NÚKIB: V březnu převládala smishingová kampaň napodobující stránky MPSV nebo ČSSZ
Minulý měsíc se díky 28 kybernetickým incidentům evidovaných Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) stal rekordním. Drtivá většina z pohledu závažnosti spadala mezi méně významné. Jednalo se především o DDoS útoky, které neměly vážné dopady a jen krátkodobě narušily dostupnost webových stránek obětí.
Březen 2023 se co do počtu kybernetických incidentů evidovaných NÚKIB stal rekordním měsícem. Překonal ho jen březen roku 2021, kdy útočníci ve velkém zneužívali tehdy novou zranitelnost MS Exchange Ser- ver. Drtivá většina nynějších incidentů však z pohledu závažnosti spadala mezi méně významné. Je to dáno především vysokým počtem zaznamenaných DDoS útoků, které neměly vážné dopady a jen krátkodobě na- rušily dostupnost webových stránek obětí.
Zaměřeno na hrozbu: Smishingová kampaň napodobující stránky českých státních institucí
NÚKIB dlouhodobě zaznamenává finančně motivovanou smishingovou kampaň, která se zaměřuje na širokou veřejnost a jejímž primárním cílem je získat údaje občanů k jejich bankovní identitě. Útočníci v rámci kampaně napodobují domény i webové stránky Ministerstva práce a sociálních věcí ČR, České správy sociálního zabezpečení, Portálu občana nebo České pošty. Zneužívají přitom například motivy nabídky příspěvků na bydlení, vyplácení sociálních dávek či výzvy k založení datové schránky.
Útočníci většinou postupují následovně:
- V prvním kroku kampaně rozesílají phishingové SMS zprávy s různými motivy, které obsahují hypertextové odkazy. Tyto odkazy typicky imitují domény českých státních institucí. Například v případě MPSV dochází k vytváření domén s různými obměnami typu ceska-mpsv[.]cz, mpsv- egov[.]online, mpsv[.]info apod.
- Po kliknutí na přiložený odkaz je oběť přesměrována na podvržené stránky imitující web příslušné instituce s možností přihlášení přes bankovní identitu. Falešné webové stránky jsou vizuálně velmi dobře připravené. Obsahují nejen oficiální loga institucí, ale i téměř identickou grafickou podobu.
- V případě přihlášení oběti do podvržené bankovní identity útočníci využijí její údaje k přihlášení do legitimního bankovnictví, čímž dojde k zaslání výzvy pro dvoufázové ověření. Možnost úspěšného zneužití údajů pro přihlášení do internetového bankovnictví není příliš pravděpodobná (15–20 %) díky dvoufaktorovému ověření při přihlašování. Existuje však reálná možnost (25–50 %), že útočníci tyto údaje mohou dále přeprodávat. V některých případech docházelo také k přesměrování oběti na další stránku s výzvou k zadání údajů k platební kartě. Po zadání těchto údajů pak útočníci odváděli finanční prostředky prostřednictvím vybrané platební brány.
Kampaň je problematická zejména kvůli své vytrvalosti a poměrně vysoké aktivitě útočníků. NÚKIB na kampaň upozorňoval v srpnu 2022, kdy útočníci začali mířit na české cíle. Kampaň od té doby ale stále pokračuje. Útočníci průběžně vytvářejí nové domény pro podvržené stránky, jen nyní v březnu takových domén vytvořili více než sedm desítek. Ačkoli sdružení CZ.NIC nově vytvářené domény postupně blokuje, útočníci stále tvoří nové. Velká část nových stránek navíc vzniká mimo českou národní (.cz) doménu, kde CZ.NIC k blokaci nemá kompetence.
Vzhledem k obtížné mitigaci doporučujeme zejména obezřetnost na straně uživatele. Oficiální web pro podání žádosti na příspěvek na bydlení se nachází pouze na adrese https://www.mpsv.cz/web/cz/-/prispevek-na-bydleni. Jakékoliv nové podvodné domény můžete nahlásit na webu StopOnline.cz, provozovaném sdružením CZ.NIC, a případně také Policii ČR.
Michael Fanta, redakce Cyberblog
Zdroj: NÚKIB
Foto: Bing
Zdroj: NÚKIB
Foto: Bing
NÚKIB: V březnu převládala smishingová kampaň napodobující stránky MPSV nebo ČSSZ
0 Comments