Podszywali się pod Caritas Polska. ESET wykrył kampanię phishingową

ESET wskazuje, że atakujący wykorzystywali lokalny kontekst i zaufanie do rozpoznawalnych marek. Adresaci otrzymywali uporządkowane, poprawne językowo wiadomości, które wyglądały jak oficjalna korespondencja. Taki zabieg zwiększał szansę na kliknięcie odnośnika prowadzącego do szkodliwych skryptów.

Jak informuje ESET w swoim komunikacie, w polu nadawcy opisywanych tutaj e-maili pojawiały się organizacje społeczne i portale rekrutacyjne. Jedna z wiadomości podszywała się pod Caritas Polska, inne pod takie podmioty jak Infoludek czy JobFest. Eksperci podkreślają, że celowo wykorzystano tutaj pozytywne skojarzenia odbiorców do wzmocnienia skuteczności ataku.

Warto tutaj zwrócić uwagę na fakt, że tego rodzaju kampanie nie celują w konkretne instytucje, lecz w mechanizmy zaufania. Przestępcy wybierają nadawców, którzy kojarzą się pozytywnie lub neutralnie – tak, by zwiększyć szanse na to, że wiadomość zostanie otwarta, a niczego nieświadomy odbiorca kliknie w znajdujący się w niej link. Jak mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa w ESET, jest to podejście socjotechniczne, w którym reputacja organizacji staje się nieświadomie częścią łańcucha ataku.

Niepokoić może tutaj fakt coraz częstszego wykorzystania narzędzi AI do przeprowadzenia ataku. Proste, a zarazem bardzo dopracowane językowo e‑maile wskazują, że ich autorzy posługują się modelami AI, które w mgnieniu oka są w stanie wygenerować treści dopasowane do odbiorcy. To problem, bowiem autorzy ataków nie mają już problemu z przygotowaniem przekonujących komunikatów, których dopracowanie językowo jest w stanie uśpić czujność odbiorców, a tym samym są w stanie przeprowadzić więcej podobnych ataków w tym samym czasie.

Mechanizm ataku wykorzystywał znaną lukę w Roundcube, popularnym webmailu. Złośliwy kod umieszczony w treści wiadomości uruchamiał się po jej otwarciu w przeglądarce. Kliknięcie linku przekierowywało na zewnętrzną stronę, z której na komputer ściągane były skrypty kradnące loginy i treści korespondencji.

Aby utrudnić namierzenie infrastruktury, przestępcy używali darmowych usług DNS i rozproszonej sieci serwerów. Taka konfiguracja pozwalała szybko zmieniać adresy i ukrywać właściwą lokalizację serwera.

ESET przypomina, że phishing coraz częściej przypomina zwykłą korespondencję. Specjaliści zalecają ostrożność przy wiadomościach z linkami lub załącznikami oraz stosowanie oprogramowania zabezpieczającego, które potrafi blokować dostęp do złośliwych stron i e‑maili, zanim użytkownik popełni błąd.