Kampania phishingowa celuje w małe i średnie przedsiębiorstwa oraz podmioty rządowe, które korzystają z Zimbra Collaboration, platformy ułatwiającej wspólną pracę. Działanie cyberprzestępców ma charakter międzynarodowy, jednak największa liczba zaatakowanych jest w naszym kraju.
– Zimbra, podobnie jak inne narzędzia będące alternatywą dla największych rozwiązań korporacyjnych, jest interesującym celem dla cyberprzestępców. Jest popularna wśród firm i organizacji o niższych budżetach, które często mają słabsze zabezpieczenia niż duże firmy. W tym przypadku atak opiera się jednak wyłącznie na sztuczkach psychologicznych i manipulacji – mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa w firmie ESET.
Niewinny początek
Atak rozpoczyna wiadomość mejlowa zawierająca ostrzeżenie o niezbędnej aktualizacji serwera poczty, dezaktywacji konta lub innym problemie technicznym. Następnie użytkownik kierowany jest do kliknięcia w załączony plik, który jest phishingowym plikiem HTML. Po jego otwarciu ofiara trafia na fałszywą stronę logowania Zimbra, a kiedy wpisze swoje dane uwierzytelniające, są one przesyłane wprost na serwer kontrolowany przez przestępców. Czym to grozi? Atakujący przejmują dane konto mejowe. Ale to nie wszystko. Wygląda na to, że są w stanie także włamać się na konta administratorów i tworzyć nowe skrzynki pocztowe, które będą wykorzystane do wysyłania wiadomości phishingowych do kolejnych osób. Przejęcie dostępu do wirtualnych serwerów i kont może też otworzyć drogę do ataków typu ransomware, w których stosowane jest złośliwe oprogramowanie.
– Przestępcy wykorzystują fakt, że załączniki HTML zawierają poprawny i pozbawiony szkodliwych funkcjonalności kod, a jedynym charakterystycznym elementem jest link kierujący do złośliwego hosta. W ten sposób znacznie łatwiej jest obejść polityki antyspamowe, zwłaszcza w porównaniu z bardziej rozpowszechnionymi technikami phishingu, w których złośliwy link jest umieszczany bezpośrednio w treści wiadomości mejlowej – wyjaśnia Viktor Šperka, badacz firmy ESET, który odkrył kampanię.
Zachowaj czujność
Zdaniem ekspertów kampania nie jest szczególnie zaawansowana technicznie, ale może skutecznie atakować organizacje korzystające z Zimbra Collaboration. Oprócz użytkowników z Polski celem działań cyberprzestępców stały się osoby m.in. z Ukrainy, Włoch, Francji, Holandii i Ekwadoru. Eksperci przypominają, co należy robić w takich sytuacjach.
– Aby zachować bezpieczeństwo swojej firmy, nie jest konieczny sztab specjalistów i specjalistek IT. Wystarczy trzymać się określonych zasad i być na bieżąco z nowymi zagrożeniami cyberbezpieczeństwa. Bardzo ważna jest m.in. edukacja pracowników. Każdy z nich powinien wiedzieć, że zanim otworzymy załącznik wiadomości, musimy dokładnie jej się przyjrzeć i sprawdzić czy np. nie pochodzi z fałszywego adresu. Jeżeli treść mejla nakłania nas do wpisania hasła, powinniśmy natychmiast ją zamknąć, nie podając żadnych informacji, a następnie zgłosić ten fakt administratorowi – radzi Kamil Sadkowski.