Nowa fala oszustw wymierzona w polskich kierowców przybiera na sile. Cyberprzestępcy perfekcyjnie grają na naszych emocjach – wykorzystują strach przed rosnącymi karami i chęć szybkiego zaoszczędzenia pieniędzy. Zobacz, jak krok po kroku wygląda ten atak, by nie stać się kolejną ofiarą.

SMS, który ma wywołać panikę

Wszystko zaczyna się od wiadomości tekstowej:

[mObywatel][Numer dokumentu] Numer sprawy: PL-2026-886521 [Data wydania] 29 maja 2026 r.
[Szczegóły wykroczenia] Przekroczenie prędkości:

Do właściciela pojazdu: System potwierdził, że Twój wpis o wykroczeniu drogowym wszedł w fazę rozliczeń. Zgodnie z odpowiednimi zmianami w przepisach ruchu drogowego, nadal możesz skorzystać z 50% zniżki na mandat, ale zniżka ta automatycznie wygaśnie po 24 godzinach
Konsekwencje braku zapłaty:
– Kwota mandatu zostanie natychmiast przywrócona do pierwotnej wysokości.
– Opłata za opóźnienie w płatności w wysokości 0,5% bedzie naliczana codziennie.
– Ten wpis o wykroczeniu uniemożliwi Twojemu pojazdowi zaliczenie corocznego przeglądu technicznego.
Aby wyświetlić szczegóły naruszenia i zapłacić grzywne, prosimy o odwiedzenie poniższego linku:
hxxps://infomobywatel-oplata[.]cc/pl

W treści pojawia się fałszywy numer sprawy i groźba: jeśli nie uregulujesz mandatu natychmiast, kwota wzrośnie, zaczną rosnąć odsetki, a Twój samochód… nie przejdzie corocznego przeglądu technicznego. To oczywiście absolutna bzdura, ale w stresie i pośpiechu wielu kierowców traci czujność i klika w załączony link. Co dzieje się dalej?

Rządowa strona z… Wysp Kokosowych

Link z SMS-a przenosi ofiarę na stronę internetową, która na pierwszy rzut oka wygląda bardzo wiarygodnie. Jest polskie godło, jest znajomy interfejs i nawet „ekran ładowania” aplikacji mObywatel. Jeśli jednak spojrzysz na pasek adresu URL, szybko zorientujesz się, że coś tu nie gra.

Adres, który się wyświetla to infomobywatel-oplata[.]cc. Prawdziwe strony polskiej administracji zawsze kończą się na .gov.pl. Końcówka .cc to domena krajowa przypisana do… australijskich Wysp Kokosowych.

Strona jest przygotowana w taki sposób, by utwierdzić Cię w przekonaniu, że masz problem. Po wpisaniu jakiegokolwiek numeru rejestracyjnego (nawet zmyślonego!), system od razu „odnajduje” mandat na kwotę 91 zł (po obiecanej zniżce z 182 zł) i nakłania do natychmiastowej opłaty. Oszuści zdradzają się tutaj jeszcze jednym szczegółem – łamaną polszczyzną. Komunikaty w stylu „Istnieje niezapłacona mandat drogowy” to znak rozpoznawczy translatorów.

Kradzież. Nie chodzi o 91 złotych!

Docieramy do najważniejszego momentu całej operacji. Oszuści informują, że „Akceptowane są wyłącznie płatności kartą”. Proszą o podanie wszystkich wrażliwych danych:

• numeru karty płatniczej
• daty ważności
• kodu CVV/CVC
• imienia i nazwiska

Jeśli myślisz, że ryzykujesz utratę zaledwie 91 złotych, jesteś w ogromnym błędzie. Podając te informacje dajesz przestępcom pełen dostęp do swoich pieniędzy. W ułamku sekundy Twoja karta może zostać podpięta do wirtualnego portfela oszusta (np. na drugim końcu świata) i obciążona na tysiące złotych, aż do wyczerpania limitów na Twoim koncie.

Jak się chronić przed smishingiem? 3 złote zasady

1. Zawsze sprawdzaj adres strony internetowej. Zanim wpiszesz gdziekolwiek dane swojej karty, spójrz na pasek adresu. Jeśli nie jest to oficjalna witryna Twojego banku lub zaufanego operatora płatności, uciekaj stamtąd natychmiast.
2. Ignoruj presję czasu. Urzędy państwowe ani policja nigdy nie wysyłają SMS-ów z linkami do szybkich płatności z „promocją ważną tylko 24 godziny”. Presja to główna broń złodziei.
3. Sprawdzaj mandaty u źródła. Jeśli masz wątpliwości, czy nie fotoradar nie zrobił Ci zdjęcia, po prostu zaloguj się do oficjalnej, bezpiecznej aplikacji mObywatel (pobranej z Google Play lub App Store) i tam w odpowiedniej zakładce sprawdź swoje ewentualne punkty karne i mandaty.

Prześlij ten artykuł znajomym kierowcom – ten jeden klik w SMS-ie naprawdę może kosztować majątek! A jeśli sam otrzymałeś taką wiadomość – po prostu ją usuń. Mandaty zweryfikujesz w oficjalnej aplikacji mObywatel (AppStore – https://apps.apple.com/pl/app/mobywatel/id1339613469 ; Google Play – https://play.google.com/store/apps/details?id=pl.nask.mobywatel)

The post Ten błąd kosztuje kierowców tysiące złotych. Zobacz, jak działa nowy przekręt na „mObywatela” appeared first on CERT Orange.

Taki przykład wykrył jeden z analityków CERT Orange Polska – Mateusz Jaworski. Złośliwa domena jak została już zablokowana w Cybertarczy Orange.

Jak działa oszustwo na zwrot podatku?

Oszuści rozsyłają e-maile, wykorzystując metodę spoofingu. Ta technika pozwala na podszywanie się pod nadawcę. W efekcie ofiara w polu nadawcy zobaczy „hanna@podatki[.]gov.pl” mimo, że wiadomość nie pochodzi od tego nadawcy.

Temat wiadomości brzmi „PILNE: Zatwierdź zwrot podatku w systemie PUESC {Noreply} #722423155”.

Słowo „PILNE”, indywidualny numer sprawy i pozornie wiarygodny adres nadawcy mają skłonić odbiorcę do szybkiego działania i przede wszystkim uśpić czujność.

Szanowna Pani / Sza​nowny Panie,

Na podstawie art. 75 § 2 Ordynacji podatkowej, po dokonaniu rocznego rozliczenia podatku dochodowego za rok 2025, w Pani/Pana sprawie stwierdzono nadpłatę podlegającą zwrotowi. Zgodnie z przepisami, wypłata środków nastąpi wyłącznie po potwierdzeniu numeru rachunku bankowego w systemie e-Urząd Skarbowy.

Co się dzieje po kliknięciu w przycisk „PRZEJDŹ DO E-URZĘDU SKARBOWEGO”?

Link prowadzi do adresu: f3n.podagov[.]com/home/jm93h98sf8b/?id=797917369.

To fałszywa strona podszywająca się pod serwis podatki.gov.pl. Po wejściu na stronę ofiara przechodzi przez kolejne etapy rzekomej „weryfikacji”:
1. podania numeru PESEL,
2. wpisania „numeru podatkowego” i hasła,
3. uzupełnienie danych kontaktów.

Oczywiście wystarczy wpisanie dowolnych danych, aby przejść do kolejnego etapu „weryfikacji”. A w nim prośba o podanie takich danych jak: imię, nazwisko, adres e-mail oraz nr telefonu komórkowego.

Trzecim etapem jest wybór metody zwrotu, do wyboru mamy dwie możliwości. Pierwsza z nich to przelew na rachunek bankowy. Ten mechanizm ma za zadanie wyłudzić dostęp do konta bankowego. Warto zwrócić uwagę, że do wyboru jest tylko PKO Bank Polski. Przy pozostałych bankach widnieje komunikat „Min PLN 3.000,00” sugerujący, że kwota zwrotu jest zbyt niska aby skorzystać z tej metody. Alternatywną metodą jest zwrot na kartę, gdzie oszuści wyłudzają jej dane.

Co możesz stracić ?

Etap „weryfikacji” wyłudza dużo danych. Na kolejnych etapach oszuści zbierają nr PESEL, imię, nazwisko, adres e-mail, nr telefonu komórkowego. Mogą one posłużyć do kradzieży tożsamości, a w jej wyniku do dalszych prób oszustwa i wyłudzeń. Karta w niektórych, przypadkach może pominąć tzw. 3D-Secure i zostać obciążona bez naszej wiedzy.

Jak rozpoznać oszustwo ?

Wszędzie tam, gdzie podajesz jakiekolwiek dane, zweryfikuj stronę zanim to zrobisz.
Adres e-mail nadawcy i sama wiadomość jest spreparowana z dbałością o detale.
W tym przypadku sygnały ostrzegawcze to przede wszystkim:

• fałszywa domena podagov[.]com, która nie jest oficjalną domeną administracji,
• presja czasu w temacie wiadomości,
• prośba o podanie wielu wrażliwych danych,
• nieklikalne lub pozorne elementy strony, które mają tylko uwiarygodnić formularz.

Do załatwienia spraw urzędowych online korzystaj ze strony podatki.gov.pl

Co jeśli znajdziesz w swojej skrzynce taką wiadomość ?

O ile nie zostały uzupełnione dane osobowe – nic. Cybertarcza Orange zablokowała już tę domenę a nasze systemy śledzą czy oszuści próbują odtworzyć podobne schematy.

Jeśli jednak podałeś jakiekolwiek dane, należy pilnie:

• skontaktować się z bankiem,
• zastrzec kartę,
• obserwować historię rachunku,
• zmienić hasła podane na tej stronie.

Chociaż jest jeszcze coś, zgłoś do nas taki sam lub podobny e-mail, klikając w „Zgłoś zagrożenie” na stronie cert.orange.pl.

Przed takim scenariuszem, ostrzegaliśmy już w lutym i kwietniu bieżącego roku. Wszystko wskazuje na to, że będziemy musieli zrobić to samo w następnym roku.

[AKTUALIZACJA]

Dostajemy sygnały o kolejnej wysyłce wiadomości SMS przez przestępców do polskich użytkowników. Prowadzą one pod inne domeny (już zablokowane w Cybertarczy Orange), na których znajdował się opisywany wczoraj panel.

15387 Godlo Polski podatki: Zwrot podatku jest dostepny. Potwierdz swoje dane, aby otrzymac platnosc bez opoznien: http://ptrs[.]me/dvMazB

357751 Godlo Polski podatki: Zwrot podatku jest dostepny. Potwierdz swoje dane, aby otrzymac platnosc bez opoznien: http://podanow[.]com

The post [AKTUALIZACJA] Zatwierdź zwrot podatku w systemie PUESC – to oszustwo! appeared first on CERT Orange.

Łańcuch dostaw

TeamPCP mierzy wysoko i nie daje odetchnąć analitykom

• TeamPCP zaatakowało ekosystem antv oraz pakiet durabletask. W atakach obserwowane jest fałszowanie zabezpieczeń provenance oraz kradzież wszelkich poświadczeń chmurowych lub związanych ze środowiskiem developerskim. 
• Media obiegła informacja o ataku na GitHub i wystawieniu danych na sprzedaż na forum przestępczym. TeamPCP uzyskało dostęp do 3800 wewnętrznych repozytoriów. Prywatne repozytoria użytkowników nie zostały dotknięte atakiem. 
• GitHub potwierdził atak i podzielił się szczegółami dotyczącymi wektora wejścia i podjętych działań. 

Miniony tydzień przyniósł informacje o kolejnych działaniach grupy TeamPCP, która w ciągu kilku dni przeprowadziła serię skoordynowanych ataków na ekosystemy developerskie związane z Pythonem, npm oraz infrastrukturą GitHuba. TeamPCP wykorzystuje przejęte pakiety, tokeny CI/CD i zaufane kanały dystrybucji do przeprowadzania kolejnych etapów ataków oraz pivotów do kolejnych paczek lub firm. Ich ataki na łańcuch dostaw są już stałym elementem krajobrazu zagrożeń i w przeszłości pojawiali się na łamach naszych podsumowań w marcu i na początku maja. 

19 maja miał miejsce atak na ekosystem antv, popularny zestaw bibliotek do wizualizacji danych używanych w środowisku npm. TeamPCP przejęło konto maintainera i opublikowało setki zainfekowanych wersji pakietów. Operacja była w dużej mierze zautomatyzowana i przeprowadzona w bardzo krótkim czasie, co wskazuje na wcześniej przygotowaną infrastrukturę oraz gotowe mechanizmy publikacji. Szczególnie istotne jest to, że atakujący potrafili wykorzystywać przejęte tokeny GitHub Actions i generować poprzez Sigstore pozornie poprawne mechanizmy provenance związane z SLSA. Takie działania zostały już wykorzystana przez TeamPCP w ataku na Tanstack. W praktyce oznacza to podważenie zaufania do zabezpieczeń łańcucha dostaw. 

Równolegle trwał atak na pakiet durabletask, rozwijany w ekosystemie Microsoft i powiązany z frameworkiem Durable Task wykorzystywanym do orkiestracji workflowów. Atakujący opublikowali złośliwe wersje biblioteki w repozytorium PyPI, dodając malware służący do kradzieży tokenów chmurowych (AWS, Azure, GCP), danych uwierzytelniających oraz poświadczeń środowisk developerskich. Złośliwe oprogramowanie posiada także funkcje przeprowadzania ataków brute-force na menadżery haseł. Według analiz bezpieczeństwa złośliwy kod był rozwinięciem wcześniejszych komponentów wykorzystywanych przez TeamPCP.  

Najbardziej medialne okazały się jednak informacje dotyczące nieautoryzowanego dostępu do około 3800 repozytoriów wewnętrznych GitHub. Według ustaleń samej firmy wektor wejścia był dość trywialny: pracownik zainstalował złośliwe rozszerzenie pobrane z Visual Studio Marketplace. Dzięki jego uprawnieniom oraz poświadczeniom atakującym udało się uzyskać dostęp do wewnętrznych zasobów firmy. Po wykryciu stacja została odizolowana, potencjalnie ujawnione sekrety zostały zresetowane, a sam incydent jest nadal analizowany. Nie ma obecnie dowodów na kompromitację repozytoriów klientów zewnętrznych, jednak sam fakt skutecznego wejścia do infrastruktury platformy pozostaje poważną rysą na reputacji firmy.   

Szczególny w tym scenariuszu jest wątek odpowiedzialności producenta za publikowane przez społeczność rozszerzenia. W przypadku Visual Studio Marketplace Microsoft zapewnia, że skanuje rozszerzenia pod kątem złośliwego oprogramowania i monitoruje je pod kątem niestandardowego zachowania. Mimo tego, tym razem sam Microsoft poniósł konsekwencje niedostatecznej weryfikacji publikowanych tam wtyczek — w końcu reputacyjny cios w GitHub, to od 2018 roku cios w Microsoft. Powinno to przypominać o zasadzie ograniczonego zaufania zarówno do wtyczek, jak i zapewnień firm co do wdrażanych zabezpieczeń. 

Przy okazji ogłoszenia chęci sprzedaży danych należących do GitHub TeamPCP poinformowało, że jeżeli nie znajdzie się kupiec, to opublikują dane za darmo, ponieważ spodziewają się wkrótce swojej „emerytury”. Ta informacja, choć jak zawsze w przypadku takich oświadczeń traktowana zachowawczo, jest warta uwagi. Szczególnie, że pojawiła się niedługo po opublikowaniu kodu źródłowego Shai-Hulud w publicznych repozytoriach. Nawet jeśli działania pod szyldem TeamPCP ucichną lub zmienią format, wypracowane techniki pozostaną obecne w ekosystemie przestępczym. Już teraz pojawiają się atakujący podszywający się pod TeamPCP, a kolejne ataki będą tylko trudniejsze w atrybucji ze względu na publicznie dostępny kod i liczne analizy jawnie określające cechy charakterystyczne ataków powiązanych z tą grupą.  

Patrząc szerzej

Charakterystyczne dla TeamPCP jest konsekwentne atakowanie relacji zaufania i ciągłe wykorzystywanie pozyskanych informacji do kolejnych ataków. Grupa zamiast koncentrować się na pojedynczych ofiarach, atakuje cały łańcuch zależności: konta osób utrzymujących repozytoria, pluginy VS Code, GitHub Actions, rejestry pakietów i środowiska CI/CD. Każdy przejęty komponent służy jako punkt startowy do kolejnego ataku.  

TeamPCP pokazuje, że najbardziej krytycznym elementem infrastruktury software supply chain są zapomniane zależności i niedostatecznie monitorowane środowiska developerskie. Weryfikacja podpisów, MFA czy zabezpieczenia pipeline’ów nie wystarczają, jeśli pojedynczy token lub rozszerzenie IDE mogą otworzyć drogę do kompromitacji całych organizacji.  

Więcej informacji: 
https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/ 
https://www.wiz.io/blog/mini-shai-hulud-teampcp-hits-antv-supply-chain 
https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised 
https://x.com/github/status/2056949168208552080 

Zaawansowane zagrożenia

Nowoczesne C2 w legalnych usługach — analiza działań Webworm 

• Chińska grupa APT Webworm była obserwowana nie tylko w regionie Azji, ale również w Europie, w tym w Polsce, co wskazuje na szeroki zakres zainteresowań aktora.  
• Operatorzy operacji ofensywnych i szpiegowskich coraz częściej wykorzystują legalne platformy i usługi chmurowe – takie jak Discord, GitHub, Microsoft Graph czy AWS S3 – do ukrywania komunikacji C2, dystrybucji konfiguracji oraz eksfiltracji danych.  
• Webworm rozwija rozbudowaną warstwę pośredniczącą opartą o narzędzia proxy i tunelowanie, umożliwiającą budowę wielowarstwowych łańcuchów komunikacyjnych.

Najnowsza aktywność grupy Webworm pokazuje wyraźną zmianę filozofii prowadzenia operacji cyberwywiadowczych. Chiński aktor APT, który początkowo koncentrował się głównie na organizacjach w Azji, w ostatnich latach wyraźnie przesunął ciężar swoich działań w kierunku Europy, obejmując m.in. instytucje rządowe w Belgii, Włoszech, Serbii oraz Polsce. Z perspektywy threat intelligence wskazuje to na ewolucję grupy z regionalnego zagrożenia w podmiot realizujący szeroko zakrojone operacje cyberwywiadowcze o globalnym zasięgu. 

W przeciwieństwie do starszych kampanii APT, opartych na klasycznych serwerach C2 i prostszych implantach, obecna działalność Webworm koncentruje się na budowie rozproszonego, trudnego do wykrycia ekosystemu komunikacyjnego silnie osadzonego w legalnych usługach chmurowych. To jeden z kluczowych wniosków analizy ESET. Grupa odchodzi od tradycyjnych rodzin malware na rzecz lekkich komponentów proxy, tuneli sieciowych oraz komunikacji ukrytej w powszechnie wykorzystywanych platformach internetowych. 

Webworm coraz szerzej wykorzystuje usługi SaaS i platformy chmurowe jako integralną część infrastruktury operacyjnej. Komunikacja z implantami jest ukrywana w ruchu do usług takich jak Microsoft Graph, OneDrive, Discord, GitHub czy Amazon S3, co sprawia, że aktywność napastników przypomina standardowy ruch biznesowy użytkowników organizacji. Z perspektywy obrony znacząco utrudnia to wykrywanie anomalii, ponieważ filtrowanie lub blokowanie tych usług jest często niewykonalne operacyjnie. Szczególnie istotne jest wykorzystanie Microsoft Graph API i OneDrive jako kanału C2 oraz przestrzeni do eksfiltracji danych, przy czym dla poszczególnych ofiar tworzone są odrębne środowiska robocze, co wskazuje na wysoką segmentację operacji. 

Kolejnym elementem ewolucji jest modularność i warstwowość infrastruktury Webworm. Zamiast pojedynczego kanału komunikacji grupa buduje wieloetapowe łańcuchy proxy i tuneli, które segmentują ruch pomiędzy kolejnymi fazami operacji. Poszczególne komponenty pełnią wyspecjalizowane role – od pośrednictwa w komunikacji, przez dystrybucję konfiguracji, po utrzymywanie łączności z hostami ofiar. Wykorzystywane są zarówno istniejące narzędzia proxy i tunelujące, jak i autorskie rozwiązania umożliwiające szyfrowanie oraz chaining ruchu przez wiele węzłów. Całość coraz bardziej przypomina architekturę typu ORB (Operational Relay Box), opartą o rozproszoną sieć węzłów pośredniczących oraz zasoby chmurowe wykorzystywane jako warstwa ukrycia operacji. Takie podejście utrudnia analizę łańcucha ataku, blokowanie komunikacji oraz klasyczne mechanizmy IOC-based detection. Nawet w przypadku wykrycia pojedynczego elementu infrastruktury operatorzy są w stanie szybko odtworzyć kanały komunikacji alternatywną ścieżką, a część kompromitowanych systemów może zostać włączona do szerszej sieci relayów. 

Ciekawym aspektem analizy ESET jest również fakt odszyfrowania ponad 400 wiadomości wykorzystywanych przez infrastrukturę Discord C2. Pozwoliło to badaczom częściowo odtworzyć sposób pracy operatorów, powiązać aktywność z konkretnymi repozytoriami GitHub oraz potwierdzić ciągłość infrastruktury Webworm obserwowanej od 2022 roku. Jednocześnie pokazuje to, że mimo coraz bardziej zaawansowanych metod ukrywania komunikacji, grupy APT nadal pozostawiają ślady operacyjne możliwe do wykorzystania podczas długoterminowej analizy threat intelligence. 

Patrząc szerzej

Z perspektywy codziennej pracy, Webworm jest przykładem tego, jak bardzo zaciera się dziś granica między ruchem złośliwym a normalną aktywnością użytkowników. Największym problemem nie jest już sama detekcja malware, tylko odróżnienie tego, co jest legalnym użyciem SaaS, od tego co jest kanałem sterowania.

Klasyczne podejście oparte na IOC praktycznie przestaje już działać w izolacji. Same adresy, domeny czy sygnatury nie dają już pełnego obrazu – potrzebna jest korelacja wielu drobnych sygnałów, np. nietypowego użycia API, anomalii w ruchu HTTPS czy nieoczekiwanych operacji w usługach chmurowych. 

Webworm dobrze pokazuje, że nowoczesne APT nie próbują już się wyróżniać – wręcz przeciwnie, ich celem jest maksymalne wtopienie się w normalny profil ruchu środowiska. 

Więcej informacji:  
https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/ 

Cybercrime

Apple, Google, Microsoft — i Reaper

• SHub Reaper to nowy wariant rodziny SHub dla macOS. Zamiast klasycznego wklejania komendy do Terminala ofiara trafia przez applescript:// do Script Editora, gdzie uruchamiany jest złośliwy łańcuch. 
• Operatorzy wykorzystują typosquatting, fałszywe instalatory i komunikaty stylizowane na aktualizację bezpieczeństwa Apple, a utrzymanie obecności w systemie ukrywają pod postacią Google Software Update.  
• Reaper wykracza poza prostą kradzież haseł. Zbiera dane z przeglądarek, portfeli, Keychain i plików użytkownika, a do tego ma moduł grabbera w stylu AMOS. 

SHub Reaper to kolejna iteracja rodziny SHub wymierzona w użytkowników macOS. Operatorzy wykorzystują fałszywe instalatory WeChat i Miro, a następnie prowadzą ofiarę przez łańcuch, w którym kolejne etapy wyglądają tak, jakby pochodziły z różnych zaufanych źródeł: najpierw domena podszywająca się pod Microsoft, potem komunikat o rzekomej aktualizacji bezpieczeństwa Apple, a na końcu mechanizm persystencji stylizowany na Google Software Update. 

Punktem wejścia są fałszywe strony podszywające się pod instalatory WeChat i Miro. Zanim dojdzie do samej infekcji, strony aktywnie profilują odwiedzającego zbierając dane geolokalizacyjne, fingerprint przeglądarki oraz sygnały wskazujące na środowisko wirtualne lub użycie VPN. Równolegle wyliczają zainstalowane rozszerzenia przeglądarki w poszukiwaniu menedżerów haseł i portfeli kryptowalutowych, a zebrane informacje przekazują operatorom przez bota Telegram. Wbudowane mechanizmy antyanalityczne obejmują nadpisywanie funkcji console, przechwytywanie skrótu F12 i pętlę debuggera, a w przypadku obejścia tych zabezpieczeń strona wyświetla rosyjski komunikat „Access Denied”. 

Właściwy mechanizm infekcji odchodzi od znanego dobrze ClickFix opartego na Terminalu, czyli wektora, który Apple ograniczyło w Tahoe 26.4 dla tego typu ścieżek ataku. Reaper zamiast tego wykorzystuje applescript://, które otwiera macOS Script Editor z wcześniej wgranym złośliwym kodem. Sam skrypt jest ukryty pod warstwą grafiki ASCII i fikcyjnego tekstu, tak aby nie był widoczny bez przewijania okna, co sprawia, że ofiara widzi w praktyce tylko przycisk „Run”.  Po kliknięciu uruchamiany jest łańcuch, który wyświetla fałszywy komunikat o aktualizacji XProtectRemediator, po czym pobiera i wykonuje kolejne etapy infekcji. 

Zakres kradzieży obejmuje dane z wielu przeglądarek oraz portfeli kryptowalutowych, a także macOS Keychain. Wcześniejsze buildy SHub celowały też w dane iCloud i sesje Telegrama, natomiast Reaper utrzymuje ten sam rdzeń funkcjonalny i rozszerza go o moduł Filegrabber podobny do tego w AMOS. Zebrane pliki są porcjowane i wysyłane do C2, a dodatkowo malware próbuje podmieniać app.asar w aplikacjach portfelowych, co daje operatorom możliwość ingerowania w przyszłą aktywność ofiary, a nie tylko w dane już przejęte. 

Persistence jest osiągane przez stworzenie na dysku struktury imitującej Google Software Update, zapisanie w niej skryptu GoogleUpdate i zarejestrowanie go jako LaunchAgent. W praktyce oznacza to, że po pierwszym uruchomieniu malware pozostawia sobie mechanizm cyklicznego wywoływania co 60 sekund, który działa jak beacon i może pobierać oraz wykonywać kolejne polecenia z C2. To sprawia, że mamy tu nie tylko eksfiltrację, ale też stały punkt zaczepienia do dalszych działań po kompromitacji. 

Patrząc szerzej

Reaper nie wnosi jednej przełomowej techniki, ale bardzo dobrze pokazuje kierunek rozwoju tego typu kampanii. Operatorzy łączą znane już elementy jak podszywanie się pod zaufane marki, ClickFix omijający zabezpieczenia wprowadzone przez Apple, antyanalizę i persistence. Z perspektywy CTI ważniejsze od samego malware jest tu to, że kampania przechodzi od jednorazowej eksfiltracji do utrzymywanego dostępu i dalszych działań po kompromitacji. 

Użytkownicy w Polsce mogą natknąć się podobne kampanie, wpisując w wyszukiwarkę zapytanie w rodzaju „Claude macOS”. Wyniki sponsorowane mogą prowadzić do stron odwzorowujących dokładnie opisany tu wzorzec, nawet z tym samym zakodowanym poleceniem w base64, które opisuje SentinelOne. Zasięg geograficzny kampanii nie ogranicza się do rynków anglojęzycznych. 

Więcej informacji: 
https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/ 

The post Krajobraz Zagrożeń – 25.05.2026 appeared first on CERT Orange.

A uwierzcie, że sprawienie, by późny nastolatek patrzył na ekran i słuchał tego, co mówi człowiek starszy od jego ojca, nie jest proste. Co więcej – nie zawsze i nie przy wszystkich się udaje. Dlaczego?

Uzależnieni od dopaminy

Jednym z kluczowych i dłuższych modułów które przedstawiam młodzieży jest opis mechanizmu uzależnienia od dopaminy. Tego, co robią media społecznościowe, żeby nas przy sobie uwiązać. Tego w jaki sposób na nasz mózg działa to, co roboczo określamy „shortsami”. Czy to na YouTube, Instagramie, czy TikToku. Że dla biochemii mózgu jest to aktywność tożsama z takimi używkami jak alkohol, czy narkotyki.

Sytuacja, gdy w tym momencie widzisz część grupy… wpatrzoną w telefony nie jest optymistyczna. Jednak większa część patrzy na ekran z prezentacją. Część ziewa, ale są też tacy, co do których można odnieść wrażenie, że udało Ci się wywołać w nich jakąś refleksję. Może ta wąska grupa będzie tę wiedzę nieść dalej i trafiać do tych, którzy nie zauważyli, że coś było mówione. Po to, żebyśmy to my mieli władzę nad tym jak korzystamy z sieci. A nie, żeby sieć miała władzę nad nami.

W Raciborzu nie poprzestają na zabawie

Haj dopaminowy to tylko jeden z elementów rozmów z młodzieżą. Opowiadamy im też o (braku) prywatności w sieci i socjotechnicznych sztuczkach oszustów. O tym jak rozpoznać phishing, ale też jak stworzyć hasło jednocześnie łatwe (do zapamiętania) i trudne (do złamania). Nie zabrakło też miejsca na ostrzeżenia o możliwych konsekwencjach nadużywania sztucznej inteligencji.

Impreza w Raciborzu to jeden z wielu dowodów na to, że młodzież w istotnej części chce uzupełniać swoją wiedzą na temat zagrożeń w sieci. Być może nie będzie mieć odwagi wśród rówieśników przyznać się, że czegoś nie wiedzą. Patrząc z wysokości sceny na kolejne grupy odnosiłem wrażenie, że wiele z rzeczy, o których się dowiedzieli, jest dla nich nowe.

Chęć łączenia takich elementów edukacyjnych z imprezą gamingową to też dowód na świadomość i odpowiedzialność organizatorów. Że nie można poprzestawać na samej zabawie. Bo jeśli tak zrobimy, to obudzimy się zbyt późno i zauważymy, że my sobie gadamy, ale młodzież tym razem już w stu procentach siedzi z głowami w telefonach. A to nie jest scenariusz, który byśmy chcieli widzieć, prawda?

The post CERT Orange Polska na Festiwalu Gamingowym w Raciborzu: jak rozmawiać z młodzieżą o cyberzagrożeniach appeared first on CERT Orange.

Czy da się zbudować rozbudowany homelab bez dobrej znajomości linii poleceń Linuxa, opierając się głównie na metodzie „kopiuj-wklej” i podpowiedziach modelu językowego? Postanowiłem to sprawdzić w praktyce. Ten tekst jest zapisem takiego eksperymentu: od pierwszych decyzji sprzętowych, przez kolejne warstwy konfiguracji i zabezpieczeń, aż po najważniejsze pytanie — ile naprawdę zyskujemy, a ile tracimy, powierzając kluczowe elementy domowej infrastruktury LLM-owi.

Inspiracją była dla mnie konferencja OMH 2025 i wystąpienie Grzegorza Wróbla z portalu Adwersarz.pl o idei homelabu, czyli domowej infrastruktury IT. Czasem to serwerownia w garażu, a czasem kilka urządzeń schowanych pod biurkiem. Sam miałem w domu stary, wyłączony NAS z biblioteką multimedialną jeszcze z poprzedniego etapu życia zawodowego. Działał źle, wolno i mało stabilnie. Uznałem więc, że to dobry moment, by spróbować zbudować coś sensowniejszego.

Od początku wiedziałem też, gdzie mam największy brak kompetencyjny. Mimo doświadczenia w cybersecurity i data science nigdy porządnie nie nauczyłem się pracy w linii poleceń Linuxa. Na co dzień korzystam z Windowsa i Ubuntu, czasem z Kali, ale zwykle w GUI. Jeśli muszę wejść zdalnie na serwer, to raczej uruchamiam Midnight Commandera albo korzystam z gotowych komend zapisanych wcześniej w notatkach. Ten eksperyment był więc również testem: czy da się zbudować coś złożonego, nie mając pełnej samodzielności administracyjnej.

Sprzęt: od starego komputera do mini-PC

Na początku chciałem tylko jednego: żeby magazyn danych działał jak należy. Nie z prędkością kilku MB/s, ale jak prawdziwy NAS. Z piwnicy przyniosłem więc starego ASUS-a w obudowie Small Form Factor, kilka dysków HDD i zacząłem sprawdzać możliwości. Internet szybko podpowiedział, że DIY NAS da się zbudować niemal z dowolnego starego komputera.

Problem w tym, że po analizie ograniczeń sprzętowych wyszło, że mój zestaw po prostu się nie nadaje. Dwurdzeniowy procesor, miejsce na jeden HDD, brak złącza M.2 i ograniczenia portów oznaczały, że trudno będzie mówić o wydajności. Model językowy zasugerował więc popularny wśród entuzjastów homelabów mini-PC Lenovo m720q lub m920q. Poszedłem tym tropem i jeszcze tego samego dnia kupiłem taki komputer.

Od początku zależało mi na szybkim transferze danych. Stary NAS THECUS N4310 z jednordzeniowym procesorem i 1 GB RAM kopiował niemal 4 TB danych przez cztery dni. To wystarczyło, by od razu dołożyć adaptery USB–RJ45 2,5 Gbps, switche 2,5 Gbps oraz adapter umożliwiający montaż karty PCIe. Budżet startowy nie był wysoki: około 700 zł za komputer i mniej niż 400 zł za dodatkowe elementy sieciowe. Reszta to kable i zalegające w domu dyski. Jak się później okazało, były to tylko koszty początkowe.

Po kolejnych rozmowach z modelem ustaliliśmy, że najlepiej byłoby podłączyć dwa dyski HDD 6 TB po SATA. Sprzęt jednak tego nie umożliwiał, więc ostatecznie w grę weszła kieszeń USB. Włożyłem do niej dwa dyski 6 TB w RAID0, żeby uzyskać większą wydajność. Pomysł od początku miał słabe strony i późniejsza awaria jednego z dysków szybko to potwierdziła.

Jak wygląda praca z LLM-em przy konfiguracji

W teorii wygląda to bardzo prosto. Wpisuję: „Potrzebuję skonfigurować sieć dla Proxmoxa zainstalowanego na lokalnej maszynie”, a model odpowiada listą poleceń do wykonania. W praktyce po kilku krokach okazuje się zwykle, że brakuje pakietu, nie ma dostępu do zasobu albo konfiguracja nie działa w danym środowisku tak, jak zakładał model. Wtedy zaczyna się debugowanie: kolejne komendy, kolejne wyniki, kolejne poprawki.

Taki tryb pracy często prowadzi do rozwiązania problemu, ale ma dużą wadę: łatwo zgubić główny plan działania. Po kilkuset liniach rozmowy trudno wrócić do pierwotnej listy zadań. Zdarzało się też, że miałem wrażenie kręcenia się w kółko i próbowałem przenosić problem do innego modelu. Jeden lepiej porządkował dokumentację problemu, drugi szybciej proponował rozwiązania, ale za to bardziej „halucynował”. Szybko okazało się, że nie ma tu idealnego narzędzia.

Po wielu próbach wypracowałem metodę, która rzeczywiście działa. Najważniejsza zasada brzmi: zostaw modelowi jak najmniej rzeczy do domyślania się. Każdą większą sesję kończę więc prośbą o przygotowanie raportu opisującego aktualny stan homelabu, sieci, zainstalowanych komponentów i założeń. Taki raport staje się punktem wyjścia do nowej rozmowy.

Drugi ważny element to rozdzielenie planowania od wykonywania. Najpierw proszę model o analizę potrzeb i wariantów rozwiązania. Dopiero potem przechodzę do realizacji, z poleceniem typu: „Ustal kolejność kroków do realizacji celu, a następnie podawaj gotowe komendy pojedynczo. Jeśli pojawi się problem, po jego rozwiązaniu wróć do założonej kolejności”. To prosty zabieg, ale dzięki niemu nawet trudne debugowanie nie rozbija całej sesji.

Co udało się zrobić

Przy takim podejściu udało się skonfigurować całkiem dużo:

• Proxmoxa, dyski i sieć — w dużej części przez terminal.
• Migrację danych ze starego NAS-a — wraz z doborem parametrów polecenia rsync.
• Dostępy do udziałów SMB — dla użytkowników sieci lokalnej.
• Alerty e-mailowe o stanie dysków i S.M.A.R.T.
• Automatyczne zamykanie serwera przy niskim poziomie naładowania UPS-a
• Navidrome — z osobnymi bibliotekami muzycznymi dla różnych użytkowników.
• Tailscale VPN — dzięki czemu dostęp do usług lokalnych stał się możliwy także poza domem.
• AdGuard Home — jako lokalny serwer DNS filtrujący ruch i blokujący reklamy.
• Automatyczne backupy — na stary NAS i dysk USB.

Brzmi dobrze, ale właśnie przy backupach pojawił się dla mnie najważniejszy sygnał ostrzegawczy. Zorientowałem się, że nie jestem w stanie samodzielnie przywrócić kopii ani wprowadzić drobnej zmiany w istniejącym systemie. Nie wiedziałem dokładnie, gdzie są skrypty, co odpowiada za konkretne zadanie i jak to wszystko ze sobą współpracuje. System działał, ale moje zrozumienie jego działania było powierzchowne.

To chyba najważniejsza lekcja z całego eksperymentu: LLM może pomóc coś uruchomić, ale nie gwarantuje, że będziemy umieli tym samodzielnie zarządzać.

GUI kontra terminal

Przy instalacji Jellyfin postanowiłem dla odmiany prosić o wskazówki dotyczące konfiguracji przez GUI. To okazało się trudniejsze, niż sądziłem. Interfejsy graficzne aplikacji zmieniają się często, więc model bywał przekonany, że dany przycisk znajduje się w miejscu, gdzie już go nie ma albo ma inną nazwę.

Z drugiej strony ta metoda miała istotną zaletę: zmuszała mnie do lepszego poznania aplikacji. Konfiguracja przez GUI jest mniej wygodna dla modelu, ale bardziej rozwijająca dla użytkownika. Jeśli celem nie jest wyłącznie „uruchomić”, ale także później samodzielnie administrować usługą, to taka droga może być rozsądniejsza.

Bezpieczeństwo: temat, którego model sam nie podnosi

Najbardziej zaskoczyło mnie to, że kwestie bezpieczeństwa prawie nie pojawiały się w rozmowach z modelem samoczynnie. Dopóki pytałem głównie o funkcjonalność, odpowiedzi skupiały się na tym, jak coś uruchomić, a nie jak zrobić to bezpiecznie.

Dopiero gdy sam zacząłem dopytywać o segmentację, dostęp administracyjny i ograniczanie zasięgu usług, pojawiły się konkretne rekomendacje. W moim przypadku chodziło o oddzielenie strefy administracyjnej od strefy użytkowników i danych. Sprzętowo dało się to zrealizować dość prosto, wykorzystując stary router i istniejącą infrastrukturę, ale wykonanie konfiguracji było już znacznie trudniejsze.

To ważny wniosek także szerzej: przy budowie własnych usług sieciowych największe ryzyko często nie wynika z samego narzędzia, ale z błędnej konfiguracji, nadmiernych uprawnień, zbyt szerokiej ekspozycji usług i braku segmentacji. Jeśli korzystamy z pomocy AI, te pytania trzeba zadawać świadomie. Model nie zawsze zrobi to za nas.

Zalety i minusy

Największa zaleta jest oczywista: model językowy bardzo obniża próg wejścia. Pozwala przejść od pomysłu do działającego rozwiązania znacznie szybciej, niż byłoby to możliwe wyłącznie na podstawie dokumentacji i wyszukiwarki. Dla osoby mniej technicznej może być realnym wsparciem w planowaniu, analizie wariantów i rozwiązywaniu problemów.

Ale lista minusów też jest długa.

1. Czas

To wszystko po prostu trwa. Jedna konfiguracja potrafi oznaczać setki linii poleceń i kilka wielogodzinnych sesji. Do tego długie rozmowy stają się coraz mniej wygodne: model odpowiada wolniej, a sama przeglądarka zaczyna odczuwać ciężar rozbudowanej historii.

2. Chaos dokumentacyjny

Bez porządnej bazy wiedzy łatwo zgubić zależności między elementami systemu. Naprawa jednego fragmentu może zepsuć inny. Sam zacząłem już budować własną wiki dla homelabu, bo bez tego dalszy rozwój robi się ryzykowny.

3. Rosnące koszty

Homelab rzadko kończy się na pierwszym zakupie. Pojawiają się kolejne potrzeby: dyski, UPS, adaptery, karty sieciowe, kable, przejściówki, nośniki cache. Początkowo wygląda to niewinnie, ale z czasem suma robi się zauważalna.

4. Zależność od modelu

To dla mnie najpoważniejszy problem. Jeśli przestaje działać jakaś usługa, często nie wiem, od czego zacząć diagnozę bez wsparcia modelu. Taka zależność jest wygodna, dopóki wszystko działa. W dłuższej perspektywie może jednak oznaczać, że budujemy system, którego sami nie rozumiemy.

Wniosek: da się, ale to nie jest droga na skróty

Czy da się zbudować homelab niemal bez znajomości linii poleceń Linuxa i głównie metodą „kopiuj-wklej” z LLM-a? Tak — i to zaskakująco dużo da się w ten sposób osiągnąć. Można uruchomić usługi, poprawić wydajność, zbudować sensowne środowisko do backupu, multimediów czy zdalnego dostępu.

Ale nie jest to droga na skróty. Raczej nowy model pracy, w którym szybkość i wygoda są okupione ryzykiem powierzchownego zrozumienia, chaosem dokumentacyjnym i zależnością od zewnętrznego narzędzia.

Jeśli miałbym wyciągnąć z tego eksperymentu jedną praktyczną radę, brzmiałaby tak: używaj LLM-a do przyspieszania pracy, ale nie oddawaj mu pełnej kontroli nad systemem, którego później sam nie potrafisz utrzymać. W przeciwnym razie zbudujesz nie homelab, lecz bardzo sprawnie działającą czarną skrzynkę.

The post Homelab z pomocą LLM-a: wygoda, pułapki i lekcje z praktycznego eksperymentu appeared first on CERT Orange.

Zaawansowane zagrożenia

UNC1151 (FrostyNeighbor) nie zwalnia tempa 

• Grupa UNC1151 (określana przez ESET jako FrostyNeighbor) pozostaje jednym z najbardziej aktywnych aktorów typu state-sponsored wymierzonych w Europę Środkowo-Wschodnią, w tym Polskę, stale rozwijając swoje techniki phishingowe, malware oraz mechanizmy unikania detekcji.
• Najnowsza opisana kampania z wiosny 2026 roku pokazuje wyraźną ewolucję – operatorzy stosują zaawansowany geofencing, wieloetapowe łańcuchy infekcji, walidację ofiary po stronie serwera przed dostarczeniem payloadu oraz zróżnicowane warianty loadera.
• Polska, obok Ukrainy, pozostaje jednym z kluczowych kierunków działań grupy. Oprócz administracji publicznej atakowane są również sektory przemysłowy, logistyczny, ochrony zdrowia oraz użytkownicy popularnych polskich usług pocztowych, takich jak Poczta Interia i Poczta Onet.

UNC1151, znany również jako TA445 czy – według nomenklatury ESET – FrostyNeighbor, od lat pozostaje jednym z najaktywniejszych aktorów klasy APT operujących przeciwko Polsce. Najnowsza publikacja badaczy ESET Research z maja 2026 roku pokazuje, że grupa konsekwentnie rozwija zarówno swoje zaplecze techniczne, jak i proces operacyjny. Choć kampanie prowadzone od marca 2026 roku były silnie wymierzone w instytucje rządowe Ukrainy, dane telemetryczne wskazują, że polska cyberprzestrzeń nadal znajduje się w ścisłym gronie priorytetowych celów tego aktora powiązanego z Białorusią. 

Jednym z najbardziej interesujących elementów tej kampanii jest wieloetapowa selekcja ofiar. Operatorzy wyraźnie odchodzą od masowych kampanii „spray and pray” na rzecz precyzyjnego profilowania celów jeszcze przed dostarczeniem właściwego payloadu. W najnowszych operacjach wykorzystywany jest zaawansowany geofencing połączony z walidacją po stronie serwera. 

Scenariusz wygląda następująco: ofiara otrzymuje wiadomość phishingową zawierającą złośliwy plik PDF, często podszywający się pod oficjalną komunikację operatora telekomunikacyjnego lub instytucji publicznej. Po kliknięciu w link infrastruktura atakujących analizuje adres IP, geolokalizację, user-agent oraz inne cechy ruchu sieciowego. Jeżeli system uzna, że użytkownik nie spełnia określonych kryteriów, serwer dostarcza nieszkodliwy dokument-wabik. Dopiero pozytywna walidacja powoduje uruchomienie kolejnego etapu infekcji – zwykle złośliwego skryptu JavaScript pobierającego archiwum RAR zawierające dalsze komponenty malware – zazwyczaj implant Cobalt Strike. 

Z perspektywy analitycznej jest to bardzo istotne. Tego typu mechanizmy znacząco utrudniają automatyczną analizę sandboxową, masowe pozyskiwanie próbek czy klasyczną analizę infrastruktury C2. Operatorzy FrostyNeighbor bardzo świadomie ograniczają widoczność swoich kampanii i dostosowują sposób działania do mechanizmów wykorzystywanych przez współczesne systemy bezpieczeństwa. 

Kolejnym dowodem na elastyczność grupy pozostaje rozwój PicassoLoadera – charakterystycznego downloadera wykorzystywanego do dostarczania beaconów Cobalt Strike. Według ESET grupa utrzymuje wiele wariantów tego narzędzia napisanych w różnych językach, m.in. JavaScript, PowerShell, .NET oraz C++. Co istotne, payloady ukrywane są w plikach kojarzonych z architekturą stron WWW, takich jak SVG, CSS czy JavaScript, co utrudnia detekcję opartą wyłącznie na analizie rozszerzeń plików lub reputacji treści. 

Szczególnie interesujący jest również fakt, że końcowe dostarczenie beaconów Cobalt Strike nie zawsze odbywa się automatycznie. Raport wskazuje, że po wstępnym profilowaniu systemu ofiary przez PicassoLoader operatorzy mogą ręcznie oceniać wartość celu i dopiero wtedy podejmować decyzję o dalszej fazie kompromitacji środowiska. To bardzo wyraźny wskaźnik wysokiej dojrzałości grupy oraz prowadzenia działań ukierunkowanych na konkretne cele o wysokiej wartości. 

Z perspektywy Polski istotne pozostaje także regularne wykorzystywanie kampanii phishingowych wymierzonych w użytkowników krajowych usług pocztowych. ESET przypomina wcześniejsze operacje wykorzystujące spreparowane strony logowania podszywające się pod Interię i Onet. W połączeniu z wcześniejszymi informacjami CERT Polska dotyczącymi wykorzystania podatności XSS w Roundcube (CVE-2024-42009), gdzie samo otwarcie wiadomości mogło prowadzić do wykonania złośliwego kodu JavaScript, pokazuje to spójny kierunek działań grupy – kompromitację poczty elektronicznej jako jednego z głównych wektorów operacyjnych. Pokazuje to, że grupa równolegle rozwija zarówno klasyczne operacje malware, jak i działania ukierunkowane na kradzież poświadczeń oraz przejmowanie kont pocztowych. 

Warto zwrócić uwagę również na elastyczność infrastrukturalną UNC1151. W poprzednich kampaniach grupa wykorzystywała legalne usługi i platformy, takie jak Slack czy Canarytokens, zarówno do dystrybucji payloadów, jak i śledzenia aktywności ofiar lub badaczy bezpieczeństwa. Takie podejście znacząco ogranicza skuteczność detekcji opartej wyłącznie na reputacji domen czy klasycznych listach IoC. 

Patrząc szerzej

Z perspektywy analityka polskiej cyberprzestrzeni, UNC1151 pozostaje jednym z najbardziej konsekwentnych i adaptujących się przeciwników działających u nas. Widać wyraźnie, że grupa stale modernizuje swój warsztat, jednocześnie nie porzuca sprawdzonych technik i nadal kluczową rolę odgrywa spearphishing, kompromitacja poczty oraz wykorzystanie legalnych usług internetowych do maskowania aktywności. Szczególnie niebezpieczne jest połączenie działań malware, credential harvesting (w kontekście usług poczty) oraz operacji wpływu informacyjnego, co od lat wyróżnia UNC1151 na tle wielu innych grup APT. 

W praktyce oznacza to, że zakładamy dalszy wzrost kampanii ukierunkowanych na pocztę elektroniczną, systemy webmail oraz użytkowników administracji publicznej i sektorów krytycznych. Kolejna już publikacja (tym razem ESET) potwierdza, że operacje prowadzone przez UNC1151 nie mają charakteru incydentalnego.

Więcej informacji: 
https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans 

Podatności

Jeden Żółty Klucz, by odszyfrować wszystkie dane 

• Bypass do Bitlockera nazwany YellowKey może pozwolić na ominięcie zabezpieczeń gwarantujących szyfrowanie dysku. 
• Opublikowana analiza demonstruje jak za pomocą odpowiednio przygotowanego nośnika USB można ominąć BitLockera skonfigurowanego w wariancie TPM-only.
• Badacz, który opisał bypass YellowKey poinformował o istnieniu alternatywnej wersji umożliwiającej obejście BitLockera w wariancie TPM+PIN.
• Bypass wywołał liczne dyskusje na temat podejścia do incydentów wiążących się z utratą urządzenia oraz o pozornej niezawodności znanych rozwiązań. 

BitLocker stanowi podstawowy element ochrony danych na komputerach z systemem Windows, szczególnie w firmach i organizacjach. BitLocker może działać w wariancie TPM-only (Trusted Platform Module) lub TPM + numer PIN, który zna użytkownik i wpisuje go przy każdym uruchomieniu systemu. Wiele organizacji korzysta z pierwszego wariantu, w którym proces odszyfrowania odbywa się automatycznie podczas uruchamiania systemu. Głównym zadaniem BitLockera jest zabezpieczenie zawartości dysku przed nieuprawnionym odczytem po zgubieniu urządzenia lub jego kradzieży. Jest to szczególne ważne w przypadku analizy ryzyka oraz w kontekście reagowania na incydenty. W końcu zdarzenie związane z utratą służbowego urządzenia przez pracownika jest traktowane zupełnie inaczej w zależności od możliwości uzyskania dostępu do zawartych tam danych przez osobę nieuprawnioną. Biorąc pod uwagę tę perspektywę, nietrudno sobie wyobrazić jakie poruszenie w środowisku może wywołać luka w rozwiązaniu, na którym opiera się tak wiele.  

12 maja opublikowano informacje o technice nazwanej YellowKey, która umożliwia atakującym obejście BitLockera zaimplementowanego w modelu TPM. YellowKey jest określany jako bypass, ponieważ nie polega na ataku na mechanizmy kryptograficzne. Atak wykorzystuje zachowanie Windows Recovery Environment oraz sposób, w jaki system współpracuje z TPM podczas procedury rozruchowej. Według opublikowanych analiz wystarczy fizyczny dostęp do urządzenia oraz odpowiednio przygotowany nośnik USB, aby uzyskać dostęp do odszyfrowanej partycji bez znajomości klucza odzyskiwania. Zarówno metoda, jak i dokładna instrukcja przygotowania takiego ataku są dostępne publicznie.  

Szczególnie narażone są organizacje z wdrożonym mechanizmem TPM-only, który jest popularny ze względu na minimalizowanie wpływu zabezpieczenia na doświadczenie użytkowników, którzy negatywnie postrzegają konieczność pamiętania kolejnego PINu lub hasła. Jest to też rozwiązanie umożliwiające użytkowanie jednego komputera służbowego przez więcej niż jednego pracownika. Jednocześnie od lat wskazywano na ryzyko związane z takim „kompromisem”. Wariant wykorzystujący TPM wraz z dodatkowym numerem PIN jest uznawany za zdecydowanie bezpieczniejszy. Analizy dotyczące YellowKey wskazują jednak, że i to nie jest już oczywiste. Publicznie dostępny proof-of-concept koncentruje się głównie na konfiguracjach TPM-only, natomiast autor techniki twierdzi, że posiada również wariant pozwalający obejść ochronę TPM+PIN, choć nie został on opublikowany. Można uznać, że ochrona TPM+PIN wciąż jest znacząco bezpieczniejsza, ponieważ jej obejście nie jest powszechnie dostępne, jak w przypadku wariantu TPM-only.  

BitLocker jest często traktowany jako mechanizm gwarantujący spełnianie wymagań zgodności regulacyjnej oraz ochrony danych osobowych. W wielu organizacjach przyjmowano dotychczas, że utrata laptopa zaszyfrowanego BitLockerem nie prowadzi automatycznie do incydentu naruszenia danych, ponieważ dane pozostają nieosiągalne dla osoby nieuprawnionej. YellowKey burzy te podstawowe założenia i wymusza zmianę podejścia. W scenariuszu obejmującym kradzież urządzenia lub nawet chwilowy nieuprawniony dostęp atakujący może dostać się do wszystkich danych zawartych na zaszyfrowanym dysku.  

Z perspektywy zarządzania bezpieczeństwem oznacza to konieczność ponownej oceny polityk ochrony endpointów. Firmy powinny traktować szyfrowanie dysku jako jeden z elementów ochrony, a nie gwarancję pełnej odporności na nieuprawniony dostęp do danych w sytuacji kradzieży urządzenia. Coraz większego znaczenia nabiera kontrola fizycznego dostępu do sprzętu oraz ograniczenie możliwości uruchamiania systemu z zewnętrznych nośników. Warto zauważyć także, że Microsoft od dawna rekomenduje stosowanie TPM wraz z PIN-em jako skuteczniejszego wariantu ochrony przed atakami offline i fizycznymi.  

Patrząc szerzej

YellowKey pokazuje również szerszy problem związany z bezpieczeństwem urządzeń i danych. Dla dużych organizacji ten bypass oznacza konieczność odejścia od uproszczonego założenia, że aktywacja BitLockera automatycznie eliminuje ryzyko wycieku danych po utracie urządzenia. W praktyce bezpieczeństwo zależy nie tylko od kryptografii, ale również od odporności całego łańcucha uruchamiania systemu oraz procedur organizacyjnych związanych z ochroną sprzętu i danych.  

Szyfrowanie dysków stało się jedną z warstw ochrony w modelu Defense in Depth, zakładającym budowanie niezależnych mechanizmów bezpieczeństwa. Opisany problem jednoznacznie pokazuje jednak, że szyfrowanie realizowane przez BitLocker nie jest w pełni niezależne od systemu operacyjnego i jego funkcjonalności, co podważa postrzeganie tego rozwiązania jako autonomicznego mechanizmu ochrony. Innymi słowy, organizacje powinny dywersyfikować dostawców technologii wykorzystywanych w poszczególnych warstwach bezpieczeństwa, ponieważ poleganie na jednym dostawcy może prowadzić do istotnego osłabienia ochrony w przypadku błędów projektowych, podatności lub innych problemów bezpieczeństwa. 

Więcej informacji:  
https://github.com/Nightmare-Eclipse/YellowKey 

Cybercrime

Gdy ransomware sięga po blockchain – ukryte C2 

• The Gentlemen stał się w 2026 roku jedną z szybciej rosnących operacji RaaS. Według analiz Check Point Research z kwietnia 2026 roku wśród ofiar znalazło się około 50 podmiotów z Polski. 
• Jeden z afiliantów The Gentlemen zastosował EtherHiding — technikę ukrywania konfiguracji C2 w smart contractach blockchainu Ethereum.
• EtherHiding nie jest nowym zjawiskiem. Technika była wcześniej obserwowana m.in. w kampaniach przypisywanych podmiotom powiązanym z Koreą Północną oraz w kampanii OCRFix.  

The Gentlemen 

The Gentlemen to relatywnie nowa grupa ransomware-as-a-service, która zaczęła być szerzej obserwowana w drugiej połowie 2025 roku. Jej aktywność wyraźnie przyspieszyła na początku 2026 roku. Operatorzy oferowali afiliantom kilka wariantów szyfratorów przeznaczonych dla różnych środowisk — od systemów Windows po środowiska serwerowe i wirtualizacyjne. Z perspektywy krajobrazu zagrożeń istotniejszy wydaje się jednak sposób prowadzenia operacji. 

Analizy sugerują, że The Gentlemen nie opiera się wyłącznie na prostych, masowych kampaniach. W wielu przypadkach grupa wykorzystywała wcześniej przygotowany dostęp i działała etapowo — od uzyskania przyczółka, przez discovery i utrzymanie dostępu, aż po finalne szyfrowanie. To model bliższy dojrzałym operacjom intrusion niż klasycznemu „wrzuć ransomware i szyfruj”. 

W kontekście Polski grupa również zaczęła pojawiać się coraz częściej. Według analiz Check Point Research z kwietnia 2026 roku wśród ofiar udokumentowanych przez infrastrukturę powiązaną z The Gentlemen znalazło się około 50 podmiotów z naszego kraju. 

Dobrym przykładem tego podejścia jest incydent opisany w The DFIR Report. Łańcuch ataku nie zaczynał się od samego ransomware, ale od złośliwego instalatora podszywającego się pod legalne narzędzie. Dopiero później pojawiały się kolejne elementy operacji — malware odpowiedzialne za komunikację, pobieranie konfiguracji oraz dalsze etapy działania. 

W tym miejscu pojawia się EtherHiding. 

EtherHiding 

Żeby zrozumieć, dlaczego pojawienie się EtherHiding w ataku ransomware jest istotne, warto przypomnieć mechanizm. Smart contract to program rezydujący pod konkretnym adresem blockchain, który może przechowywać dowolne dane — w tym adresy serwerów C2. Malware odpytuje taki kontrakt za pomocą wywołania RPC. Z perspektywy sieci ruch taki może przypominać zwykłą komunikację HTTPS z legalnymi usługami, co utrudnia jednoznaczne odróżnienie go od standardowej aktywności. Problemem jest brak klasycznego serwera C2, który można łatwo zidentyfikować i zablokować. 

Technikę wcześniej obserwowano m.in. u aktorów powiązanych z Koreą Północną, co opisał Mandiant w ramach aktywności przypisywanej grupie UNC5342. W lutym 2026 roku firma CYJAX opisała kampanię OCRFix — atak łączący typosquatting strony narzędzia Tesseract OCR z techniką ClickFix i EtherHiding na sieci BNB Smart Chain. Analitycy znaleźli w kodzie phishingowej strony parametr UTM wskazujący na ChatGPT, co sugeruje, że atakujący celowo zatruwali model językowy tak, by ten rekomendował złośliwą domenę użytkownikom. Złośliwe polecenie PowerShell automatycznie trafiało do schowka po kliknięciu fałszywego CAPTCHA, a konfiguracja C2 była ukryta w trzech oddzielnych smart contractach — po jednym na każdy etap trójstopniowego łańcucha infekcji.  

EtherHiding jest również obecny w Polsce i pojawił się ostatnio w atakach wymierzonych w kilka polskich sklepów internetowych. 

EtherRAT 

Wracając do The DFIR Report, w tym incydencie punktem wejścia był instalator MSI podszywający się pod narzędzie RAMMap z pakietu Sysinternals — skłaniający do pobrania właśnie dlatego, że imituje zaufane oprogramowanie administracyjne. Instalator wdrożył EtherRAT.  

W chwili uruchomienia EtherRAT na zainfekowanej maszynie w blockchainie Ethereum nie był jeszcze zapisany żaden aktywny adres serwera — malware czekał. Dopiero po pewnym czasie atakujący zaktualizował smart contract, wskazując malware’owi tunel TryCloudflare jako aktywne połączenie zwrotne. Obok właściwej infrastruktury umieszczono fałszywe domeny — tak, by analitycy nie mogli łatwo odróżnić prawdziwego ruchu od zasłony dymnej. 

Gdy połączenie zostało nawiązane, na zainfekowany system trafił malware TukTuk, który według analiz prawdopodobnie powstał z udziałem narzędzi AI. TukTuk podszywał się pod popularne aplikacje desktopowe przez technikę DLL sideloading i komunikował się z atakującym przez komercyjne serwisy SaaS. W konfiguracji zapasowej mógł wykorzystywać sieć Arweave jako dead-drop resolver — kolejny zdecentralizowany komponent C2. 

Następnie w środowisku zainstalowano GoTo Resolve, legalne narzędzie do zdalnego zarządzania, które posłużyło do poruszania się po sieci bez wzbudzania alertów opartych na detekcji złośliwych procesów. Dane zostały wyeksfiltrowane narzędziem Rclone do usługi chmurowej Wasabi. Trzeciego dnia ataku ransomware The Gentlemen zaszyfrował środowisko przez politykę GPO, po wcześniejszym wyłączeniu Windows Defendera, usunięciu kopii zapasowych woluminów usługi Volume Shadow Copy i wyczyszczeniu logów zdarzeń. 

Patrząc szerzej

Dziś coraz częściej mamy do czynienia z rozproszonym ekosystemem usług, narzędzi i etapów działania, które mogą być rozwijane niezależnie od siebie. 

EtherHiding wpisuje się w ten trend jako kolejna warstwa utrudniająca analizę i zakłócanie operacji. Dla zespołów bezpieczeństwa oznacza to konieczność obserwowania nie tylko samego malware, ale również sposobów utrzymywania komunikacji, mechanizmów konfiguracji oraz nietypowego wykorzystania publicznej infrastruktury. 

Więcej informacji: 
https://thedfirreport.com/2026/05/11/flash-alert-etherrat-and-tuktuk-c2-end-in-the-gentleman-ransomware/ 
https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/ 
https://www.cyjax.com/resources/blog/ocrfix-botnet-trojan-delivered-through-clickfix-and-etherhiding 
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding 

The post Krajobraz Zagrożeń – 18.05.2026 appeared first on CERT Orange.

Cyberbezpieczeństwo Orange Polska reprezentowali: Weronika Rzeszutek, Kamil Dębek, Stanisław Kozioł, Bartosz Nowiński, wyżej podpisany oraz dyrektor cyberbezpieczeństwa Orange Polska Przemysław Dęba. W takim gronie stawiliśmy się w Orange Gardens, które tym razem gościło uczestników Bootcampu. Na czym polega taki Bootcamp?

• na zapoznaniu się z aktualnie trwającymi projektami firmowanymi przez Orange Expertise w naszym obszarze
• na prezentacjach:
  • pomysłów
  • ciekawych rozwiązań
  • innowacji
  • wspartych doświadczeniem opinii, będących przyczynkiem do dyskusji na scenie i w kuluarach
• no i oczywiście na networkingu, będącym wspólną cechą imprez zbierających raz do roku ludzi o tej samej specjalizacji z całego kraju, kontynentu, czy też świata

W Orange Expertise nie jesteśmy anonimowi

Krótkie prezentacje z założenia miały nie przekraczać 15, a drugiego dnia 10 minut. Na scenie w Orange Gardens nie zabrakło oczywiście naszego reprezentanta. O czym mógł opowiadać Staszek Kozioł, bezpieczniacki guru Orange Polska od sztucznej inteligencji?

Opowiadałem o naszym projekcie Trusted MCP Registry, czyli zaufanym rejestrze serwerów MCP. W świecie, gdzie AI coraz częściej łączy się z różnymi narzędziami i usługami, bezpieczeństwo staje się kluczowe. Nie chcemy przecież, żeby przez jedną niezweryfikowaną integrację narazić się na wyciek danych czy inne problemy. Pokazałem, jak taki rejestr może pomóc wszystkim, którzy pracują z AI w Orange. Dzięki niemu łatwiej będzie sprawdzić, czy dany serwer jest bezpieczny, kto go utrzymuje i jakie ma zabezpieczenia. To rozwiązanie, które nie tylko minimalizuje ryzyko, ale też daje większy spokój i wygodę w codziennej pracy z nowymi technologiami.

W ogóle sztuczna inteligencja była dominującym tematem wystąpień podczas Bootcampu. Odmieniana niemalże przez wszystkie przypadki. Począwszy od ogólnych niebezpieczeństw związanych z AI, poprzez opisywany przez Staszka rejestr MCP, skończywszy na wykorzystywaniu AI do zadań ofensywnych, czyli po prostu testów penetracyjnych.

Głównym motorem corocznych spotkań i liderem społeczności Orange Expertise Security jest Jean-François Audenard z DSEC (dyrektoriatu bezpieczeństwa) Orange France, nazywany potocznie Jeffem. W tym roku wspierała go debiutująca w tej roli Patricia Maynial-Moutier. Przez dwa dni imprezy oboje – przede wszystkim prowadzący oba dni na scenie Jeff – wydawali się dysponować nieskończoną energią.

Gdzie spotkamy się w kolejnym roku? Tego jeszcze nie wiadomo, ale pewne jest, że ciekawych treści nie zabraknie. W końcu w cyberbezpieczeństwie każdego dnia potrafi dziać się coś nowego.

The post Bezpieczniacy z całego świata Orange spotkali się w Paryżu appeared first on CERT Orange.

Oto szczegóły ataku, które pozwolą Wam go rozpoznać i nie dać się okraść.

Najważniejsze elementy tej wiadomości:

Wszystko zaczyna się od maila, który ma sprawiać wrażenie oficjalnego komunikatu systemowego.

• temat sugeruje możliwość otrzymania zwrotu wpłaconej kwoty: „NFZ – Powiadomienie, że wpłacona kwota może zostać zwrócona na Twoje konto.”
• nadawca nie ma nic wspólnego z domeną: contact[@]wertsicherungsstrategien[.]de
• w treści pojawia się prośba o potwierdzenie danych po rzekomej „aktualizacji systemu”
• wiadomość zawiera przycisk „Potwierdź konto”

Na co zwrócić uwagę od razu?

Jeśli dostajesz wiadomość o zwrocie z NFZ, sprawdź najpierw te 4 rzeczy:

• Adres nadawcy – oficjalna instytucja nie wysyła takich komunikatów z przypadkowej zagranicznej domeny.
• Link w wiadomości – zanim klikniesz, sprawdź, dokąd prowadzi.
• Obietnica pieniędzy – presja związana ze zwrotem środków to częsty trik socjotechniczny.
• Prośba o dane karty – to jeden z najmocniejszych sygnałów, że masz do czynienia z oszustwem.

Fałszywa strona i wyłudzanie danych

Po kliknięciu w link w wiadomości, użytkownik trafia na profesjonalnie wyglądającą stronę, która podszywa się pod witrynę NFZ. Kluczowy znak ostrzegawczy – adres URL:
Zamiast oficjalnego adresu rządowego, w pasku przeglądarki widzimy podejrzaną domenę:

auto-renwal-id564375-nfz-pl[.]verbiertenverboten[.]de

Pamiętajcie, że NFZ nigdy nie korzysta z niemieckich domen (.de) ani skomplikowanie złożonych subdomen na prywatnych serwerach!

Jak przebiega oszustwo „na zwrot kosztów”

Przestępcy prowadzą ofiarę przez dwuetapowy proces:

• Weryfikacja tożsamości: Formularz prosi o adres e-mail oraz numer telefonu.
• „Weryfikacja karty płatniczej”: To najbardziej niebezpieczny moment. Pod pretekstem „potwierdzenia, że jesteś rzeczywistym odbiorcą zwrotu środków”, strona prosi o podanie: Imienia i nazwiska, numeru karty bankomatowej, daty jej ważności oraz kodu CVV.

Pamiętaj! Żadna instytucja publiczna, w tym NFZ, nie wymaga podania kodu CVV ani pełnych danych karty płatniczej, aby wypłacić Ci jakiekolwiek środki. Zwroty z NFZ odbywają się na numer konta bankowego zadeklarowany w systemach urzędowych, a nie poprzez „weryfikację” karty na stronie WWW.

Jak się chronić?

• Sprawdzaj nadawcę: Zawsze weryfikuj pełny adres e-mail nadawcy, a nie tylko wyświetlaną nazwę.
• Patrz na pasek adresu: Oficjalne serwisy administracji publicznej zawsze znajdują się w domenie gov.pl.
• Nie podawaj danych karty: Kod CVV/CVC służy wyłącznie do autoryzacji płatności (kiedy Ty coś kupujesz), a nie do odbierania pieniędzy.
• Zgłaszaj incydenty: Jeśli otrzymałeś taką wiadomość, przekaż ją bezpośrednio do zespołu CERT Orange Polska.
• Bądźcie czujni i ostrzeżcie bliskich, szczególnie osoby starsze, które mogą być bardziej podatne na tego typu manipulacje!

Dlaczego ten phishing może działać?

Ten scenariusz wykorzystuje kilka skutecznych mechanizmów:

• zaufanie do znanej instytucji,
• obietnicę korzyści finansowej,
• presję szybkiego działania,
• pozornie oficjalny wygląd wiadomości i strony.

Właśnie dlatego warto zawsze sprawdzać nie tylko treść komunikatu, ale też adres nadawcy i domenę strony.

Jeśli wiadomość o zwrocie z NFZ prowadzi do prośby o dane karty, to niemal na pewno próba oszustwa.

[AKTUALIZACJA]

Dostajemy sygnały o kolejnej wysyłce wiadomości SMS przez przestępców do polskich użytkowników.
Schemat działania jest identyczny, tym razem wabikiem jest „aktualizacja danych płatniczych”.

NFZ Polska: Płatność Twojego ubezpieczenia zdrowotnego nie doszła do skutku. Zaktualizuj dane płatnicze w ciągu 24 godzin, aby uniknąć przerwy w ochronie. Link: https://e[.]vg/NFZ

Po kliknięciu w link trafiamy na stronę służąca do wyłudzania danych płatniczych. Co zrobić, gdy dostałeś takiego podejrzanego smsa? Prześlij go pod nasz numer 508700900 służący do zgłaszania oszustw SMS i usuń go ze swojego telefonu.

The post [AKTUALIZACJA] Uwaga na mail podszywający się pod NFZ. „Zwrot kosztów” i „aktualizacja systemu” to phishing appeared first on CERT Orange.

Opisywana dzisiaj kampania dotyczy klientów banku Santander przemianowanego niedawno na Erste Bank, jednak opisywany poniżej schemat wykorzystywany jest do socjotechnicznych ataków na klientów różnych banków. Dlatego przeczytaj ten tekst i wyślij link do niego swojej rodzinie i znajomym!

Zaczyna się od reklamy na Facebooku.

Promocja PL to fanpage z jednym obserwującym. Witryna logowanie.mobile24[.]sbs nie ma nic wspólnego z Erste Bank ani żadną inną instytucją finansową. Po kliknięciu w link trafiamy na informację o „specjalnej ofercie”. Za aktywację aplikacji mobilnej banku mielibyśmy dostać premię w wysokości 1200 PLN.

W przypadku rebrandingu opisywanego banku nie było konieczności aktywacji aplikacji. Po prostu po aktualizacji zmieniła się nazwa aplikacji i jej logo. Aplikacja pozostała aktywna, poświadczenia logowania nie uległy zmianie.

Na powyższym zrzucie ekranu warto zwrócić uwagę na drobny błąd stylistyczny widoczny na dole ekranu, który wielu może umknąć – „Pełne dane banku znajdziesz na stronie Uruchomi się w nowym oknie”. Po wpisaniu loginu pojawia się monit o hasło:

a następnie możesz spodziewać się kolejnego, o podanie kodu z SMS. Jego treść ma Cię przekonać do wpisania go na fałszywej stronie, co zakończy się przejęciem przez oszustów kontroli nad Twoim kontem, dzięki czemu będą mogli wyczyścić je do zera.

W sieci Orange Polska docelowe domeny tej – i nie tylko tej – kampanii blokuje CyberTarcza.

Nie tylko Erste Bank – jak nie dać się oszukać?

W tym przypadku przestępcy wykorzystują niedawny rebranding jednego z większych banków w Polsce, jednak opisywany schemat obserwujemy w CERT Orange Polska regularnie. Może się zdarzyć, że oszuści zaproponują Ci „promocję” za aktywności związane z aplikacją, czy kontem. Obserwujemy też kampanie, w których próbują wzbudzić niepokój koniecznością „rejestracji” czy też „weryfikacji” aplikacji.

Na co uważać?

• Widzisz na Facebooku atrakcyjną reklamę z logo Twojego banku? Kliknij w logo nadawcy reklamy i sprawdź, gdzie Cię przeniesie. Jeśli będzie to pusty/niemal pusty fanpage z kilkoma obserwującymi – masz do czynienia z oszustwem.
• Sprawdź adres linku lub strony docelowej. Znasz adres Twojego banku. Jeśli trafiasz na panel logowania pod innym adresem – to oszustwo. Podobnie w przypadku, gdy adres nie kończy się na .pl (przy bankach funkcjonujących w Polsce).
• Wciąż nie masz pewności, czy to promocja Twojego banku? Wejdź na jego stronę (nie tę z reklamy, czy SMS-a) lub zadzwoń na infolinię, by się upewnić.

Pamiętaj – każdy może być celem takiego ataku! Dziś są nim klienci Erste Bank – jutro mogą nim być klienci banku, w którym Ty masz swoje konto.

Aktualizacja 28/05. Nowe fałszywe SMS-y

Oszuści nie zaprzestają prób oszukania klientów banku Erste. W nowej obserwowanej przez CERT Orange Polska kampanii SMS-y przychodzą ze zwykłych numerów telefonów:

Alert bezpieczeństwa: Wykryliśmy podejrzane logowanie do Twojego konta. Jeśli to nie Ty, sprawdź ostatnią aktywność i zabezpiecz konto tutaj:hxxps://e[.]vg/Erste

W tej wersji kampanii oszuści użyli kolorystyki Banku Santander, który kilka tygodni temu przeszedł rebranding na markę Erste, całkowicie zmieniając szatę graficzną. Czy użycie starych barw to przypadek? Może próba bazowania na przyzwyczajeniu użytkowników do starej nazwy? Niezależnie od tego, czemu oszuści zdecydowali się na starą kolorystykę – dane wpisane na stronie trafią w ręce przestępców.

The post [Aktualizacja: nowe SMS-y] Oszuści podszywają się pod banki – dziś padło na Erste. Sprawdź na co uważać. appeared first on CERT Orange.

Kilka dni temu otrzymaliśmy na jedną ze skrzynek mailowych wiadomość, która wyglądała na próbę phishingu podszywającą się pod home.pl. E-mail ten dotyczył prawdziwej domeny, której jesteśmy właścicielami. Domena ta jednak nie jest powiązana w żaden sposób z firmą, pod którą podszywa się oszust w swojej wiadomości.

Mechanizm ataku: „Zapłać albo stracisz domenę”

Wszystko zaczyna się od maila, który na pierwszy rzut oka wygląda bardzo wiarygodnie. Nadawca podpisuje się jako home.pl sp. z o.o., a treść uderza w czuły punkt każdego właściciela biznesu: ryzyko utraty domeny i przekazanie sprawy do windykacji. Prosta weryfikacja adresu e-mail nadawcy pokazuje, że wiadomość nie pochodzi z domeny home.pl. W naszym przypadku był to adres support[@]service[.]beloslav[.]net. Oczywiście nie jest to oficjalny adres home.pl.

Analiza techniczna: Co kryje się pod przyciskiem?

Kliknięcie przycisku „Opłać usługę” nie prowadzi do panelu klienta home.pl, lecz do starannie przygotowanej pułapki.

1. Domena: Adres mau33[.]muaweb[.]vn nie ma nic wspólnego z polskim rejestratorem. Końcówka .vn (Wietnam) to jasny sygnał, że jesteśmy na obcym terenie.
2. Selektywne wyświetlanie: To ciekawy zabieg – strona poprawnie renderuje się na urządzeniach mobilnych, imitując panel logowania. Jednak przy próbie wejścia z komputera (desktop), użytkownik trafia na pustą stronę. To celowe działanie mające utrudnić analizę narzędziom bezpieczeństwa i badaczom.
3. Kradzież loginu: Pierwszy etap to fałszywy ekran logowania. Co istotne – skrypt akceptuje dowolne dane. Nie sprawdza ich poprawności, bo jego jedynym celem jest uwiarygodnienie całego procesu.

Finał: Kradzież danych karty

Po „zalogowaniu” ofiara widzi listę usług do opłacenia. Kwoty dobrano tak, by wyglądały wiarygodnie (np. 429,00 zł za pakiet usług – domenę, hosting i certyfikat SSL). Ostatnim etapem jest formularz płatności kartą.

Tutaj nie ma już złudzeń. Jeśli wpiszesz tam numer karty, datę ważności i kod CVV2, nie opłacisz domeny. Zamiast tego przekażesz oszustom komplet danych karty, które mogą zostać wykorzystane do nieuprawnionych transakcji.

Ważne: Zwróć uwagę na pasek adresu na na zrzutach ekranu. Prawdziwy panel home.pl zawsze znajduje się w domenie home.pl i ma ważny certyfikat wystawiony dla tego podmiotu.

Jak się chronić?

1. Zawsze sprawdzaj adres URL: Zanim wpiszesz hasło lub dane karty, spójrz w pasek adresu przeglądarki.
2. Nie klikaj w linki z maili o płatnościach: Jeśli dostaniesz powiadomienie o fakturze, zamknij maila, wpisz ręcznie adres home.pl w przeglądarce i zaloguj się bezpośrednio do swojego panelu.
3. Stosuj 2FA: Dwuetapowa weryfikacja (np. kod SMS lub aplikacja) to podstawowy mechanizm ochrony, który może uratować Twoje konto, nawet jeśli dasz się złapać na fałszywą stronę logowania.

CERT Orange Polska regularnie obserwuje podobne kampanie phishingowe i analizuje ewolucję stosowanych w nich technik. Dostęp do opisanej domeny jest blokowany dla klientów Orange przez Cybertarczę.

The post Fałszywe maile o domenie. Oszuści podszywają się pod home.pl i wyłudzają dane kart appeared first on CERT Orange.