Przejdź na

Ataki na skrzynki e-mail Polaków - oto, jak mogą wyglądać

Pod koniec stycznia 2023 roku odnotowano wzmożoną aktywność atakujących próbujących autoryzować się do skrzynek pocztowych. Większość incydentów nie odznaczała się dużą skalą, jednakże jeden z nich naprawdę wyglądał bardzo ciekawie i zdecydowanie wyróżniał się na tle innych.

Young man with laptop checking his e-mail at homeadult, background, business, caucasian, checking, communication, computer, contact, correspondence, delivery, device, digital, e-mail, electronic, hand, home, inbox, internet, laptop, letter, letters, mail, mailing, male, man, media, message, modern, network, news, online, people, person, read, reading, receive, screen, send, sitting, social, sofa, technology, web, young, adult, background, business, caucasian, checking, communication, computer, contact, correspondence, delivery, device, digital, e-mail, electronic, hand, home, inbox, internet, laptop, letter, letters, mail, mailing, male, man, media, message, modern, network, news, online, people, person, read, reading, receive, screen, send, sitting, social, sofa, technology, web, youngPoczta e-mail
Źródło zdjęć: © Adobe Stock | pixel-shot.com (Leonid Yastremskiy)
Szymon Majcher
Szymon Majcher

Na czerwono na wykresie zaznaczone są konta, na które nie udało się uwierzytelnić podczas ataku. Na fioletowo - największa grupa kont, które wcale nie istnieją w systemie, a próbowano się na nie autoryzować. No i w końcu na żółto - wszystkie pozostałe błędne próby autoryzacji.

Nie jest nowością to, że atakujący podczas prób przełamywania zabezpieczeń wielu kont starają się odwrócić uwagę analityków czy też powodować błędy autoryzacjami do kont, które nie istnieją lub nawet nie mają prawa istnieć, ponieważ nazwa konta zawiera znaki, które nie są podstawowymi znakami tablicy ASCII. Zaskakująca jednak jest skala żądań dostępu do nieistniejących kont w stosunku do kont, które rzeczywiście były celem ataku.

Wykres obrazujący wzrost błędnych prób autoryzacji w dniu ataku
Wykres obrazujący wzrost błędnych prób autoryzacji w dniu ataku © Licencjodawca | Szymon Majcher

Analiza strategii atakujących

Wygląda to na próbę wywołania błędu żądaniami zawierającymi dane o nieznanym kodowaniu lub próbę spowodowania przeciążenia licząc na to, że w momencie, gdy już systemy autoryzacji nie będą w stanie obsłużyć zapytań, zaczną wpuszczać na konta. Trzeci, ale nie mniej prawdopodobny scenariusz zakłada, że atakujący starali na siłę zrobić "coś złego" i tak jeżeli nie udało się przejąć żadnego konta, to chcieli spowodować jeden z najprostszych logicznie ataków, polegający na przeciążeniu usługi - DDoS.

Dalsza część artykułu pod materiałem wideo

Czy warto kupić smartfon Infinix Zero Ultra?

Charakterystyka ataku

Największa aktywność w czasie ataku pochodziła z 11 adresów IP wykonujących w czasie niespełna 1,5 godziny od 100 tys. do 400 tys. prób błędnej autoryzacji z jednego adresu IP. Oprócz tych 11 adresów udział w ataku został odnotowany również z wielu innych, mniej aktywnych adresów IP. Były to przede wszystkim adresy IP pochodzące z Wietnamu, Rosji, Korei Południowej, Japonii i Hong Kongu.

Część z nich próbowała już nadmiarowo autoryzować się na konta w systemie, więc mechanizmy ochronne nie pozwoliły na autoryzację z tego adresu IP nawet, gdy atakujący znał poprawne hasło. Część zaś, w wyniku dużej liczby prób, została zidentyfikowana przez mechanizmy ochronne w czasie ataku i od momentu identyfikacji spotykał je ten sam los. Dla wyżej wymienionych państw podczas ataku zauważalny był charakterystyczny wzrost liczby prób autoryzacji względem dni poprzednich.

Porównanie aktywności w dniu poprzedzającym i w dniu ataku, z państw, dla których adresy IP brały udział w ataku
Porównanie aktywności w dniu poprzedzającym i w dniu ataku, z państw, dla których adresy IP brały udział w ataku © Licencjodawca | Szymon Majcher

Na atakowanych kontach nie odnotowano tysięcy lub chociażby setek nieudanych prób uwierzytelnienia. Były to raczej próby sprawdzenia tego samego hasła z kilku pojedynczych adresów IP. Bazując na wiedzy serwisu haveibeenpwned.com, konta te mają bogatą historię wycieków i najprawdopodobniej był to test dostępności kont biorących udział w którymś z niedawnych wycieków danych lub nawet test haseł do kont zebranych z wielu takich wycieków.

Szymon Majcher, współpracownik dobreprogramy.pl

Wybrane dla Ciebie
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯