Phishing podszywający się pod dostawców hostingu

Jak i dlaczego cyberprzestępcy atakują konta na stronach dostawców hostingu.

Dziś opowiemy o stosunkowo niedawnym przejęciu konta osobistego na stronie dostawcy hostingu. Takie konto jest dla cyberprzestępców bardzo atrakcyjne. Zobacz, jak przebiegł taki atak i co może się wiązać z włamaniem.

Schemat ataku phishingowego

Atak rozpoczyna się od klasycznego phishingu. W tym przypadku straszono odbiorcę, że musi szybko wykonać jakieś działanie — podszywając się pod dostawcę hostingu, oszuści twierdzili, że czasowo zablokowali konkretne konto, gdyż zidentyfikowali na nim próbę zakupu podejrzanej domeny. Aby odzyskać kontrolę nad kontem, odbiorca musiał kliknąć łącze i zalogować się na nie.

Phishingowa wiadomość e-mail wysyłana przez cyberprzestępców podszywających się pod dostawcę hostingu

Treść wiadomości jest naszpikowana znakami ostrzegawczymi. Nie znajdziemy w niej ani nazwy dostawcy, ani jego logo, co sugeruje, że użyty został jeden wspólny szablon, pasujący do klientów różnych firm hostingowych. Nazwa pojawia się tylko raz, w nazwie nadawcy. Co więcej, nazwa ta nie pasuje do domeny pocztowej, co jest wyraźną oznaką oszustwa.

Łącze prowadzi do szemranej strony logowania, która ma nawet inną kolorystykę. Najprawdopodobniej atakujący mają nadzieję, że przestraszony użytkownik tego nie zauważy.

Fałszywe strony internetowe

Jak w każdym innym ataku phishingowym, wprowadzenie swoich danych logowania na takiej stronie oznacza wręczenie kontroli nad swoim kontem cyberprzestępcom. Jednak w tym przypadku wiąże się to z przekazaniem im firmowych kluczy do strony. Co dziwne, oszuści proszą również o niektóre szczegóły finansowe, lecz nie wiadomo, w jakim celu.

Dlaczego akurat dostawcy hostingu?

Spójrzmy na stronę logowania. Certyfikaty strony phishingowej nie wzbudzają podejrzeń, podobnie jak jej reputacja. Oczywiście cyberprzestępcy nie utworzyli tej domeny, lecz ją zhakowali, najprawdopodobniej przy użyciu podobnego ataku.

Czego mogą dokonać cyberprzestępcy, gdy zdobędą kontrolę nad czyimś kontem na stronie firmy hostingującej, zależy od dostawcy. Wśród opcji znajduje się na przykład połączenie z nią innych treści, zaktualizowanie jej zawartości poprzez interfejs sieciowy, jak również zmiana hasła do serwera FTP do zarządzania treścią. Innymi słowy, opcji jest wiele.

Ponadto po przejęciu kontroli nad stroną cyberprzestępcy mogą dodać do niej stronę phishingową, umieścić na niej łącze służące do pobierania szkodliwych programów, a nawet użyć jej do zaatakowania Twoich klientów. Mogą również działać w imieniu Twojej firmy i korzystać z reputacji strony do szkodliwych celów.

Jak chronić się przed atakami phishingowymi

Phishingowe wiadomości e-mail mogą być bardzo przekonujące. Aby nie dać się na nie nabrać, przede wszystkim warto zadbać o czujność pracowników. W tym celu:

  • Wprowadź zasady, które zakazują klikania łączy do kont osobistych. Każda osoba, która odbierze od swojego dostawcy hostingu dziwną wiadomość, powinna zalogować się do oryginalnej strony, wpisując ją w pasku adresu przeglądarki.
  • Na stronie internetowej dostawcy włącz autoryzację dwuetapową. Jeśli nie oferuje on tego mechanizmu, dowiedz się, czy ma to w planach.
  • Szukaj oznak phishingu (np. niezgodność pomiędzy nazwą nadawcy a domeną poczty e-mail lub niepoprawne nazwy domen na stronach internetowych). Naucz pracowników rozpoznawania prób phishingowych (w tym celu możesz skorzystać z naszej platformy szkolenia przez internet).
  • Na wszystkich serwerach i urządzeniach, których pracownicy używają do łączenia się z internetem, zainstaluj rozwiązania dla firm zabezpieczające pocztę.

Porady