalutowych, co zapewnia im niewykrywalność; zamiast korzystać z przestrzegających przed nimi stron, zaczynają uruchamiać własne.

Teraz, w dobie sztucznej inteligencji, zagrożenie szczególnie rośnie – sfałszowanie witryny sklepu w obcym języku, spreparowanie głosu czyjejś bliskiej osoby czy wizerunku potrzebującego to zaledwie kilka z wielu nowych oszustw, których będą się dopuszczać przestępcy. Analogicznie, sztuczna inteligencja posłuży także bezpieczniakom i scambaiterom, którzy będą zwalczać tego rodzaju działalność. Dalej będą jednak korzystać z innego potężnego narzędzia, jakim jest budowanie społecznej świadomości oraz odzieranie oszustów z wizerunku przebiegłych cyber szamanów i pozostawienie ich jako nieudolnych złodziejaszków, których łatwo doprowadzić do frustracji.

The post Scambaiting: jak działa „oszukiwanie oszustów” i gdzie kończy się zabawa  appeared first on CERT Orange.

Zaawansowane zagrożenia

Gamaredon: od chaosu nazw do spójnego obrazu arsenału.

• Gamaredon to rosyjska grupa cyberszpiegowska powiązana z FSB, od lat celująca głównie w instytucje rządowe, wojskowe i podmioty infrastruktury krytycznej w Europie Centralno-Wschodniej. 
• Ujęcie w logice GammaPhish (wejście), GammaLoad (staging), GammaWorm (propagacja) i GammaSteel (kradzież danych) pozwala lepiej śledzić ciągłość działań niż rozproszona nomenklatura poszczególnych próbek i wariantów.  
• Ważną cechą tej architektury jest redundancja. Kolejne etapy infekcji nie tylko prowadzą do następnych, ale same mogą podtrzymywać dostęp do zainfekowanego systemu. 

Gamaredon jest grupą dobrze rozpoznaną, ale opisaną niespójnie. Przez lata wokół jej aktywności narosła rozproszona nomenklatura obejmująca zarówno aliasy samego aktora, jak i nazwy rodzin, modułów oraz wariantów malware. Problem nie polegał na braku danych. Przeciwnie — danych było dużo, ale dotyczyły różnych fragmentów tego samego arsenału, co utrudniało zrozumienie relacji między poszczególnymi komponentami. 

W tym sensie seria publiakcji Sekoia porządkuje temat lepiej niż większość wcześniejszych opisów. Jej wartość nie polega na wprowadzeniu kolejnych etykiet, ale na złożeniu znanych elementów w prosty model funkcjonalny GammaPhish, GammaLoad, GammaWorm i GammaSteel, który jest zgodny z taksonomią stosowaną przez CERT-UA. Taki podział pozwala czytać aktywność Gamaredonu jako jeden łańcuch operacyjny: od wejścia, przez dostarczenie kolejnych etapów i propagację, po eksfiltrację danych. 

To ważne również dlatego, że arsenał Gamaredonu zmienił się na przestrzeni lat. Historycznie grupa była kojarzona z frameworkiem Pteranodon/Pterodo. W nowszych kampaniach widać już jednak wyraźnie odejście od tego modelu na rzecz bardziej rozproszonej, modułowej architektury. Poszczególne komponenty są bardziej wyspecjalizowane, ale nadal pozostają częścią jednej całości. Z punktu widzenia operatora daje to większą elastyczność. 

GammaPhish pełni rolę punktu wejścia. To etap inicjujący kompromitację i uruchamiający dalsze warstwy infekcji. Sam w sobie nie jest najistotniejszym elementem arsenału, ale bez niego nie dochodzi do osadzenia kolejnych komponentów. Już na tym etapie widać, że nie chodzi o jednorazowe dostarczenie payloadu, ale o przygotowanie trwałego dostępu. 

Centralne znaczenie ma GammaLoad. To nie pojedynczy loader, ale warstwa pośrednia odpowiedzialna za dostarczanie dalszych komponentów, odnawianie konfiguracji i podtrzymywanie komunikacji z infrastrukturą operatora. Właśnie tutaj najlepiej widać logistykę całej operacji. GammaLoad korzysta z mechanizmu failover, najpierw sięgając po adresy zapisane w rejestrze, a w razie potrzeby pobierając nowe wartości przez dead drop resolvers z wykorzystaniem legalnych serwisów, takich jak Telegraph, Telegram czy Check-Host. Dzięki temu infrastruktura może być odświeżana bez przebudowy całego łańcucha. 

GammaWorm pokazuje z kolei, że ten arsenał nie został zaprojektowany wyłącznie z myślą o propagacji. Odpowiada za rozprzestrzenianie się przez nośniki wymienne i zasoby sieciowe, ukrywa komponenty w Alternate Data Streams i utrzymuje trwałość przez scheduled tasks. Równocześnie pozostaje kolejnym kanałem wykonywania poleceń i podtrzymywania dostępu. To naprowadza na jeden z najważniejszych wniosków, czyli poszczególne etapy infekcji nie są wyłącznie liniowymi krokami prowadzącymi do następnych. Kilka z nich może działać niezależnie i samo pełnić funkcję backdoora. 

Ten sam mechanizm widać w GammaSteel. To właśnie tutaj wcześniejsze warstwy przekładają się na efekt operacyjny w postaci kradzieży danych. Jednocześnie sam stealer nie jest wyłącznie narzędziem eksfiltracji. Sekoia pokazuje, że jego komponenty są osadzane w rejestrze, szyfrowane z użyciem DPAPI i uruchamiane w sposób redundantny, tak aby zwiększyć szansę skutecznego działania i utrzymać możliwość dalszego wykonywania kodu. To nie jest osobny „finał” infekcji, tylko kolejna warstwa tej samej architektury. 

Najważniejsze w tej serii nie są więc kolejne próbki, tylko sposób ich ułożenia. Dopiero takie ujęcie pozwala zobaczyć Gamaredon nie jako zbiór luźno opisywanych rodzin malware, ale jako jeden, konsekwentnie rozwijany arsenał. W tym modelu nazwy mają znaczenie tylko o tyle, o ile pomagają uchwycić funkcję komponentu w szerszym łańcuchu. 

Patrząc szerzej

Z perspektywy CTI problem nazewnictwa nie jest poboczny.  Rozproszona nomenklatura utrudnia ocenę ciągłości działań przeciwnika, bo kolejne iteracje tego samego arsenału łatwo pomylić z nowymi narzędziami. W przypadku Gamaredonu seria publikacji Sekoia jest cenna właśnie dlatego, że porządkuje ten obraz i przywraca relacje między poszczególnymi warstwami infekcji. 

W dojrzałych operacjach coraz większe znaczenie ma nie pojedynczy implant, ale architektura całego łańcucha — zwłaszcza wtedy, gdy kolejne warstwy mogą działać niezależnie i każda z nich może podtrzymywać dostęp. To często ważniejsze niż sama lista nazw. 

Więcej informacji:
https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/ 
https://blog.sekoia.io/fsbs-matryoshka-2-3-gamaredons-gifts-that-keeps-unpacking-gammaload/ 
https://blog.sekoia.io/fsbs-matryoshka-3-3-gamaredons-gifts-that-keeps-unpacking-gammasteel/

Podatności

HTTP/2 Bomb – nowy atak DoS odkryty przez sztuczną inteligencję

• Odkryto nową technikę ataku typu Denial-of-Service (DoS), nazwaną HTTP/2 Bomb, wpływającą na popularne serwery HTTP, w tym NGINX, Apache HTTP Server, Microsoft IIS, Envoy oraz Pingora.  
• Mechanizm wykorzystuje połączenie dwóch znanych od lat technik – HPACK Bomb oraz HTTP/2 Low & Slow – prowadząc do gwałtownego wyczerpania pamięci serwera przy niewielkich zasobach po stronie atakującego.  
• Podatność została odkryta przez model OpenAI Codex, który samodzielnie zidentyfikował możliwość połączenia wcześniej znanych mechanizmów w nowy wektor ataku.     

Na początku czerwca 2026 roku badacze firmy Calif opublikowali szczegóły nowego ataku typu Denial-of-Service (DoS), nazwanego HTTP/2 Bomb. Szczególną uwagę zwrócił fakt, że technika została odkryta przy wsparciu modelu OpenAI Codex, który wskazał możliwość połączenia dwóch znanych od lat mechanizmów związanych z protokołem HTTP/2. 

Pierwszym elementem ataku jest HPACK Bomb. HPACK stanowi mechanizm kompresji nagłówków HTTP/2, którego zadaniem jest ograniczenie ilości przesyłanych danych poprzez przechowywanie wcześniej użytych nagłówków w dynamicznych tablicach po stronie klienta i serwera. W klasycznych atakach HPACK Bomb wykorzystywano możliwość generowania bardzo dużych struktur danych po stronie serwera przy wykorzystaniu niewielkiej ilości danych przesyłanych przez atakującego. 

W ostatnich latach producenci serwerów wdrożyli jednak zabezpieczenia ograniczające całkowity rozmiar zdekompresowanych nagłówków. Codex wskazał, że ograniczenia te nie uwzględniają kosztów związanych z przechowywaniem samych wpisów w tablicach kompresji. W efekcie możliwe stało się generowanie tysięcy niewielkich lub nawet pustych wpisów nagłówków, które zajmują niewiele miejsca logicznie, ale powodują znaczące wykorzystanie pamięci na potrzeby metadanych utrzymywanych przez serwer. 

Drugim elementem jest mechanizm HTTP/2 Low & Slow wykorzystujący kontrolę przepływu danych wbudowaną w protokół HTTP/2. Atakujący doprowadza do sytuacji, w której serwer nie może zwolnić wcześniej zaalokowanej pamięci, ponieważ połączenie pozostaje aktywne i oczekuje na możliwość dalszego przesyłania danych. Powoduje to trwałe „przytrzymanie” zaalokowanych zasobów. 

Połączenie obu technik prowadzi do powstania efektu wzmacniającego. Pierwszy etap powoduje bardzo szybki wzrost wykorzystania pamięci, natomiast drugi uniemożliwia jej odzyskanie. W testach przeprowadzonych przez autorów badań pojedynczy klient był w stanie utrzymywać około 32 GB pamięci na serwerach Apache HTTP Server oraz Envoy w czasie krótszym niż 20 sekund. Dla Envoy zaobserwowano współczynnik amplifikacji przekraczający 5700:1, co oznacza, że niewielka ilość ruchu generowanego przez atakującego prowadziła do ogromnego zużycia zasobów po stronie ofiary. 

Dodatkowym problemem jest fakt, że podatność występuje w domyślnych konfiguracjach wielu popularnych serwerów HTTP/2. Badacze oszacowali, że ponad 880 tysięcy publicznie dostępnych serwisów internetowych może korzystać z potencjalnie podatnych konfiguracji. Choć wiele z nich znajduje się za sieciami CDN i dodatkowymi warstwami ochrony, znaczna liczba usług pozostaje bezpośrednio wystawiona do Internetu. 

Patrząc szerzej

HTTP/2 Bomb jest interesujący nie tylko jako kolejna podatność typu DoS. Znacznie ważniejsze jest to, w jaki sposób została odkryta. Wszystkie elementy wykorzystane w ataku były publicznie znane od wielu lat. Zarówno HPACK Bomb, jak i różne warianty ataków Low & Slow były wielokrotnie analizowane przez społeczność bezpieczeństwa. Przez niemal dekadę nikt nie połączył ich jednak w jeden, skuteczny łańcuch prowadzący do wyczerpania zasobów serwera. 

Przypadek HTTP/2 Bomb pokazuje, że współczesne modele AI zaczynają skutecznie identyfikować nieoczywiste zależności pomiędzy istniejącymi technikami ataku. Oznacza to zmianę sposobu odkrywania podatności – coraz częściej nowe zagrożenia mogą wynikać nie z odnalezienia nieznanego błędu w kodzie, lecz z kreatywnego zestawienia publicznie dostępnej wiedzy technicznej.   

Więcej informacji:  
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb 

Cybercrime

Blockchain jako element infrastruktury cyberprzestępczej 

• Operatorzy kampanii ClickFix wykorzystali blockchain Polygon do przechowywania i dystrybucji konfiguracji infrastruktury C2.  
• Blockchain utrudnia blokowanie infrastruktury przestępczej, ale jednocześnie pozostawia publicznie dostępne ślady, które mogą zostać wykorzystane do korelacji kampanii i identyfikacji powiązań pomiędzy operatorami.  
• Technologie blockchain coraz częściej pełnią rolę elementów infrastruktury operacyjnej cyberprzestępców, a nie wyłącznie narzędzi związanych z kryptowalutami.

W odnotowanej przez analityków CERT Orange Polska kampanii ClickFix doszło do zaawansowanej ewolucji technik dystrybucji złośliwego oprogramowania, w której atakujący wykorzystali publiczny blockchain Polygon jako kluczowy element swojej infrastruktury Command and Control (C2). Przypadek ten stanowi dowód na to, że technologie zdecentralizowane przestają być wyłącznie domeną operacji finansowych, stając się odpornym na zakłócenia (takedown-resistant) i wysoce elastycznym narzędziem wspierającym operacje cyberprzestępcze w modelu Malware-as-a-Service (MaaS). 

Łańcuch infekcji rozpoczyna się od kompromitacji legalnych, podatnych stron internetowych (głównie systemów zarządzania treścią CMS), na których intruzi wstrzykują zaciemniony kod JavaScript. Kluczową innowacją jest fakt, że skrypty nie zawierają bezpośrednio zakodowanych adresów serwerów ani domen operatora. Zamiast tego loader komunikuje się z publicznymi węzłami RPC sieci Polygon, wykonując zapytanie do konkretnego smart contractu. Kontrakt ten pełni funkcję zdecentralizowanego repozytorium konfiguracji, zwracając zaszyfrowane dane zawierające aktualne adresy domen i serwerów API wykorzystywanych w dalszych etapach ataku. Ponadto pobierana konfiguracja implementuje mechanizm geofencingu, intencjonalnie wykluczając z infekcji użytkowników z regionu krajów Wspólnoty Niepodległych Państw, co stanowi istotny wektor atrybucyjny. 

Takie podejście zapewnia operatorom kampanii elastyczność i odporność na działania organów ścigania. Zmiana zablokowanej lub przejętej infrastruktury C2 nie wymaga ponownego kompromitowania stron internetowych ani modyfikacji kodu loaderów znajdujących się już na zainfekowanych witrynach. Atakującym wystarczy pojedyncza modyfikacja danych zapisanych w smart contractcie, aby wszystkie aktywne instancje kampanii automatycznie pobrały nowe adresy backendu podczas kolejnego odczytu konfiguracji.  

Po pobraniu aktualnej konfiguracji i pozytywnej weryfikacji geograficznej, użytkownikowi końcowemu prezentowana jest fałszywa strona CAPTCHA, naśladująca powszechne rozwiązania ochronne (np. Cloudflare). Wykorzystywana tu technika ClickFix opiera się w pełni na socjotechnice, a nie na exploitacji podatności technicznych w systemie ofiary. Użytkownik jest instruowany, aby skopiować do schowka, a następnie wkleić i uruchomić złośliwe polecenie bezpośrednio w konsoli systemowej. Polecenie to wykorzystuje systemowe narzędzie curl do pobrania i dyskretnego uruchomienia w tle docelowego payloadu, którym w analizowanych przypadkach były infostealery ukierunkowane na kradzież poświadczeń, plików cookie oraz kluczy do portfeli kryptowalutowych. 

Paradoksalnie technologia, która miała zapewnić przestępcom większą odporność infrastruktury oraz utrudnić jej analizę, stała się dla analityków bezpieczeństwa cennym źródłem informacji wywiadowczych (Cyber Threat Intelligence). Publiczna i transparentna natura rejestru blockchain Polygon umożliwia prześledzenie pełnej historii zmian stanów (State Changes) badanych smart contractów. Analiza ta pozwoliła na wsteczną identyfikację historycznych oraz nowo rejestrowanych domen C2, a także na korelację pozornie niezależnych operacji. Analiza dwóch różnych kontraktów o odmiennych kluczach szyfrujących wykazała, że były one zarządzane przez ten sam „podmiot finansowy”, co potwierdza współdzielenie infrastruktury w ramach jednej sieci afiliacyjnej. Przypadek ten dowodzi, że zdecentralizowana infrastruktura, choć zwiększa ciągłość działania agresora, dostarcza jednocześnie defensywom unikalnych możliwości proaktywnego mapowania i neutralizacji działań przeciwnika.   

Patrząc szerzej

Opisany przypadek nie jest pierwszym przykładem wykorzystania technologii blockchain przez cyberprzestępców i pokazuje, że rozwiązania tego typu są stosowane coraz odważniej i coraz częściej stają się integralnym elementem infrastruktury atakujących. Uprzednio opisywaliśmy między innymi kampanie wykorzystujące technikę EtherHiding, w których blockchain służył do ukrywania elementów infrastruktury operatorów ransomware-as-a-service (RaaS). Obecna kampania pokazuje, że podobne mechanizmy zaczynają pojawiać się również w ekosystemie MaaS. 

Można oczekiwać, że wykorzystanie publicznych sieci blockchain do przechowywania konfiguracji, dystrybucji wskaźników infrastruktury oraz ukrywania komponentów operacyjnych będzie rozwijane także w kolejnych latach.  

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia analiz o dane pochodzące z blockchainów. Co więcej, pojawienie się adresów ich węzłów w alertach bezpieczeństwa, powinno powodować głębszą analizę, a nie być zamykanie jako fałszywie pozytywna detekcja.    

Więcej informacji:
https://cert.orange.pl/aktualnosci/blockchain-jako-element-infrastruktury-cyberprzestepczej-analiza-kampanii-clickfix-wykorzystujacej-siec-polygon

The post Krajobraz Zagrożeń – 08.06.2026 appeared first on CERT Orange.

Niedawno w sieci pojawił się sklep internetowy działający pod domeną latwogang[.]shop. Z danych rejestracyjnych wynika, że domenę zarejestrowano 26 kwietnia 2026 r., czyli w ostatnim dniu legendarnego streamu. Sklep działał na popularnej platformie Shopify, która pozwala szybko uruchomić sprzedaż i zintegrować płatności, np. kartą lub PayPalem.

Przyjrzymy się dokładniej

W ofercie znaleźliśmy 55 produktów w cenach od 75 do 275 zł. Była to głównie odzież oznaczona logotypami „Łatwogang”. Na uwagę zasługiwały opisy produktów, które sprawiały wrażenie przygotowanych bardziej starannie niż w wielu typowych fałszywych sklepach. Zawierały m.in. informacje o technikach nadruku, co mogło zwiększać wiarygodność oferty.

Widoczna poniżej analiza dokonana przez AI wskazywałaby na to, że opisywanie treści zostały stworzone ręcznie (tj. bez użycia sztucznej inteligencji). To rzadkość w przypadku takich sklepów. Pamiętajmy jednak, że tego typu narzędzia nie dają pełnej pewności, więc wynik należy traktować ostrożnie.

Po dodaniu produktów do koszyka użytkownik był przekierowywany do strony płatności. Tam można było podjąć próbę opłacenia zamówienia kartą lub przez PayPal. To ważne, bo sama obecność działającej bramki płatniczej nie potwierdza jeszcze wiarygodności sklepu.

Na stronie znajdował się też zapis o braku możliwości zwrotu towaru z uwagi na to, iż każdy egzemplarz miał być produkowany na indywidualne zamówienie. Sam taki zapis nie przesądza jeszcze o oszustwie, ale w połączeniu z innymi elementami może być sygnałem ostrzegawczym.

Każda sztuka jest produkowana indywidualnie pod Twoje zamówienie po zaksięgowaniu
płatności. Z tego powodu nie przyjmujemy zwrotów ani wymian z powodu „nie podszedł rozmiar”,
„nie ten kolor” albo „zmieniłem zdanie”.

I na tym podobieństwa do analizowanych przez nas fałszywych sklepów się kończą. Zaczyna
się coś ciekawszego.

Nietypowe było również to, że wiele odnośników na stronie prowadziło do rzeczywistych serwisów i profili, m.in. w mediach społecznościowych, do zbiórki w serwisie Siepomaga czy materiałów prasowych. W wielu analizowanych wcześniej fałszywych sklepach linki były martwe albo prowadziły donikąd. Tutaj miały raczej wzmacniać wrażenie autentyczności.

Łatwogang czy… Strajk Polski?

Najciekawsze jednak jeszcze przed nami. O ile bowiem strona wygląda na ewidentnie fałszywy sklep, podszywający się pod popularność i markę osobistą youtubera, po wejściu na nią widzimy treści związane z witryną… strajkpolski[.]org!

Powyższy zrzut pokazuje treści ze strony docelowej, jednak dokładnie to samo widnieje na górze strony rzekomego sklepu Łatwogang. Pierwszy raz spotykamy się z sytuacją, gdy mamy do czynienia z witryną będącą zarówno fałszywym sklepem jak i „wabikiem” przekierowującym w miejsce o zupełnie innym, politycznych charakterze!

1 sierpnia 2026 milion Polaków wstrzymuje płatności do państwa, które ich okrada. Dołącz,
zanim będzie za późno.

Pod nim znajdował się licznik, odliczający czas do owego strajku. Dlaczego akurat 1
sierpnia? W sekcji pytań i odpowiedzi znajdujemy informację, że:

1 sierpnia to strategiczny moment – szczyt wakacji, gdy aparat państwa i tak działa na pół gwizdka, a my mamy cał
miesiące na mobilizację i edukację. To też rocznica zrywu, który Polacy rozumieją. Cel: 1+ MILION
aktywnych uczestników. Im więcej nas, tym większe ich PRZERAŻENIE. Dołącz. Przekaż dalej.
TERAZ.

Ta druga strona zawierała hasła polityczne, licznik odliczający czas do zapowiadanego „strajku”, zestaw postulatów, wykresy oraz zachęty do wpłat i zapisania się do newslettera. W sekcji pytań i odpowiedzi umieszczono również zastrzeżenie, że publikowane treści nie stanowią porady prawnej.

Tutaj jednak analiza AI, jest bezlitosna i wskazuje na 80% prawdopodobieństwo autorstwa sztucznej inteligencji. Nie jest to oczywiście rozstrzygający dowód. Jak wspominaliśmy wcześniej – nie można mieć 100% zaufania dla tego typu narzędzi.

Dlaczego ktoś połączył podejrzany sklep z promocją takiej strony? Na obecnym etapie można jedynie stwierdzić, że oba elementy wyglądały na część szerszej operacji i warto obserwować dalszy rozwój sprawy.

Co na to sam Piotr „Łatwogang” Hancke? Na swoich mediach społecznościowych stanowczo odcina się od tej platformy i przestrzega przed oszustami.

Jak nie dać się oszukać, robiąc zakupy w internecie?

Zanim zrobisz pierwszy zakup w nieznanym sklepie, poświęć kilka minut na podstawową weryfikację. W praktyce warto:

• sprawdzić dane kontaktowe sklepu i spróbować skontaktować się ze sprzedawcą
• zweryfikować adres firmy, np. w mapach lub Street View
• przeczytać regulamin i politykę prywatności, zwracając uwagę na dane sklepu
• sprawdzić, czy firma figuruje w CEIDG lub KRS, jeśli deklaruje działalność gospodarczą
• sprawdzić datę rejestracji domeny i porównać ją z deklarowaną historią sklepu
• zachować ostrożność wobec ofert opartych wyłącznie na emocjach, presji czasu lub chwilowej popularności

Najważniejszy jest jednak zdrowy rozsądek. Jeżeli sklep nagle pojawia się przy okazji głośnego wydarzenia, nie ma wiarygodnej historii, a jednocześnie od razu próbuje sfinalizować płatność, warto zachować szczególną ostrożność. To kolejny przykład schematu, który obserwujemy przy analizie fałszywych sklepów internetowych.

Bardziej szczegółowa analiza wskazała kilka dodatkowych sygnałów ostrzegawczych. Stream zakończył się 26 kwietnia, a rozbudowane dokumenty, takie jak polityka prywatności i regulamin, były datowane na 29 kwietnia. Te dokumenty zawierały aż 24 strony. Przy tak krótkim czasie przygotowania można brać pod uwagę wykorzystanie narzędzi automatyzujących tworzenie treści, choć sam ten fakt nie rozstrzyga jeszcze o charakterze operacji.

Analiza techniczna

Pliki w folderze /assets/ mają 8-znakowe identyfikatory/hash, co jest domyślną konfiguracją narzędzia Vite, wspieranego przez Shopify i wykorzystującego AI do budowania sklepów. Obie analizowane strony używają tego samego wzorca. Użyte grafiki (np. logotypy) mają takie same hashe.

Strona strajkpolski[.]org używa koloru #DC2626 = Tailwind red-600, to defaultowy kolor z Tailwind CSS, popularnego narzędzia AI do tworzenia stron internetowych.

Ciekawy był również moment wystawienia certyfikatu SSL dla jednej z domen (dopiero 31 maja). Może to sugerować, że część zaplecza została uruchomiona później niż sama domena, choć bez dodatkowych danych nie da się przesądzić o dokładnym scenariuszu

Adresy IP prowadzą do domeny https://vercel.com. Tak więc obydwie strony są hostowane na tej samej platformie i w tym samym regionie AWS (wskazują na to dwie podsieci 216.150.1.0/24 i 216.150.16.0/24). Być może obie strony zostały utworzone z tego samego konta użytkownika.

W kodzie strony znaleźliśmy również odwołania do elementów związanych z ofertą sklepu oraz do zasobu w domenie supabase[.]co, który mógł pełnić funkcję zaplecza danych. Na stronie finalizacji koszyka widoczny był też odnośnik prowadzący do panelu administracyjnego Shopify. Tego typu elementy pomagają odtworzyć techniczne zaplecze serwisu, choć nie zawsze pozwalają jednoznacznie zidentyfikować sprawców.

Jeden z linków na stronie finalizacji koszyka hxxps://checkout.latwogang[.]shop/admin, kieruje do okna logowania panelu administracyjnego we wspomnianej już platformie Shopify hxxps://accounts.shopify[.]com/lookup?rid=0f26250a-210b-4109-90ca-7c5f41530743&verify=1780404436-XYVhYpTN4IUl0DXDXgOiSXA7IHZ2lWOsqYqWXAemPso%3D

Wniosek jest prosty: nawet jeśli sklep wygląda wiarygodnie, korzysta z rozpoznawalnych narzędzi i odwołuje się do prawdziwych wydarzeń, nie należy zakładać, że jest autentyczny. Przy zakupach w internecie warto najpierw sprawdzić sprzedawcę, a dopiero później podawać dane i płacić za zamówienie.

The post Fałszywy sklep wykorzystuje popularność Łatwoganga. Jak rozpoznać oszustwo? appeared first on CERT Orange.

W analizowanej operacji blockchain sieci Polygon został wykorzystany jako rozproszony magazyn informacji, umożliwiający dynamiczne wskazywanie aktualnych adresów infrastruktury kontrolowanej przez atakujących. Rozwiązanie to pozwala na zmianę backendu kampanii bez konieczności modyfikowania kodu osadzonego na zainfekowanych stronach internetowych.

Niniejszy artykuł przedstawia pełny łańcuch infekcji – od kompromitacji legalnych witryn, przez wykorzystanie techniki ClickFix, aż po pozyskanie konfiguracji z wykorzystaniem smart contractu działającego w sieci Polygon.

Kompromitacja stron internetowych jako punkt wejścia

Łańcuch infekcji rozpoczyna się od przejęcia legalnych stron internetowych (najczęściej przy użyciu podatności w systemach CMS). Uzyskany dostęp nie był wykorzystywany do klasycznego defacementu lub bezpośredniego hostowania malware. Zamiast tego atakujący wstrzykiwali do publikowanych artykułów fragment kodu JavaScript odpowiedzialny za inicjalizację kolejnych etapów infekcji. Takie podejście zapewnia wysoką skuteczność kampanii. Użytkownik odwiedza bowiem legalną, zaufaną stronę internetową, której reputacja nie budzi podejrzeń ani po stronie ofiary, ani po stronie rozwiązań ochronnych.

W jednym z przypadków zwróciliśmy uwagę na fakt zaatakowania jednej strony przez dwóch różnych operatorów, z których każdy umieścił w jej kodzie niemal ten sam skrypt. Jedyną różnicą była subtelna zmiana w konfiguracji loadera, którą opiszemy w dalszej części. Kod umieszczony na stronach został celowo ukryty przed analizą poprzez zastosowanie kilku warstw obfuskacji. Pierwsza warstwa wykorzystuje kodowanie Base64, natomiast druga realizuje dodatkowe szyfrowanie danych przy użyciu operacji XOR.

Już na tym etapie można zauważyć charakterystyczne podejście autorów kampanii. Obfuskacja nie ma na celu zapewnienia wysokiego poziomu ochrony kryptograficznej. Jej zadaniem jest raczej utrudnienie masowej analizy, ograniczenie skuteczności sygnatur oraz ukrycie najbardziej interesujących elementów infrastruktury.

Dopiero po odszyfrowaniu ukazuje się właściwy loader odpowiedzialny za komunikację z dalszymi komponentami kampanii.

Dostarczenie loadera JavaScript

Loader został zaprojektowany jako niewielki moduł inicjalizacyjny, którego głównym zadaniem jest dynamiczne pobranie właściwego komponentu z infrastruktury operatora. Nie zawiera on docelowego payloadu, pełniąc jedynie rolę pośrednika między zainfekowaną przeglądarką a serwerem sterującym.

Pierwszym etapem działania jest zabezpieczenie przed wielokrotnym uruchomieniem poprzez ustawienie globalnej zmiennej __BW_SCRIPT_INITIALIZED__. Dzięki temu skrypt nie zostanie wykonany ponownie, nawet w przypadku wielokrotnego załadowania na tej samej stronie.

Istotnym elementem jest wykorzystanie blockchaina Polygon jako zdecentralizowanego mechanizmu przechowywania konfiguracji. Loader wysyła zapytanie eth_call do jednego z kilkunastu publicznych węzłów RPC Polygon i odczytuje wynik funkcji wskazanej przez selektor b68d1809. Zwrócona wartość zawiera nazwę domeny lub adres serwera panelu kontrolnego. Takie rozwiązanie utrudnia przejęcie infrastruktury przez obrońców, ponieważ adres C2 nie jest zapisany bezpośrednio w kodzie.

Rys. 1. Konfiguracja loadera.

Po uzyskaniu adresu panelu loader buduje zestaw endpointów API odpowiedzialnych za pobieranie konfiguracji (cfg), inicjalizację sesji (init), pobieranie modułów (js) oraz raportowanie zdarzeń (evt). Komunikacja z tym API jest dodatkowo ukrywana za pomocą własnego mechanizmu szyfrowania.

Kod implementuje kilka funkcji kryptograficznych. Zawiera obsługę RC4, SHA-256 oraz AES-GCM. Dane przesyłane do serwera są pakowane do parametrów URL w postaci zaszyfrowanych blobów Base64URL. Odpowiedzi API mogą być odszyfrowywane zarówno przy użyciu starszego mechanizmu oznaczonego jako q2, jak i nowszego wariantu gcm1 wykorzystującego AES-GCM.

Po pobraniu konfiguracji loader dynamicznie wybiera jeden z wielu trybów działania. Zdefiniowane są między innymi moduły browser, font, recaptcha, cloudflare, cf_update, mac_recaptcha oraz mac_cloudflare. Oznacza to, że faktyczna funkcjonalność jest dostarczana dopiero na późniejszym etapie i może być dostosowywana do systemu operacyjnego, przeglądarki lub rodzaju kampanii.

Następnie wykonywana jest funkcja loadModeScript(), która pobiera kolejny skrypt JavaScript z endpointu API. Loader nie zawiera tego kodu lokalnie – jest on dostarczany na żądanie z infrastruktury operatora. Takie podejście pozwala na szybką wymianę payloadów bez konieczności modyfikowania samego loadera.

Kod posiada również mechanizm telemetryczny. Funkcja logEvent() wysyła do serwera informacje o zdarzeniach związanych z wykonaniem kampanii. Pozwala to operatorom monitorować skuteczność infekcji, błędy oraz aktywność ofiar.

Analizowany kod to typowy stager/loader JavaScript. Jego główne cechy to: wykorzystanie blockchaina do przechowywania konfiguracji C2, szyfrowana komunikacja z API, dynamiczne pobieranie kolejnych modułów oraz możliwość szybkiej rotacji infrastruktury poprzez zmianę smart contractu i kluczy kryptograficznych. Jedyna funkcjonalna różnica pomiędzy analizowanymi próbkami wskazuje na wykorzystanie dwóch różnych kampanii lub dwóch niezależnych instancji tej samej infrastruktury.

Porównując różne wersje loadera, można zauważyć dwie istotne różnice.

Pierwsza to adresy smart contractów:

CONTRACT_ADDRESS:'0x994Cb8274721E5d6dAA4fE3FeBf80CF9237A9ae8'
CONTRACT_ADDRESS:'0x9130ec7e8B20646ad30E1386d1b45Cd26EB0e07b'

Loader wykorzystuje blockchain Polygon jako mechanizm przechowywania aktualnego adresu serwera C2/panelu administracyjnego. Zmiana adresu kontraktu pozwala operatorom przenieść infrastrukturę bez konieczności modyfikowania samego loadera.

Drugą różnicą jest klucz API_Q2_KEY_HEX:

49f1213251b35c468ae5699c3715b4f16bde9910c9e17b7b33ffd23e02c9fc05
26acb2471fd8f8bbde422096c50e439a5542fe4725f06158c57bd8367aae040e

Jest to 256-bitowy klucz wykorzystywany do szyfrowania i odszyfrowywania komunikacji z API. Zmiana tego klucza powoduje, że każdy loader komunikuje się z własnym zestawem danych konfiguracyjnych oraz może obsługiwać odrębne kampanie.

Blockchain jako mechanizm odnajdywania infrastruktury

Najciekawszym elementem analizowanego przypadku jest sposób pozyskiwania adresu serwera wykorzystywanego przez operatorów.

Loader zawiera jedynie adres smart contractu działającego w sieci Polygon oraz identyfikator funkcji, która ma zostać wywołana. Następnie wykonywane jest zapytanie do kontraktu za pośrednictwem jednego z czternastu publicznych węzłów RPC. W rezultacie przeglądarka ofiary nie komunikuje się początkowo z serwerem kontrolowanym przez przestępców. Zamiast tego odczytuje informacje zapisane w blockchainie. Dopiero odpowiedź zwrócona przez smart contract zawiera aktualny adres infrastruktury wykorzystywanej przez operatorów kampanii. Oznacza to, że blockchain pełni funkcję zdecentralizowanego systemu rozgłaszania konfiguracji.

Paradoksalnie wykorzystanie blockchaina zwiększa również możliwości analityczne obrońców, ponieważ historia zmian konfiguracji pozostaje publicznie dostępna i może być korelowana pomiędzy kampaniami.

Rys. 2. Domeny C2 zapisane w kontrakcie.

Zalety wykorzystania blockchaina z perspektywy atakujących

Takie rozwiązanie przynosi operatorom szereg korzyści.

Przede wszystkim adres serwera C2 nie jest zapisany bezpośrednio w kodzie JavaScript umieszczonym na zainfekowanych stronach. Analiza pojedynczej próbki nie pozwala więc natychmiast zidentyfikować aktywnej infrastruktury.

Dodatkowo zmiana backendu kampanii wymaga jedynie aktualizacji danych zapisanych w kontrakcie. Nie jest konieczna ponowna kompromitacja stron internetowych ani aktualizacja loadera.

Atakujący zyskują również dodatkową odporność na działania obronne. Nawet jeśli część domen zostanie zablokowana lub przejęta, wszystkie aktywne implanty nadal mogą odnaleźć nową infrastrukturę przez odczyt danych z blockchaina. Potwierdzeniem tej funkcjonalności jest analiza zapisów w blockchainie (rys. 2). Dokładnie widać kolejne domeny wykorzystywane przez tego operatora. 

Analiza obu kontraktów wykazała, że są one powiązane z tym samym podmiotem identyfikowanym w platformie analitycznej blockchain. W połączeniu z niemal identycznym kodem loadera, sposobem komunikacji z backendem oraz analogiczną logiką działania dowodzi to, że obie kampanie były obsługiwane przez tego samego operatora lub tę samą infrastrukturę operacyjną. Dzięki temu możliwe było rozszerzenie analizy o inne kontrakty i transakcje powiązane z tym samym podmiotem, co pozwoliło na identyfikację dodatkowych elementów infrastruktury wykorzystywanej w kampaniach, w tym konfiguracji powiązanych z kolejnymi operacjami.

Rys. 3. Aktywność „kontraktowa” threat actora.

W efekcie smart contract pełni funkcję zdecentralizowanego mechanizmu dystrybucji konfiguracji, który pod względem operacyjnym realizuje część celów osiąganych tradycyjnie przez DGA i fast-flux.

Od blockchaina poprzez ClickFix do malware typu infostealer

Po uzyskaniu aktualnej konfiguracji z blockchaina loader pobiera dalsze komponenty, w tym konfigurację oraz zakodowany skrypt PowerShell (rys. 4).

W analizowanych kampaniach widoczny jest parametr bc (Blocked Countries), który jest używany przez moduł v3.js (recaptcha) do geofiltrowania ofiar. Oznacza to, że użytkownicy z tych krajów (Rosja, Białoruś, Ukraina, Kazachstan, Azerbejdżan, Gruzja, Armenia) nie są obejmowani kampanią i mogą otrzymywać alternatywną lub nieszkodliwą zawartość. Takie wykluczenie jest powszechnie spotykane u cyberprzestępców działających z Rosji, operatorów MaaS (Malware-as-a-Service), grup ransomware oraz operatorów infostealerów (Lumma, StealC, Rhadamanthys, Vidar itp.).

W dalszej części, po spełnieniu warunków, ofierze prezentowana jest Fake CAPTCHA. Atak wykorzystuje technikę ClickFix, która w ostatnim czasie stała się jednym z najpopularniejszych mechanizmów dostarczania malware. Jej skuteczność wynika z faktu, że użytkownik sam wykonuje działania prowadzące do uruchomienia złośliwego kodu.

Rys. 4. Skrypt wraz z konfiguracją (pobrany z serwera C2).

Rys. 5. Zdekodowany skrypt pobrany z serwera C2.

Ofiara otrzymuje komunikat przypominający mechanizmy weryfikacyjne Cloudflare lub CAPTCHA. Następnie proszona jest o wykonanie kilku prostych kroków prowadzących do nieświadomego uruchomienia polecenia systemowego (rys. 6).

Rys. 6. Fałszywa CAPTCHA wraz z prezentowanym poleceniem systemowym.

W przeciwieństwie do klasycznych exploitów atak nie wykorzystuje podatności w systemie operacyjnym. Zamiast tego wykorzystuje zaufanie użytkownika oraz jego aktywny udział w procesie infekcji.

Analizowana linia polecenia uruchamia interpreter cmd.exe, który za pomocą narzędzia curl pobiera plik wykonywalny z adresu hxxps://framesavecloudjs[.]beer/api/index.php?a=ex&i=36ec115d30a81048634ec26be52da8d7aedab9624adecd23673e37c2c6f9c0ce i zapisuje go w katalogu tymczasowym systemu Windows pod nazwą vxs.exe. Następnie pobrany plik jest uruchamiany w tle przy użyciu polecenia start /b, co minimalizuje widoczność procesu dla użytkownika. Parametr i zawiera unikalny identyfikator kampanii lub sesji wykorzystywany przez serwer do zwrócenia odpowiedniego ładunku, natomiast znak ^ przed & służy do poprawnej interpretacji polecenia przez interpreter CMD oraz może utrudniać wykrywanie przez proste mechanizmy detekcji. Końcowa część rem Verification code: B9B94A20DBF5 jest wyłącznie komentarzem i nie wpływa na wykonanie kodu – pełni rolę socjotechniczną, imitując kod weryfikacyjny prezentowany użytkownikowi w fałszywym oknie CAPTCHA lub komunikacie bezpieczeństwa. W efekcie jedynym celem skryptu jest pobranie zdalnego pliku wykonywalnego i jego uruchomienie na systemie ofiary.

Finalnym etapem analizowanego łańcucha infekcji jest instalacja na komputerze ofiary malware typu infostealer. Jest to popularne złośliwe oprogramowanie specjalizujące się w kradzieży danych uwierzytelniających, zapisanych haseł, plików cookie, tokenów sesyjnych, danych kart płatniczych oraz informacji z portfeli kryptowalut.

Taka architektura wskazuje na wykorzystanie modelu Malware-as-a-Service (MaaS), w którym początkowy łańcuch infekcji jest oddzielony od końcowego ładunku. Dzięki temu operatorzy mogą dynamicznie zmieniać dostarczane złośliwe oprogramowanie bez konieczności modyfikowania infrastruktury wykorzystywanej do dystrybucji, dostosowując kampanię do bieżących celów i potrzeb.

Wnioski

Analizowana kampania pokazuje ewolucję współczesnych operacji cyberprzestępczych w kierunku coraz większej modularności infrastruktury. Blockchain nie jest tutaj wykorzystywany jako kanał komunikacji z malware ani mechanizm finansowania działalności. Jego rola sprowadza się do funkcji odpornego na zakłócenia repozytorium konfiguracji, umożliwiającego dystrybucję aktualnych adresów infrastruktury operacyjnej. Analizowana kampania pokazuje, że technologie blockchain coraz częściej pełnią rolę elementów infrastruktury operacyjnej, a nie wyłącznie środka transferu wartości.

Takie podejście znacząco utrudnia działania obronne, ponieważ eliminacja pojedynczej domeny lub serwera nie prowadzi do unieszkodliwienia całego łańcucha infekcji. Jednocześnie wykorzystanie publicznej infrastruktury blockchain powoduje, że ruch generowany przez malware częściowo miesza się z legalnym ruchem sieciowym. Jest to przykład rosnącego trendu polegającego na wykorzystywaniu technologii zdecentralizowanych jako elementów infrastruktury cyberprzestępczej, a nie wyłącznie jako mechanizmów finansowych. To właśnie ten aspekt należy uznać za najbardziej interesujący element techniczny całej kampanii.

Piotr Chęciński
Bartłomiej Zieliński
Ireneusz Tarnowski

The post Blockchain jako element infrastruktury cyberprzestępczej. Analiza kampanii ClickFix wykorzystującej sieć Polygon. appeared first on CERT Orange.

Artykuł opisuje falę oszustw internetowych, w których cyberprzestępcy podszywają się pod Pocztę Polską, wysyłając fałszywe maile z informacją o rzekomym zatrzymaniu paczki i konieczności zapłaty cła. Przedstawia on sposoby rozpoznawania tych oszustw oraz pokazuje, jak uniknąć tego zagrożenia.

Pułapka w skrzynce mailowej: Rzekome cło do zapłaty

Wszystko zaczyna się od maila, którego wygląd możecie zobaczyć na poniższym zrzucie ekranu. Przestępcy gdrają tutaj na prostych emocjach – oficjalny, pilny ton i niska kwota mają sprawić, że klikniemy bez dłuższego zastanawiania się.

Z treści wiadomości wynika, że trzeba dopłacić 16.40 zł (cło i opłata operacyjna) za paczkę o numerze PL93840211502XP. W polu nadawcy wyświetla się wprawdzie napis „Poczta Polska S.A.”, ale wystarczy sprawdzić sam adres e-mail, żeby od razu zauważyć oszustwo. Wiadomość wysłano z adresu support@periti-industriali[.]firenze[.]it, należącego do włoskiej domeny, która najprawdopodobniej została przejęta.

Jak rozpoznać podrobiony panel płatności

Jeśli klikniemy czerwony przycisk „Ureguluj opłatę online”, trafimy na fałszywą stronę internetową. Strona ta na pierwszy rzut oka wygląda identycznie jak prawdziwy portal Poczty Polskiej. Oszuści skopiowali logotypy, charakterystyczne czerwone barwy i całe menu nawigacyjne. Główny dowód na to, że jesteśmy na fałszywej stronie, widać na pasku adresu przeglądarki. Zamiast oficjalnej domeny Poczty Polskiej, znajduje się tam adres z rumuńskim rozszerzeniem: poczta-polska[.]aniamis[.]ro/checkout.html.

Schemat wyłudzenia danych przebiega w dwóch etapach:

1. Dane adresowe: Najpierw formularz każe nam wpisać imię, nazwisko i dokładny adres zamieszkania.
2. Dane karty: W kolejnym kroku pojawia się pole na wpisanie numeru karty, daty jej ważności oraz 3-cyfrowego kodu CVV/CVC. Wpisane dane od razu są wysyłane do oszustów.

Ekran oczekiwania – co dzieje się w tle?

Gdy zatwierdzimy formularz, na ekranie pojawia się animacja ładowania z komunikatem, że płatność jest weryfikowana, a adres zmienia się na poczta-polska[.]aniamis[.]ro/loading.html.

Kiedy użytkownik czeka, myśląc, że system przetwarza transakcję, oszuści po drugiej stronie próbują szybko wykorzystać zdobyte dane. Najczęściej w tym samym momencie dodają kartę do portfeli elektronicznych, takich jak Apple Pay czy Google Pay lub od razu próbują zakupów w internecie. Ten czas jest im potrzebny na wygenerowanie prośby o kod autoryzacyjny z banku (np. SMS), który zaraz spróbują od nas wyłudzić na kolejnej podmienionej podstronie.

Jak nie dać się złapać? Na co uważać

Przed wieloma takimi próbami ataków można się skutecznie bronić, jeśli zachowamy podstawową czujność:

• Poczta Polska nigdy nie przysyła linków do zewnętrznych paneli płatności.
• Jeśli faktycznie czekasz na paczkę od tego operatora, zweryfikuj numer swojej przesyłki i sprawdź jej status na stronie przewoźnika.
• Zawsze sprawdzaj adres URL w przeglądarce. Końcówki typu .ro, .it czy .net połączone z polską nazwą firmy kurierskiej to to bardzo silny sygnał ostrzegawczy, że mamy do czynienia z oszustwem.

Dane techniczne tej kampanii (IoC):

• Adres e-mail nadawcy: support@periti-industriali[.]firenze[.]it
• Domena oszustów: poczta-polska.aniamis[.]ro
• Spreparowany nr przesyłki: PL93840211502XP
• Tytuł wiadomości mailowej: Powiadomienie o zatrzymaniu przesyłki do kontroli celnej
• Pełna wiadomość mailowa: Informujemy, że Twoja przesyłka o numerze PL93840211502XP została zatrzymana do kontroli celnej. Aby kontynuować proces doręczenia, wymagane jest uregulowanie należności celno-podatkowych.

Jeśli ktoś podał swoje dane na tej stronie, powinien jak najszybciej skontaktować się z bankiem i zastrzec kartę.

The post Uważaj na fałszywe maile z podszyciem pod Pocztę Polską. Oszuści masowo wyłudzają dane kart appeared first on CERT Orange.