Kampanie phishingowe i kancelarie prawne
Rosnące zagrożenie cyberatakami wcale nie wynika z tego, że stały się one bardziej skomplikowane pod względem technicznym. Wręcz przeciwnie, cyberprzestępcy koncentrują się na stosunkowo prostych atakach, które nie wymagają przełamywania zabezpieczeń dobrze przygotowanych organizacji. Zamiast tego sprawcy zarzucają swoje sieci szeroko, licząc, że atak nakierowany na większą liczbę potencjalnie gorzej przygotowanych i niespodziewających się tego ofiar przyniesie lepsze efekty. Przykładem jest przeprowadzona w ostatnich tygodniach kampania phishingowa, w której do uwiarygodnienia ataku zostały wykorzystane marki renomowanych polskich i zagranicznych kancelarii – w tym kancelarii Wardyński i Wspólnicy.
Sprawcy podszyli się pod kancelarie, preparując fałszywe wiadomości informujące o rzekomym naruszeniu praw autorskich i możliwości podjęcia dalszych kroków prawnych. Dokonali tego bez przełamywania jakichkolwiek zabezpieczeń lub nieautoryzowanego dostępu do wewnętrznych systemów. Do wysyłania oszukańczych wiadomości sprawcy założyli bowiem setki zwykłych kont Gmail. Wychodzące z nich wiadomości miały wyłudzić od ofiar ich dane osobowe, a przy okazji zainstalować złośliwe oprogramowanie, które mogło stanowić wstęp do poważniejszych ataków. O sprawie pisał też portal niebezpiecznik.pl (oraz my na naszej stronie internetowej).
To zresztą nie pierwszy przypadek wykorzystania reputacji kancelarii prawnych w celu uwiarygodnienia kampanii phishingowych. W ubiegłym roku w podobnej serii ataków wykorzystana została marka paryskiego biura międzynarodowej kancelarii Latham Watkins, a jeszcze wcześniej – w 2017 r. – nowojorskiej kancelarii Debevoise & Plimpton.
Kampanie phishingowe są jednym z najbardziej rozpowszechnionych rodzajów cyberincydentów w Polsce i na świecie. W ubiegłym roku CERT Polska zarejestrował blisko 42,5 tysiąca tego typu incydentów, co stanowiło ponad połowę wszystkich cyberataków zarejestrowanych w 2023 roku. Cyberprzestępcy podszywali się m.in. pod firmy świadczące usługi masowe, takie jak PKP Intercity, czy instytucje publiczne, takie jak Straż Miejska m.st. Warszawy albo Urząd Zamówień Publicznych.
Naruszenie praw autorskich – czy malware?
Wiadomości wysyłane przez przestępców na pierwszy rzut oka wydawały się wiarygodne. W treści wiadomości nadawcy podawali się za naszą lub inną kancelarię, wskazując np., że: „Jesteśmy z kancelarii Wardyński & Wspólnicy. Nasz klient upoważnił nas do powiadomienia Państwa o nieautoryzowanym wykorzystaniu chronionych prawem autorskim treści naszego klienta”.
Dalej następowała treść ukierunkowana na wyłudzenie od odbiorcy danych osobowych:
Zgodnie z przepisami dotyczącymi praw autorskich, prosimy o natychmiastowe usunięcie naruszających treści i zapobieżenie ponownemu ich publikowaniu. Prosimy o usunięcie tych treści w ciągu 48 godzin od otrzymania tego zawiadomienia.
Jeśli uważają Państwo, że zgłoszenie jest błędne, prosimy o kontakt w ciągu 24 godzin, abyśmy mogli przeprowadzić dalsze dochodzenie. Proszę dostarczyć następujące informacje do oceny:
1. Imię i nazwisko oraz dane kontaktowe
2. Szczegóły dotyczące rzekomo naruszającej treści
3. Dowody na posiadanie treści lub uprawnienie do ich publikacji
Po 48 godzinach przygotujemy dokumenty prawne i podejmiemy kroki zgodne z prawem w celu ochrony praw i mienia naszego klienta.
Co kluczowe, w niektórych wiadomościach link – prowadzący rzekomo do formularza, w którym ofiary miały udostępnić swoje dane osobowe w celu przeprowadzenia „dalszego dochodzenia” – odsyłał do złośliwego oprogramowania typu stealer, które pozwalało sprawcom przejąć kontrolę nad urządzeniem użytkownika oraz ukraść jego hasła dostępowe (informacje na temat wykorzystanego w wiadomościach malware można znaleźć w bazie Virus Total).
Dopiero uważniejsza lektura wiadomości pozwalała stwierdzić, że w istocie nie pochodzi ona od naszej kancelarii. Na przykład jako adres do korespondencji w nagłówku oszukańczej wiadomości wskazano siedzibę naszej kancelarii sprzed kilkunastu lat. Również uważniejsza analiza adresów e-mail, z których pochodziły wiadomości, wskazywała na ich oszukańczy charakter.
Sprawcy do wysyłania oszukańczych wiadomości zakładali bowiem zwykłe konta Gmail – w ich domenach nie było żadnych danych związanych bezpośrednio z naszą kancelarią czy z innymi kancelariami, których marką posłużono się w ramach kampanii (przykładowo były to adresy takie jak „rsbdhdbsugsvb@gmail.com” czy „atlbaxterivnfb@gmail.com”). Sprawcy zmodyfikowali jedynie ich nagłówki (tzw. headery), tak aby odbiorcom wyświetlały się jako pochodzące od „Wardynski & Partners”, a nie z faktycznego adresu w domenie Gmail. Choć istotnie pomagało to uwiarygodnić oszukańcze maile, nie wymagało szczególnej wiedzy technicznej ani ingerencji w systemy informatyczne kancelarii. Szczegółową instrukcję, jak zmodyfikować tzw. „Sender Info / Display Name” w nagłówku wiadomości, można niestety z łatwością uzyskać, np. zadając o to pytanie Chatowi GPT.
Działania zaradcze – jak się chronić na przyszłość?
Niestety, z uwagi na niewielkie nakłady, jakie są wymagane do zorganizowania tego typu ataku, należy spodziewać się, że takie sytuacje będą się powtarzać.
Najlepsza i najprostsza rada w przypadku wiadomości pochodzących z nieznanych źródeł to: zachowaj ostrożność. Jeśli dostaniemy wiadomość, która z pozoru została wysłana przez wiarygodną instytucję, ale jednak wzbudza wątpliwości, warto zweryfikować, czy rzeczywiście pochodzi od wskazanego nadawcy, kontaktując się z jego przedstawicielami dzięki publicznie dostępnym danym kontaktowym (znalezionym w niezależnym źródle, np. przez wyszukiwarkę Google, a nie wskazanym w samej wiadomości). Dopóki nie potwierdzimy, że wiadomość rzeczywiście pochodzi od wiarygodnego nadawcy i jest autentyczna, nie należy otwierać żadnych załączników, klikać w żadne linki w tej wiadomości ani przekazywać w odpowiedzi żadnych swoich danych.
Choć przeprowadzona kampania phishingowa bezpośrednio nie dotknęła naszej kancelarii ani jej pracowników, podjęliśmy niezwłoczne działania, by ograniczyć negatywne skutki ataku dla potencjalnych ofiar. Poniższy opis może się przydać podmiotom, które w przyszłości same staną się celem kampanii phishingowej. Oto, co można zrobić w takiej sytuacji.
W pierwszej kolejności zgłosiliśmy do Google zidentyfikowane adresy Gmail wykorzystane do ataku, wskazując, że wymienione adresy, zarejestrowane w domenie gmail.com, są używane w przestępnych celach. Administrator domeny w przypadku stwierdzenia nieprawidłowości może ją bowiem zamknąć, co uniemożliwi cyberprzestępcom jej dalsze wykorzystanie w nielegalnych celach. W przypadku Google domeny Gmail wykorzystywane w bezprawnych celach mogą być zgłaszane za pośrednictwem specjalnego formularza, służącego do zgłaszania przypadków naruszenia zasad i warunków korzystania z usług Google.
Link do zgłaszania treści – w tym kont Gmail – naruszających zasady i warunki korzystania z usługi: https://support.google.com/legal/troubleshooter/1114905?sjid=881268245544620257-EU
Następnie zawiadomiliśmy o możliwości popełnienia przestępstwa organy ścigania właściwe dla naszej siedziby (tj. Prokuraturę Rejonową Warszawa-Śródmieście).
Przekazaliśmy też informację o kampanii phishingowej zespołom reagowania na incydenty CERT Polska oraz CERT Orange (nasze zgłoszenia zostały zarejestrowane w CERT Polska pod numerami 3717702, 3735225 oraz 3741494). Udostępniliśmy im również próbki złośliwego oprogramowania typu stealer, które zidentyfikowaliśmy w niektórych wiadomościach (próbki takie są przekazywane firmom dostarczającym oprogramowanie antywirusowe, aby w przyszłości skuteczniej wykrywać podobne przypadki).
CERT Polska ma na swojej stronie specjalną zakładkę do zgłaszania podejrzanych adresów e-mail, wraz ze szczegółową instrukcją, jak to zrobić.
Link do zgłaszania podejrzanych adresów e-mail i instrukcji, jak wyeksportować podejrzaną wiadomość: https://incydent.cert.pl/instrukcje-email
Po podjęciu najpilniejszych działań przeprowadziliśmy również wewnętrzną kontrolę naszych systemów informatycznych, aby wykluczyć ryzyko nieautoryzowanego dostępu do naszych systemów lub naszej autentycznej domeny.
Czy z kampaniami phishingowymi da się walczyć?
Niestety, zmasowane kampanie phishingowe pozostaną na długo najpopularniejszą formą ataku, właśnie z uwagi na niewielkie nakłady wymagane do ich skutecznego przeprowadzenia, w szczególności brak konieczności przełamywania jakichkolwiek zabezpieczeń, jak również relatywnie dużą skuteczność, wynikającą z ich masowego charakteru.
Podstawą do walki z phishingiem pozostaje ten sam czynnik, który jest głównym sprawcą zagrożenia – czynnik ludzki. Najskuteczniejszą metodą w walce z masowymi kampaniami phishingowymi pozostaje więc edukacja – zwiększająca zarówno świadomość zagrożenia, jakim jest phishing (oraz znajomość typowych metod stosowanych przez cyberprzestępców), jak również dbałość o tzw. cyberhigienę, czyli bezpieczne zachowania w obcowaniu z technologią.
Maciej Broniarz, doradca ds. cyberbezpieczeństwa
Jakub Barański, adwokat, praktyka karna kancelarii Wardyński i Wspólnicy