Badacze ESET odkryli szeroko rozpowszechnioną kampanię phishingową. Jej celem jest zbieranie danych logowania użytkowników otwartoźródłowej (open source) platformy do wspólnej pracy Zimbra. Kampania jest wciąż aktywna. Największa liczba zaatakowanych znajduje się w Polsce.
Zimbra Collaboration to otwarta platforma oprogramowania do współpracy, popularna alternatywa dla korporacyjnych rozwiązań poczty elektronicznej. Celem kampanii phishingowej są korzystające z Zimbry małe i średnie firmy oraz podmioty rządowe.
– Zimbra, podobnie jak inne narzędzia będące alternatywą dla największych rozwiązań korporacyjnych, jest interesującym celem dla cyberprzestępców. Jest popularna wśród firm i organizacji o niższych budżetach, które często mają słabsze zabezpieczenia niż duże firmy. W tym przypadku atak opiera się jednak wyłącznie na sztuczkach psychologicznych i manipulacji – mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa ESET.
Atak rozpoczyna wiadomość e-mail zawierająca ostrzeżenie o niezbędnej aktualizacji serwera poczty e-mail, dezaktywacji konta lub innym problemie technicznym i kieruje użytkownika do kliknięcia w załączony plik. Załącznik to phishingowy plik HTML. Po jego otwarciu użytkownikowi wyświetlana jest fałszywa strona logowania Zimbra. Kiedy ofiara wpisze swoje dane uwierzytelniające, są one przesyłane wprost na serwer kontrolowany przez przestępców. W efekcie atakujący są w stanie przejąć konto e-mail ofiary. Wygląda na to, że cyberprzestępcy są również w stanie włamać się na konta administratorów i tworzyć nowe skrzynki pocztowe, które będą następnie wykorzystane do wysyłania wiadomości phishingowych do kolejnych osób. Przejęcie dostępu do wirtualnych serwerów i kont może też otworzyć drogę do ataków typu ransomware.
Pomimo tego, że kampania ta nie jest szczególnie zaawansowana technicznie, jest w stanie skutecznie narażać organizacje korzystające z Zimbra Collaboration. Największa liczba zaatakowanych to użytkownicy z Polski, jednak atak ma charakter międzynarodowy. Celem cyberprzestępców stały się również osoby m.in. z Ukrainy, Włoch, Francji, Holandii i Ekwadoru.
– Przestępcy wykorzystują fakt, że załączniki HTML zawierają poprawny i pozbawiony szkodliwych funkcjonalności kod, a jedynym charakterystycznym elementem jest link kierujący do złośliwego hosta. W ten sposób znacznie łatwiej jest obejść polityki antyspamowe, zwłaszcza w porównaniu z bardziej rozpowszechnionymi technikami phishingu, w których złośliwy link jest umieszczany bezpośrednio w treści wiadomości e-mail – wyjaśnia badacz ESET Viktor Šperka, który odkrył kampanię.
– Aby zachować bezpieczeństwo swojej firmy, nie jest konieczny sztab specjalistów i specjalistek IT. Wystarczy trzymać się określonych zasad i być na bieżąco z nowymi zagrożeniami cyberbezpieczeństwa. Bardzo ważna jest m.in. edukacja pracowników. Każdy z nich powinien wiedzieć, że zanim otworzymy załącznik wiadomości, musimy dokładnie jej się przyjrzeć i sprawdzić czy np. nie pochodzi z fałszywego adresu. Jeżeli treść e-maila nakłania nas do wpisania hasła, powinniśmy natychmiast ją zamknąć, nie podając żadnych informacji, a następnie zgłosić ten fakt administratorowi – radzi Kamil Sadkowski.