Chińczycy próbują włamywać się do skrzynek Gmail Polaków

dodał 24 listopada 2012 o 11:55 w kategorii Włamania  z tagami:
Chińczycy próbują włamywać się do skrzynek Gmail Polaków

Internet pełen jest historii o tym, jak Chińczycy włamują się do systemów rządów i wielkich korporacji całego świata, kradnąc tajne dokumenty. Okazuje się jednak, że bezpieczeństwo skrzynek pocztowych zwykłych użytkowników też jest zagrożone.

Mogło by się wydawać, że skrzynka pocztowa przeciętnego polskiego internauty nie posiada zbyt wielkiej wartości dla zagranicznego hakera. Ani nie znajdzie tam tajnych planów budowy myśliwców, ani planów przewrotu (chyba, że to skrzynka Brunona K.), a z kontem Allegro nie będzie wiedział, co począć. Jednak mimo to okazuje się, że próby włamania z innych krajów na konta polskich internautów zdarzają się dość często. A ostatnio niektóre z tych prób są dość ciekawe.

Pierwszy raz naszą uwagę na chińską prowincję Anhui zwrócił Mikko Hypponen. Kilka dni temu zauważył on, że w sieci pojawiło się sporo wpisów internautów, na których konta Gmail próbował zalogować się ktoś właśnie z tego odległego zakątka świata.


Wpis z Twittera Mikko

Temat wydał się nam ciekawy, ale mieliśmy zbyt mało materiałów, by Wam go opisać. Został odłożony na półkę aż do dzisiaj, kiedy otrzymaliśmy od jednego z naszych Czytelników (dzięki Jakub!) zrzut ekranu, na którym znowu pojawiło się miasto Hefei w tajemniczej prowincji Anhui. Tym razem sprawa dotyczyła naszego rodaka, więc przyjrzeliśmy się jej bliżej.


Zrzut ekranu otrzymany od Czytelnika

Szybkie wyszukiwanie w Google pozwoliło nam ustalić, że nie jest to jednostkowy przypadek. W ciągu ostatnich 2 tygodni wyszukiwarka zindeksowała kilkanaście przypadków publikacji przez użytkowników komunikatów otrzymanych od Google, ostrzegających ich przed nieudaną próbą zalogowania na ich konto. Użytkownicy otrzymują wiadomość o treści:

Skąd przychodzą ataki

Przeanalizowaliśmy kilkanaście podobnych komunikatów i zebraliśmy listę adresów źródłowych tej fali ataków. 90% z nich należy do przedziału 60.168.114.x – 60.168.127.x, z pojedynczymi przypadkami adresów z klasy 124.73.0.0/16. Kto jest właścicielem tych klas adresowych? W obu przypadkach whois daje nam tą sama odpowiedź.


Wyniki zapytania whois

Niestety z uwagi na sposób przydzielania adresacji IP w Chinach, możemy się jedynie dowiedzieć, że adresy te są zarządzane przez chińskiego operatora narodowego, który przypisał im lokalizację w prowincji Anhui (ALLOCATED PORTABLE oznacza, że adresy te nie są przypisane do konkretnego dostawcy internetu).

Bez wątpienia ciekawy jest fakt, że ataki przychodzą z dość szerokiego zakresu adresacji. Przykładowe adresy to

Być może jest to adres przydzielany jednemu atakującemu dynamicznie z bardzo dużej puli adresowej. Możliwe także, że do ataków wykorzystywanych jest więcej urządzeń o zbliżonej lokalizacji geograficznej, korzystających z tej samej puli adresów. Interesujące jest też to, że do tej pory nie trafiliśmy na dwa różne zgłoszenia ataku z tego samego IP.

Jaki może być cel ataków?

Jako że atakowane są losowe skrzynki internautów, istnieje duże prawdopodobieństwo, że zamiarem atakujących jest rozsyłanie spamu. Wraz z rozwojem mechanizmów antyspamowych coraz trudniej spamerom zapewnić dostarczenie wiadomości do adresata. Włamanie do cudzej skrzynki pocztowej i wykorzystanie listy kontaktów jej użytkownika do rozesłania spamu znacznie zwiększa prawdopodobieństwo doręczenia. Masowość tego procesu wskazuje, że wykorzystywane są loginy i hasła wykradzione w innych atakach. Mogą one pochodzić zarówno z włamań na inne serwery, gdzie użytkownik korzystał z tego samego hasła, jak i z danych wykradzionych przez botnety.

Ciągle zagadka pozostaje dla nas, dlaczego włamywacze, próbując się dostać na konta Gmaila o europejskich loginach, nie korzystali z europejskich serwerów proxy, praktycznie prowokując Google do zablokowania dostępu.

Dostałem takiego samego emaila od Google, co robić?

Po pierwsze, nie panikować. Komunikat oznacza, że ktoś próbował się dostać do Twojego konta, ale Google to uniemożliwiło (Google blokuje próby dostępu z niespodziewanych lokalizacji – jeśli cały czas logujesz się tylko z Polski, próba logowania z Chin zostanie zablokowana). Niestety oznacza także, że ktoś zna Twoje hasło. Dlatego zalecamy:

  1. Szybką zmianę hasła na takie, które używane będzie tylko do tego konta
  2. Uruchomienie dwuczynnikowego uwierzytelnienia (zwanego przez Google weryfikacją dwuetapową)
  3. Sprawdzenie historii logowania do konta Google (tak na wszelki wypadek).

Jeśli mimo zmiany hasła incydent się powtórzy, oznacza to, że prawdopodobnie na Twoim komputerze znajduje się koń trojański, kradnący Twoje bieżące hasła. Wtedy zalecamy interwencję programu antywirusowego.

Nie dostałem takiego emaila, ale martwię się o bezpieczeństwo mojego konta

Aby sprawdzić, czy nie doszło do udanego włamania na Twoje konto, możesz:

  1. Sprawdzić historię logowania do konta Google
  2. Sprawdzić wysłaną pocztę, czy nie znajdują się tam wiadomości, których nie pamiętasz (choć włamywacz mógł usunąć ślady swojej działalności)
  3. Przypomnieć sobie, czy otrzymywałeś ostatnio zwroty niedoręczonych emaili, których nie wysyłałeś (częsty objaw działalności spamera).

Jeśli obawiasz się włamania, włącz dwuczynnikowe uwierzytelnienie, zmień hasło na unikatowe dla tego konta i stosuj oprogramowanie antywirusowe.