Internet pełen jest historii o tym, jak Chińczycy włamują się do systemów rządów i wielkich korporacji całego świata, kradnąc tajne dokumenty. Okazuje się jednak, że bezpieczeństwo skrzynek pocztowych zwykłych użytkowników też jest zagrożone.
Mogło by się wydawać, że skrzynka pocztowa przeciętnego polskiego internauty nie posiada zbyt wielkiej wartości dla zagranicznego hakera. Ani nie znajdzie tam tajnych planów budowy myśliwców, ani planów przewrotu (chyba, że to skrzynka Brunona K.), a z kontem Allegro nie będzie wiedział, co począć. Jednak mimo to okazuje się, że próby włamania z innych krajów na konta polskich internautów zdarzają się dość często. A ostatnio niektóre z tych prób są dość ciekawe.
Pierwszy raz naszą uwagę na chińską prowincję Anhui zwrócił Mikko Hypponen. Kilka dni temu zauważył on, że w sieci pojawiło się sporo wpisów internautów, na których konta Gmail próbował zalogować się ktoś właśnie z tego odległego zakątka świata.
Wpis z Twittera Mikko
Temat wydał się nam ciekawy, ale mieliśmy zbyt mało materiałów, by Wam go opisać. Został odłożony na półkę aż do dzisiaj, kiedy otrzymaliśmy od jednego z naszych Czytelników (dzięki Jakub!) zrzut ekranu, na którym znowu pojawiło się miasto Hefei w tajemniczej prowincji Anhui. Tym razem sprawa dotyczyła naszego rodaka, więc przyjrzeliśmy się jej bliżej.
Zrzut ekranu otrzymany od Czytelnika
Szybkie wyszukiwanie w Google pozwoliło nam ustalić, że nie jest to jednostkowy przypadek. W ciągu ostatnich 2 tygodni wyszukiwarka zindeksowała kilkanaście przypadków publikacji przez użytkowników komunikatów otrzymanych od Google, ostrzegających ich przed nieudaną próbą zalogowania na ich konto. Użytkownicy otrzymują wiadomość o treści:
Imię, Ktoś ostatnio próbował użyć aplikacji do zalogowania się na Twoje konto Google ([email protected]). Zablokowaliśmy próbę logowania na wypadek, gdyby to był włamywacz usiłujący uzyskać dostęp do konta. Przejrzyj informacje o próbie logowania: niedziela, xx listopada 2012 08:00:00 GMT Adres IP: 60.168.125.205 Lokalizacja: Hefei, Anhui, Chińska Republika Ludowa Jeśli nic nie wiesz o tej próbie zalogowania się, może to oznaczać, że ktoś inny chciał dostać się na Twoje konto. Jak najszybciej zaloguj się i zresetuj hasło. Odpowiednie instrukcje znajdziesz tutaj: http://support.google.com/accounts?p=reset_pw Jeśli to Ty próbowałeś się zalogować i chcesz zezwolić tej aplikacji na dostęp do Twojego konta, wykonaj instrukcje podane na stronie http://support.google.com/mail?p=client_login Z poważaniem, Zespół kont Google
Skąd przychodzą ataki
Przeanalizowaliśmy kilkanaście podobnych komunikatów i zebraliśmy listę adresów źródłowych tej fali ataków. 90% z nich należy do przedziału 60.168.114.x – 60.168.127.x, z pojedynczymi przypadkami adresów z klasy 124.73.0.0/16. Kto jest właścicielem tych klas adresowych? W obu przypadkach whois daje nam tą sama odpowiedź.
Wyniki zapytania whois
Niestety z uwagi na sposób przydzielania adresacji IP w Chinach, możemy się jedynie dowiedzieć, że adresy te są zarządzane przez chińskiego operatora narodowego, który przypisał im lokalizację w prowincji Anhui (ALLOCATED PORTABLE oznacza, że adresy te nie są przypisane do konkretnego dostawcy internetu).
Bez wątpienia ciekawy jest fakt, że ataki przychodzą z dość szerokiego zakresu adresacji. Przykładowe adresy to
60.168.114.231 60.168.115.227 60.168.117.34 60.168.117.252 60.168.118.223 60.168.120.206 60.168.121.135 60.168.123.102 60.168.124.122 60.168.125.128 60.168.125.205 60.168.126.205 60.168.127.247
Być może jest to adres przydzielany jednemu atakującemu dynamicznie z bardzo dużej puli adresowej. Możliwe także, że do ataków wykorzystywanych jest więcej urządzeń o zbliżonej lokalizacji geograficznej, korzystających z tej samej puli adresów. Interesujące jest też to, że do tej pory nie trafiliśmy na dwa różne zgłoszenia ataku z tego samego IP.
Jaki może być cel ataków?
Jako że atakowane są losowe skrzynki internautów, istnieje duże prawdopodobieństwo, że zamiarem atakujących jest rozsyłanie spamu. Wraz z rozwojem mechanizmów antyspamowych coraz trudniej spamerom zapewnić dostarczenie wiadomości do adresata. Włamanie do cudzej skrzynki pocztowej i wykorzystanie listy kontaktów jej użytkownika do rozesłania spamu znacznie zwiększa prawdopodobieństwo doręczenia. Masowość tego procesu wskazuje, że wykorzystywane są loginy i hasła wykradzione w innych atakach. Mogą one pochodzić zarówno z włamań na inne serwery, gdzie użytkownik korzystał z tego samego hasła, jak i z danych wykradzionych przez botnety.
Ciągle zagadka pozostaje dla nas, dlaczego włamywacze, próbując się dostać na konta Gmaila o europejskich loginach, nie korzystali z europejskich serwerów proxy, praktycznie prowokując Google do zablokowania dostępu.
Dostałem takiego samego emaila od Google, co robić?
Po pierwsze, nie panikować. Komunikat oznacza, że ktoś próbował się dostać do Twojego konta, ale Google to uniemożliwiło (Google blokuje próby dostępu z niespodziewanych lokalizacji – jeśli cały czas logujesz się tylko z Polski, próba logowania z Chin zostanie zablokowana). Niestety oznacza także, że ktoś zna Twoje hasło. Dlatego zalecamy:
- Szybką zmianę hasła na takie, które używane będzie tylko do tego konta
- Uruchomienie dwuczynnikowego uwierzytelnienia (zwanego przez Google weryfikacją dwuetapową)
- Sprawdzenie historii logowania do konta Google (tak na wszelki wypadek).
Jeśli mimo zmiany hasła incydent się powtórzy, oznacza to, że prawdopodobnie na Twoim komputerze znajduje się koń trojański, kradnący Twoje bieżące hasła. Wtedy zalecamy interwencję programu antywirusowego.
Nie dostałem takiego emaila, ale martwię się o bezpieczeństwo mojego konta
Aby sprawdzić, czy nie doszło do udanego włamania na Twoje konto, możesz:
- Sprawdzić historię logowania do konta Google
- Sprawdzić wysłaną pocztę, czy nie znajdują się tam wiadomości, których nie pamiętasz (choć włamywacz mógł usunąć ślady swojej działalności)
- Przypomnieć sobie, czy otrzymywałeś ostatnio zwroty niedoręczonych emaili, których nie wysyłałeś (częsty objaw działalności spamera).
Jeśli obawiasz się włamania, włącz dwuczynnikowe uwierzytelnienie, zmień hasło na unikatowe dla tego konta i stosuj oprogramowanie antywirusowe.
Komentarze
U mnie: piątek, 16 listopada 2012 16:35:09 GMT Adres IP: 124.72.22.34 (163data.com.cn) Lokalizacja: Fuzhou, Fujian, Chińska Republika Ludowa
u mnie dzisiaj…
Adres IP: 223.240.219.123
Lokalizacja: Hefei, Anhui, China
Dostałem ostrzezenie 13 listopada:
Adres IP: 112.111.221.160
Lokalizacja: Ningde, Fujian, Chińska Republika Ludowa
27 listopada od FB ze ktoś próbował zresetowac hasło (mail troche inny, pisany z kropką: [email protected] = [email protected])
od 01 grudnia fala spamu ~500 wiadomosci dziennie
Spisek?:P
wtorek, 4 grudzień 2012 07:07:46 UTC
Adres IP: 115.148.95.132
Lokalizacja: Ganzhou, Jiangxi, China
wtorek, 4 grudzień 2012 11:40:39 UTC
Adres IP: 114.96.51.9
Lokalizacja: Hefei, Anhui, China
Ostatnio dostałem mail’a, na którym była informacja, że ktoś próbował się włamać na moje konto na poczcie WP prosto z Chin. Nie było jak dotąd podobnej wiadomości od Gmail’a
czwartek, 27 grudzień 2012 23:15:00 UTC
Adres IP: 110.88.124.82
Lokalizacja: Fuzhou, Fujian, China
Mi kiedys pisało ze ktoś zalogoawł sie na FB, zmieniłem hasło ale wlasnie pisalo ze to z chin.. a wczoraj znow atak z chin tym razem na gmail… o co chodzi ?
U mnie wczoraj, z USA:
sobota, 5 styczeń 2013 09:36:41 UTC
Adres IP: 23.24.184.93 (23-24-184-93-static.hfc.comcastbusiness.net.)
Lokalizacja: Doral, FL, USA
:(… o co chodzi?!?!?!
Ktoś próbował ostatnio użyć aplikacji, by zalogować się na Twoje konto Google – ……. Zablokowaliśmy tę próbę logowania na wypadek, gdyby to haker chciał włamać się na Twoje konto. Przejrzyj informacje o próbie logowania:
poniedziałek, 7 styczeń 2013 03:45:27 UTC
Adres IP: 60.166.228.0
Lokalizacja: Hefei, Anhui, China
Witam, dziś gdy chciałem zalogować się do gmaila, pokazało mi się że moje hasło zostało zmienione 12 dni temu, wystraszyłem się, a ja w ogóle nie zmieniałem hasła od chyba roku, zresetowałem hasło poprzez telefon komórkowy, i sprawdziłem ostatnie logowania, a ich lokalizacje są różne „chiny, indie i rosja” takie były ostatnie lokalizacje zalogowania do mojego konta, a ja nigdy nie byłem w żadnym z tym krajów, a haseł do kont nigdy nikomu nie podaje.
IP było tylko 1 „231.63.49.433”
co robić?? reszta nie było ip.
to jest ip z tej chińskiej lokalizacji.
boję się że ktoś może się włamać na 2 moje konto. na youtube mam 331 subskrypji i nie chce usuwać konta bo wszystko stracę :(
Co tym Chińczykom odbija? Może tak im pogrozić odcięciem Europy od Chin? :-D
Napierają nie tylko na Gmaila, ale także na o2 – raz nawet udało im się rozesłać trochę spamu z mojej skrzynki. Może mam jakiego trojana? Trzeba sprawdzić.
czwartek, 10 styczeń 2013 14:49:04 UTC
Adres IP: 61.187.193.216
Lokalizacja: Chenzhou, Hunan, China
A ja znalazłem taki wpisik
Ktoś próbował ostatnio użyć aplikacji, by zalogować się na Twoje konto Google – ******@gmail.com. Zablokowaliśmy tę próbę logowania na wypadek, gdyby to haker chciał włamać się na Twoje konto. Przejrzyj informacje o próbie logowania:
niedziela, 13 styczeń 2013 12:46:15 UTC
Adres IP: 209.85.215.27 (mail-la0-f27.google.com.)
Lokalizacja: United States
samo gogle sie włamywało? :)
to wszystko przeze mnie :D
Próbowali ale sie im nie udało, to już kpina :P
czwartek, 7 luty 2013 23:14:10 UTC
Adres IP: 194.60.206.101
Lokalizacja: Belgium
U mnie również w okolicach publikacji posta nastąpil atak wlasnie z Hefei… Dopiero teraz czytam, pewnie jak bym zobaczyli to wcześniej bylbym spokojniejszy. Halo mialem trudne do odgadnięcia, podejrzewam telefon z androidem konkretnie jakąś aplikacje, ale jaka to do tego nie doszedlem. Cóż po zmianie również próba wlamania, po kolejnej juz nie także do tej pory nic, usupokoilo się chyba :) pozdrawiam
Dostałam taką wiadomość i popełniłam błąd że odebrałam ją poważnie i pozwoliłam przejąć swoja pocztę. chciałabym usunąć trwale konto to nie mogę, co mam zrobić?????
poniedziałek, 13 maj 2013 17:59:24 UTC
Adres IP: 114.230.200.187
Lokalizacja: Yangzhou, Jiangsu, China
Boje się o moje konta z gier ;x
Ja naprawdę nie wiem o co chodzi.. Po co email takiemu 14-latkowi jak ja ? Po co im to potrzebne? Żeby jakieś chińskie spamy poprzesyłać? MASAKRA
Hefei, Anhui, Chińska Republika Ludowa
Jeszcze jedno pytanie, jeśli mógłby ktoś odpowiedzieć.
Czy to mogło nastąpić przez opcję „Zapamiętaj mnie”?
Próba zalogowania się w aplikacji/urządzeniu (udaremniona)
Hefei, Anhui, Chińska Republika Ludowa,
Mam to też i nie wiem kurde po co oni to robią na youtube też -__-
17 paź Próba zalogowania się w aplikacji/urządzeniu (udaremniona) Nanning, Kuangsi, Chińska Republika
15 paź Próba zalogowania się w aplikacji/urządzeniu (udaremniona) Laibin, Kuangsi, Chińska Republika
Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google [email protected]. Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.
Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:
środa, 23 październik 2013 16:32:57 UTC
Adres IP: 60.166.247.92
Lokalizacja: Hefei, Anhui, China
a u mnie coś takiego i to już ktoryś raz, za kazdym razem z innego miejsca w chinach i IP.
Witaj Sławek,
Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google ____________ Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.
Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:
środa, 12 marzec 2014 03:10:24 UTC
Adres IP: 113.25.145.166
Lokalizacja: Jinzhong, Shanxi, Chińska Republika Ludowa
U mnie raz się włamali ale to było już dawno zmieniłem hasło i cisza.
Dzisiaj dostałem wiadomość że ponownie próbowano i google zablokował
„We noticed a login to your googIe account from a unrecognized device on 7:59 PM CST (China) from-„HeFei, Anhui,China”
Ale nie podali IP ani w Sesji logowań go nie było.
Pewnie jakieś boty robią to masowo tonami wiec cieżko żeby nie trafili na twoj mail.
Dodatkowo google nie obsłguje kropek w adresie jakby ktoś nie wiedział.
To samo:
03:07 Próba zalogowania się w aplikacji/urządzeniu (udaremniona)
Ningde, Fujian, Chińska Republika Ludowa
Szczegóły
Adres IP
27.156.195.131
U mnie podobnie 2 próby Chiny i Indie
We prevented the sign-in attempt in case this was a hijacker trying to access your account. Please review the details of the sign-in attempt:
Wednesday, May 14, 2014 10:14:07 AM UTC
IP Address: 110.86.101.190
Location: Ningde, Fujian, China
We prevented the sign-in attempt in case this was a hijacker trying to access your account. Please review the details of the sign-in attempt:
Sunday, May 18, 2014 2:44:29 PM UTC
IP Address: 117.218.20.243
Location: Kolhapur, Maharashtra, India
U mnie : Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google . Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.
Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:
poniedziałek, 23 czerwiec 2014 00:13:20 UTC
Adres IP: 60.166.240.176
Lokalizacja: 合肥市 Anhui, Chińska Republika Ludowa
byli i u mnie….
20 lipca – próba udaremniona
Przybliżona lokalizacja (na podstawie adresu IP)
Ningde, Fujian, Chińska Republika Ludowa
Szczegóły
Adres IP
120.43.62.188
hasło zmienione, mam nadzieje, że już więcej się nie powtórzy !!!!!
taka sama scena….
120.43.62.142
Chiny
Mnie też jakiś skośnooki skur***** nawiedził.
Shalu District, Taizhong, Tajwan
61.223.166.175
Ja dostałem bardzo podobnego maila. Adres IP to 46.16.33.23. Screen: http://www.mediafire.com/view/82p6k5saj2byo1w/BEZPIECZEŃSTWO.png
Ja mam włamania z USA, Saratogi oraz z USA, Minnesoty.
Weszłam na maila a tam powiadomienie ze zmienili mi hasło w Minnesocie.
Dostałam dziś rano email od gmail że ktoś z chin próbował się zalogować na moje konto Google