Avertizare CERT-RO! Atacatori cibernetici folosesc Coronavirusul pentru a fura informații

Experţii de la Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică avertizează că atacatorii cibernetici folosesc, în plină alertă de coronavirus, identitatea vizuală a Organizaţiei Mondiale a Sănătăţii pentru campanii de phishing.

„Într-o perioadă în care lumea este alertată de pandemia COVID-19, infractorii cibernetici încearcă să profite de pe urma popularităţii subiectului şi a problemelor generate de răspândirea bolii la nivel mondial. Astfel, la nivel mondial au început să apară campanii de tip phishing/scam care încearcă să capitalizeze de pe urma utilizatorilor care caută să se informeze despre asta”, precizează reprezentanţii CERT-RO, potrivit agerpres.ro

Cum sunt atacate victimele

Potrivit acestora, totul începe cu un e-mail, care poartă identitatea vizuală a Organizaţiei Mondiale a Sănătăţii (siglă, culori) şi trimite utilizatorii să acceseze un document ataşat. Pentru a convinge victima să acceseze acel ataşament, atacatorii specifică faptul că acest document conţine informaţii cu privire la măsurile de siguranţă în cazul evitării răspândirii noului tip de coronavirus.

„Momentan, campania de tip phishing scam foloseşte mesaje exclusiv în limba engleză, dar corectitudinea textului este una îndoielnică, pentru un cunoscător al limbii. Atacatorii au redactat un text cu numeroase greşeli gramaticale şi de ortografie, acestea fiind semne clare de avertizare că mesajul chiar nu este ceea ce pare. La ora actuală, nu avem informaţii despre astfel de scam-uri care să ţintească vorbitori de limba română”, explică experţii în securitatea cibernetică.

Un link dubios

Link-ul care li se cere utilizatorilor să-l acceseze este la rândul lui dubios. În primul rând, pare a fi un site de muzică compromis, cu un nume ciudat, care nu are o legătură evidentă cu vreo organizaţie de sănătate cunoscută. În al doilea rând, este un site HTTP, nu un site HTTPS, un lucru neobişnuit pentru o organizaţie de anvergura OMS, mai subliniază CERT-RO.

Mai departe, pagina de phishing este incredibil de simplă şi uşor de făcut, nefiind necesare abilităţi tehnice deosebite pentru aşa ceva, însă una extrem de eficientă din punct de vedere vizual. Pagina falsă este formată din pagina oficială Organizaţiei Mondiale a Sănătăţii (OMS), cu o fereastră pop-up care se generează peste ea. Nu doar că arată exact ca pagina OMS în fundal, ci este pagina OMS încorporată ca imagine în site-ul fals.

Acea fereastră de pop-up are două câmpuri de completat – nume de utilizator şi parolă. Acolo, victima potenţial speriată şi interesată de acest tip de informaţii poate introduce orice credenţiale de acces crede de cuviinţă, poate unele folosite şi pe alte servicii. Aceste date ajung la atacatori, dar pot fi interceptate totodată de oricine foloseşte aceeaşi reţea wifi, spre exemplu, deoarece vorbim despre o conexiune necriptată. După ce au fost introduse datele şi trimise atacatorilor, cel care a completat este redirecţionat către pagina legitimă a OMS.

Recomandarea CERT-RO

În acest context, CERT-RO recomandă: răbdarea şi vigilenţa sunt vitale atunci când activăm în mediul online! Nu vă lăsaţi niciodată presaţi să accesaţi un link. Cel mai important, nu acţionaţi la sfaturi pe care nu le-aţi solicitat şi pe care nu le aşteptaţi! Dacă se întâmplă să căutaţi cu adevărat sfaturi despre Coronavirus, faceţi propriile cercetări şi alegeţi-vă propria locaţie; nu daţi mereu crezare afişării iniţiale a numelui expeditorului! Această înşelătorie spune că provine de la „Organizaţia Mondială a Sănătăţii”, dar atacatorii pot pune orice nume vor în câmpul corespondent expeditorului (from); aveţi grijă la erori ortografice şi gramaticale! Nu toţi escrocii fac greşeli, dar mulţi o fac. Fiţi răbdători atunci când examinaţi mesajele primite din online, pentru a identifica eventuale semne de potenţială fraudă.

De asemenea, experţii recomandă verificarea adresei URL, înainte de accesarea link-ului şi, dacă site-ul web la care utilizatorul este trimis nu arată 100% legitim, trebuie evitată descărcarea de resurse de pe el sau introducerea de date.

Totodată, nu trebuie introduse niciodată date pe care un site web nu ar trebui să le ceară. Nu există niciun motiv pentru o pagină web de conştientizare a sănătăţii să solicite adresa de e-mail, cu atât mai puţin parola. Dacă se dezvăluie cumva parola impostorilor, aceasta trebuie schimbată cât mai repede.

„Infractorii care produc site-uri de phishing încearcă de obicei parolele furate imediat (acest proces poate fi adesea făcut automat), astfel încât, cu cât veţi reacţiona mai devreme, cu atât este mai probabil să remediaţi problema. Nu folosiţi niciodată aceeaşi parolă pe mai multe site-uri! Odată ce atacatorii vor avea o parolă, ei vor încerca, de obicei, pe fiecare site web, unde s-ar putea să aveţi un cont, pentru a vedea dacă pot avea noroc”, explică specialiştii CERT-RO.

Aceştia propun activarea autentificării cu doi factori (2FA), acolo unde este posibil, deoarece aceste coduri de şase cifre primite pe telefon sau generate printr-o aplicaţie sunt un inconvenient minor, dar sunt de obicei o barieră imensă pentru infractori, pentru că doar cunoaşterea parolei cuiva nu este suficientă.