Oszuści internetowi podszywają się pod GUS. NASK ostrzega przed utratą poufnych danych oraz pieniędzy

W ostatnim czasie NASK odnotował wzmożoną dystrybucję fałszywych wiadomości mailowych, rozsyłanych w celu zainfekowania komputerów oprogramowaniem typu infostealer. Potencjalne ofiary otrzymywały wiadomości od GUS z prośbą o wypełnienie formularza elektronicznego.

- Potencjalna ofiara otrzymuje na swój adres e-mail wiadomość, rzekomo od Głównego Urzędu Statystycznego, o objęciu jej obowiązkiem sprawozdawczym, zgodnie z którym musi wypełnić elektroniczny formularz zgłoszenia, zamieszczony w załączniku wiadomości - informuje CERT Polska NASK.

W celu uwiarygodnienia przesłanego komunikatu oszuści powołują się na przepisy prawne oraz zamieszczają w wiadomości linki prowadzące do prawdziwej strony Biuletynu Informacji Publicznej. Wiadomość przesłana z adresu GUS-Portal@info.stat.gov.pl zawiera załącznik o nazwie Elektroniczny formularz zgłoszenia, który w rzeczywistości jest szkodliwym oprogramowaniem.

Program po trafieniu na dysk weryfikuje, czy uruchomiony został w środowisku naturalnym, a następnie pobiera kolejne złośliwe oprogramowanie, służące do wykradania danych.

- Szkodliwe oprogramowanie, które jest pobierane w ostatniej fazie infekcji, pochodzi z rodziny Agent Tesla/OriginLogger. Charakteryzuje się ona wykradaniem danych wrażliwych z komputera ofiary m.in. zapisanych haseł i ciasteczek z przeglądarki, informacji o systemie, a także haseł z najpopularniejszych aplikacji. W kolejnym etapie dane te są eksfiltrowane za pomocą jednej z wielu dostępnych metod takich jak wysyłanie maili (SMTP), serwer FTP albo nawet korzystając z możliwości API takich platform jak Telegram czy Discord - dodają eksperci.

Przestępcy w celu uwiarygodnienia komunikatów wykorzystują przejęte domeny i konta pocztowe podobne do tych, wykorzystywanych przez instytucje. Jak dodaje CERT, podszywają się też pod nadawcę „w skutek braku poprawnej konfiguracji mechanizmów SPF i DMARC”.

Cyberprzestępcy w celu zmylenia użytkowników, a także systemów bezpieczeństwa wykorzystują różne rozszerzenia plików załączanych w wiadomości np. img, zip lub 7z. Czasem w treści nie ma pliku, a pojawia się link, kierujący do wirtualnego dysku, z którego można pobrać szkodliwe oprogramowanie.

Głównym celem zainfekowania komputerów z systemem Windows jest m.in. kradzież danych do bankowości elektronicznej oraz danych logowania do serwisów, które były zachowane w przeglądarkach internetowych. Niektóre programy przechwytują także klawisze naciskane przez użytkownika, co umożliwia dostęp do kont pocztowych, platform społecznościowych lub bankowych.

Jeśli podejrzewamy, że nasz komputer został zainfekowany, najpierw trzeba odłączyć go od sieci. Następnym krokiem jest wykorzystanie innego urządzenia do zmiany wszystkich haseł, które mogły być zapisane w przeglądarce.

- Sugerujemy wykonanie kopii zapasowej danych, następnie przeinstalowanie systemu operacyjnego i przywrócenie najważniejszych danych ze wspomnianej kopii zapasowej - radzą eksperci NASK.

Zainfekowane urządzenie można także przeskanować programem antywirusowym, choć nie zawsze gwarantuje to, że szkodliwe oprogramowanie zostanie całkowicie usunięte. Warto pamiętać, że otwieranie wiadomości z nieznanych źródeł niesie ze sobą duże ryzyko utraty danych oraz pieniędzy.