În plină alertă Coronavirus, atacatorii folosesc identitatea vizuală a Organizației Mondiale a Sănătății pentru campanii de phishing

2020/03/12
Popularitate 1081

Foto: Sophos

Într-o perioadă în care lumea este alertată de pandemia COVID-19, infractorii cibernetici încearcă să profite de pe urma popularității subiectului și a problemelor generate de răspânidrea bolii la nivel mondial. Astfel, la nivel mondial au început să apară campanii de tip phishing/scam care încearcă să capitalizeaze de pe urma utilizatorilor care caută să se informeze despre asta.   

Totul începe cu un e-mail, care poartă identitatea vizuală a Organizației Mondiale a Sănătății (siglă, culori) și trimite utilizatorii să acceseze un document atașat. Pentru a convinge victima să acceseze acel atașament, atacatorii specifică faptul că acest document conține informații cu privire la măsurile de siguranță în cazul evitării răspândirii noului tip de Coronavirus.

Momentan, campania de tip phishing scam folosește mesaje exclusiv în limba engleză, dar corectitudinea textului este una îndoielnică, pentru un cunoscător al limbii. Atacatorii au redactat un text cu numeroase greșeli gramaticale și de ortografie, acestea fiind semne clare de avertizare că mesajul chiar nu este ceea ce pare. La ora actuală, nu avem informații despre astfel de scam-uri care să țintească vorbitori de limba română. 

Linkul pe care utilizatorilor li se cere să-l acceseze este la rândul lui dubios. În primul rând, pare a fi un site de muzică compromis, cu un nume ciudat, care nu are o legătură evidentă cu vreo organizație de sănătate cunoscută. În al doilea rând, este un site HTTP, nu un site HTTPS, un lucru neobișnuit pentru o organizație de anvergura OMS.

Mai departe, pagina de phishing este incredibil de simplă și ușor de făcut, nefiind necesare abilități tehnice deosebite pentru așa ceva, însă una extrem de eficientă din punct de vedere vizual. Pagina falsă este formată din pagina oficială Organizației Mondiale a Sănătății (OMS), cu o fereastră popup care se generează peste ea. Nu doar că arată exact ca pagina OMS în fundal, ci este pagina OMS încorporată ca imagine în site-ul fals.

Acea fereastră de pop-up are 2 câmpuri de completat – nume de utilizator și parolă. Acolo, victima potențial spertiată și interesată de acest tip de informații poate introduce orice credențiale de acces crede de cuviință, poate unele folosite și pe alte servicii. Aceste date ajung la atacatori, dar pot fi interceptate totodată de oricine folosește aceeași rețea wifi, spre exemplu, deoarece vorbim despre o conexiune necriptată. După ce ai introdus datele și le-ai trimis atacatorilor, fără să realizezi, ești redirecționat către pagina legitimă a OMS.

Recomandări

  • Răbdarea și vigilența sunt vitale atunci când activăm în mediul online! Nu vă lăsați niciodată presați să accesați un link. Cel mai important, nu acționați la sfaturi pe care nu le-ați solicitat și pe care nu le așteptați! Dacă se întâmplă să căutați cu adevărat sfaturi despre Coronavirus, faceți propriile cercetări și alegeți-vă propria locație.
  • Nu dați mereu crezare afișării inițiale a numelui expeditorului! Această înșelătorie spune că provine de la „Organizația Mondială a Sănătății”, dar atacatorii pot pune orice nume vor în câmpul corespondent expeditorului (from)
  • Aveți grijă la erori ortografice și gramaticale! Nu toți escrocii fac greșeli, dar mulți o fac. Fiți răbdători atunci când examinați mesajele primite din online, pentru a indentifica eventuale semne de potențială fraudă.
  • Verificați adresa URL, înainte să accesați link-ul! Dacă site-ul web la care sunteți trimis nu arată 100% legitim, evitați să descărcați resurse de pe el sau să introduceți date. Faceți propriile cercetări. Există destule instrumente online de verificare a link-urilor sau a fișierelor (VirusTotal, Cuckoo Sandbox, etc.). Faceți propria alegere cu privire la instrumentul de analiză.
  • Nu introduceți niciodată date pe care un site web nu ar trebui să le ceară! Nu există niciun motiv pentru o pagină web de conștientizare a sănătății să vă solicite adresa de e-mail, cu atât mai puțin parola. Dacă aveți îndoieli, nu o dați.
  • Dacă vă dați seama că tocmai ați dezvăluit parola impostorilor, schimbați-o cât mai repede! Infractorii care produc site-uri de phishing încearcă de obicei parolele furate imediat (acest proces poate fi adesea făcut automat), astfel încât, cu cât veți reacționa mai devreme, cu atât este mai probabil să remediați problema.
  • Nu folosiți niciodată aceeași parolă pe mai multe site-uri! Odată ce atacatorii vor avea o parolă, ei vor încerca, de obicei, pe fiecare site web, unde s-ar putea să aveți un cont, pentru a vedea dacă pot avea noroc.
  • Activați autentificarea cu doi factori (2FA), acolo unde este posibil! Aceste coduri de șase cifre pe care le primiți pe telefon sau le generați printr-o aplicație sunt un inconvenient minor, dar sunt de obicei o barieră imensă pentru infractori, pentru că doar cunoașterea parolei tale nu este suficientă.
  • Răspândiți informația către colegi, prieteni, familie pentru a crește nivelul de cunoaștere din zona de securitate online și de conștientizare. Echipa CERT-RO are o secțiune specială pe site, dedicată awareness-ului de securitate cibernetică. Aici puteți găsi cele mai întâlnite încercări de fraudă online, cum funcționează acestea și cum te poți proteja: https://cert.ro/vezi/document/cyber-scam-pliant-ecsm-2018


Vizualizat de 1732 ori