- Dołączył
- 26 Maj 2015
- Posty
- 19210
- Reakcje/Polubienia
- 55918
źródło:Czasem zdarza się tak, że nawet te witryny, którym powinniśmy najbardziej ufać – jak np. strony rządowe – padają ofiarami włamywaczy. Taki los spotkał właśnie rządowy serwis poświęcony rodzinie – rodzina.gov.pl.
ProblemZaloguj lub Zarejestruj się aby zobaczyć!. Po wejściu na stronę rodzina.gov.pl na jego ekranie pojawiła się niepokojąca informacja o zainfekowaniu komputera wraz z prośbą o skontaktowanie się z odpowiednim serwisem. To dość popularna w innych krajach próba ataku socjotechnicznego.
Ciekawy przypadek
Wejście naZaloguj lub Zarejestruj się aby zobaczyć!(czego nie zalecamy) obecnie kończy się następującym ekranem:
Gdy spojrzymy na to, w jaki sposób przeglądarka tam trafia, okazuje się, że przekierowanie zostało umieszczone na poziomie serwera WWW:
Każda próba załadowania adresu serwisu rodzina.gov.pl jest automatycznie przekierowana już na poziomie dyrektywy „Location” do serwera przestępców. To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW. Zainfekowany serwer rządowy znajduje się pod adresem IP 79.133.196.90 – adres tenZaloguj lub Zarejestruj się aby zobaczyć!, co oznacza, że nie jest to przejęcie domeny, a prawdopodobnie włamanie na konto hostingowe, które obsługuje ten serwer. Dlaczego rządowy serwer stoi sobie na dedykowanym serwerze w firmie eTop – o to nas już nie pytajcie.
Co robi złośliwa strona
Po pierwsze wyświetla komunikat sugerujący, że komputer został zainfekowany i należy koniecznie zadzwonić do wsparcia technicznego firmy Microsoft pod podany numer. Oprócz tego strona powinna także odtworzyć w pętli plik audio.
Dodatkowo przestępcy wyświetlają okienko uwierzytelnienia, w którym jeszcze raz powtarzają ten sam komunikat, by lepiej dotrzeć do odbiorcy. W bonusie strona wchodzi w pętlę wywołań tego samego adresu i robi to tak intensywnie, że w większości przypadków dość skutecznie zawiesza przeglądarkę, sprawiając wrażenie, że faktycznie wystąpił jakiś problem techniczny. Wystarczy zabić proces przeglądarki, by przywrócić sprawne działanie komputera.
Witryna przestępców pod adresem 192.81.209.180 znajduje się w firmie Digital Ocean i jest po prostu zwykłym wynajętym serwerem. Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA, a nie w Polsce. Co ciekawe, różne wizyty na tej samej stronie generują różne numery telefonu, pod który należy zadzwonić.
Wygląda zatem na to, że choć przestępcy przejęli kontrolę nad serwerem w rządowej domenie (co jest pewnym sukcesem), to całkowicie ten sukces zmarnowali, źle dobierając metodę ataku. I bardzo dobrze – będzie mniej ofiar. A teraz zgadujemy, kiedy obudzi się administrator rodzina.gov.pl i naprawi. Bo na raport powłamaniowy chyba nie możemy liczyć…
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
