Modern Office Manager Informacje dla osób zarządzających w firmie
Choć phishing to wciąż najczęściej wykorzystywana przez cyberprzestępców technika ataku, jedynie 66% polskich pracowników deklaruje, że rozumie, na czym on polega[1]. To relatywnie niski wynik, zwłaszcza w kontekście rosnącej liczby kampanii, które coraz skuteczniej wykorzystują zaufanie i lokalny kontekst, by ominąć czujność odbiorców. Jedną z nich zidentyfikowali analitycy ESET. Kampania prowadzona od jesieni 2024 roku była wymierzona w organizacje działające w Polsce i na Litwie. Spreparowane wiadomości e-mail podszywały się pod lokalne instytucje, w tym Caritas Polska.
Analiza przeprowadzona przez ESET pokazuje, że cyberprzestępcy celowo stylizowali fałszywe wiadomości e-mail na komunikaty pochodzące od instytucji rozpoznawalnych w lokalnym kontekście. Wśród nadawców znalazły się m.in. organizacje społeczne i portale rekrutacyjne. Jedna z wiadomości podszywała się pod Caritas Polska – znaną organizację charytatywną, która cieszy się wysokim zaufaniem społecznym. Inne – pod takie podmioty jak Infoludek czy JobFest.
Podszywanie się pod podmioty o pozytywnym lub neutralnym wizerunku zwiększa skuteczność ataku — odbiorcy rzadziej kwestionują autentyczność wiadomości pochodzącej z teoretycznie znanego źródła.
Tego rodzaju kampanie nie celują w konkretne instytucje, lecz w mechanizmy zaufania. Przestępcy wybierają nadawców, którzy kojarzą się pozytywnie lub neutralnie – tak, by zwiększyć szanse na to, że wiadomość zostanie otwarta, a zawarty w niej link kliknięty. To podejście socjotechniczne, w którym reputacja organizacji staje się nieświadomie częścią łańcucha ataku.
– komentuje Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa ESET.
Sztuczna inteligencja wspiera przestępców – także po stronie treści
Jednym z elementów analizowanej kampanii phishingowej, na który zwrócili uwagę analitycy ESET, jest język użyty w wiadomościach e-mail. Ich forma była prosta, ale uporządkowana: poprawna polszczyzna, logiczna struktura, punktory, a nawet emoji. Styl ten przypomina komunikację marketingową lub oficjalne powiadomienia, co zwiększa wiarygodność przekazu.
Zastosowanie takich rozwiązań może wskazywać na użycie narzędzi wspieranych przez sztuczną inteligencję.
Zastosowanie narzędzi opartych na sztucznej inteligencji pozwala przestępcom nie tylko generować kod, ale też szybko przygotowywać komunikaty dopasowane językowo i stylistycznie do odbiorcy. Jeszcze niedawno wiele prób phishingu widać było od razu, pełne były błędów językowych, nielogicznych sformułowań, zwłaszcza w tak trudnym języku jak polski. Dziś ta bariera niemal zniknęła.
– komentuje Kamil Sadkowski.
Automatyzacja tego procesu sprawia, że kampanie phishingowe są łatwiejsze do zorganizowania i trudniejsze do wychwycenia. Przestępcy nie muszą już znać języka ani posiadać umiejętności redakcyjnych. Narzędzia AI w kilka chwil generują treści, które wcześniej wymagały znacznie większego wysiłku.
Jak działał atak – prosty mechanizm, realne zagrożenie
W analizowanej kampanii phishingowej cyberprzestępcy wykorzystali znaną lukę w popularnym narzędziu do obsługi poczty przez przeglądarkę Roundcube. Dzięki tej podatności byli w stanie umieścić złośliwy kod w treści wiadomości e-mail. Wystarczyło, że odbiorca otworzył taką wiadomość w webmailu i złośliwy kod automatycznie się uruchamiał.
Po kliknięciu w zawarty w wiadomości link, użytkownik był przekierowywany na zewnętrzną stronę, z której ładowały się szkodliwe skrypty. Ich zadaniem było m.in. wykradanie danych logowania oraz treści korespondencji.
Przestępcy korzystali przy tym z darmowych usług DNS – to technika, która pozwala ukrywać lokalizację prawdziwego serwera i szybko zmieniać jego adres. W kampanii wykorzystano m.in. serwery mooo.com, chickenkiller.com czy twilightparadox.com. Takie rozwiązania są łatwo dostępne, co ułatwia prowadzenie działań z użyciem rozproszonej infrastruktury.
Ta kampania pokazuje, że phishing nie musi wyglądać podejrzanie, coraz częściej przypomina zwykłą korespondencję. Dlatego warto zachować ostrożność przy każdej wiadomości zawierającej linki lub załączniki, zwłaszcza jeśli pojawia się choć cień wątpliwości. Pomaga zdrowy rozsądek, ale też dobre oprogramowanie zabezpieczające, które potrafi zablokować dostęp do złośliwych stron i wiadomości email, zanim użytkownik popełni błąd.
