Chińczycy próbują włamywać się do skrzynek Gmail Polaków

dodał 24 listopada 2012 o 11:55 w kategorii Włamania  z tagami:
Chińczycy próbują włamywać się do skrzynek Gmail Polaków

Internet pełen jest historii o tym, jak Chińczycy włamują się do systemów rządów i wielkich korporacji całego świata, kradnąc tajne dokumenty. Okazuje się jednak, że bezpieczeństwo skrzynek pocztowych zwykłych użytkowników też jest zagrożone.

Mogło by się wydawać, że skrzynka pocztowa przeciętnego polskiego internauty nie posiada zbyt wielkiej wartości dla zagranicznego hakera. Ani nie znajdzie tam tajnych planów budowy myśliwców, ani planów przewrotu (chyba, że to skrzynka Brunona K.), a z kontem Allegro nie będzie wiedział, co począć. Jednak mimo to okazuje się, że próby włamania z innych krajów na konta polskich internautów zdarzają się dość często. A ostatnio niektóre z tych prób są dość ciekawe.

Pierwszy raz naszą uwagę na chińską prowincję Anhui zwrócił Mikko Hypponen. Kilka dni temu zauważył on, że w sieci pojawiło się sporo wpisów internautów, na których konta Gmail próbował zalogować się ktoś właśnie z tego odległego zakątka świata.


Wpis z Twittera Mikko

Temat wydał się nam ciekawy, ale mieliśmy zbyt mało materiałów, by Wam go opisać. Został odłożony na półkę aż do dzisiaj, kiedy otrzymaliśmy od jednego z naszych Czytelników (dzięki Jakub!) zrzut ekranu, na którym znowu pojawiło się miasto Hefei w tajemniczej prowincji Anhui. Tym razem sprawa dotyczyła naszego rodaka, więc przyjrzeliśmy się jej bliżej.


Zrzut ekranu otrzymany od Czytelnika

Szybkie wyszukiwanie w Google pozwoliło nam ustalić, że nie jest to jednostkowy przypadek. W ciągu ostatnich 2 tygodni wyszukiwarka zindeksowała kilkanaście przypadków publikacji przez użytkowników komunikatów otrzymanych od Google, ostrzegających ich przed nieudaną próbą zalogowania na ich konto. Użytkownicy otrzymują wiadomość o treści:

Imię,
 Ktoś ostatnio próbował użyć aplikacji do zalogowania się na Twoje konto Google (login@gmail.com). Zablokowaliśmy próbę logowania na wypadek, gdyby to był włamywacz usiłujący uzyskać dostęp do konta. Przejrzyj informacje o próbie logowania:
 niedziela, xx listopada 2012 08:00:00 GMT 
 Adres IP: 60.168.125.205 
 Lokalizacja: Hefei, Anhui, Chińska Republika Ludowa 

 Jeśli nic nie wiesz o tej próbie zalogowania się, może to oznaczać, że ktoś inny chciał dostać się na Twoje konto. Jak najszybciej zaloguj się i zresetuj hasło. Odpowiednie instrukcje znajdziesz tutaj: http://support.google.com/accounts?p=reset_pw
 Jeśli to Ty próbowałeś się zalogować i chcesz zezwolić tej aplikacji na dostęp do Twojego konta, wykonaj instrukcje podane na stronie http://support.google.com/mail?p=client_login
 Z poważaniem,
 Zespół kont Google

Skąd przychodzą ataki

Przeanalizowaliśmy kilkanaście podobnych komunikatów i zebraliśmy listę adresów źródłowych tej fali ataków. 90% z nich należy do przedziału 60.168.114.x – 60.168.127.x, z pojedynczymi przypadkami adresów z klasy 124.73.0.0/16. Kto jest właścicielem tych klas adresowych? W obu przypadkach whois daje nam tą sama odpowiedź.


Wyniki zapytania whois

Niestety z uwagi na sposób przydzielania adresacji IP w Chinach, możemy się jedynie dowiedzieć, że adresy te są zarządzane przez chińskiego operatora narodowego, który przypisał im lokalizację w prowincji Anhui (ALLOCATED PORTABLE oznacza, że adresy te nie są przypisane do konkretnego dostawcy internetu).

Bez wątpienia ciekawy jest fakt, że ataki przychodzą z dość szerokiego zakresu adresacji. Przykładowe adresy to

60.168.114.231
60.168.115.227
60.168.117.34
60.168.117.252
60.168.118.223
60.168.120.206
60.168.121.135
60.168.123.102
60.168.124.122
60.168.125.128
60.168.125.205
60.168.126.205
60.168.127.247

Być może jest to adres przydzielany jednemu atakującemu dynamicznie z bardzo dużej puli adresowej. Możliwe także, że do ataków wykorzystywanych jest więcej urządzeń o zbliżonej lokalizacji geograficznej, korzystających z tej samej puli adresów. Interesujące jest też to, że do tej pory nie trafiliśmy na dwa różne zgłoszenia ataku z tego samego IP.

Jaki może być cel ataków?

Jako że atakowane są losowe skrzynki internautów, istnieje duże prawdopodobieństwo, że zamiarem atakujących jest rozsyłanie spamu. Wraz z rozwojem mechanizmów antyspamowych coraz trudniej spamerom zapewnić dostarczenie wiadomości do adresata. Włamanie do cudzej skrzynki pocztowej i wykorzystanie listy kontaktów jej użytkownika do rozesłania spamu znacznie zwiększa prawdopodobieństwo doręczenia. Masowość tego procesu wskazuje, że wykorzystywane są loginy i hasła wykradzione w innych atakach. Mogą one pochodzić zarówno z włamań na inne serwery, gdzie użytkownik korzystał z tego samego hasła, jak i z danych wykradzionych przez botnety.

Ciągle zagadka pozostaje dla nas, dlaczego włamywacze, próbując się dostać na konta Gmaila o europejskich loginach, nie korzystali z europejskich serwerów proxy, praktycznie prowokując Google do zablokowania dostępu.

Dostałem takiego samego emaila od Google, co robić?

Po pierwsze, nie panikować. Komunikat oznacza, że ktoś próbował się dostać do Twojego konta, ale Google to uniemożliwiło (Google blokuje próby dostępu z niespodziewanych lokalizacji – jeśli cały czas logujesz się tylko z Polski, próba logowania z Chin zostanie zablokowana). Niestety oznacza także, że ktoś zna Twoje hasło. Dlatego zalecamy:

  1. Szybką zmianę hasła na takie, które używane będzie tylko do tego konta
  2. Uruchomienie dwuczynnikowego uwierzytelnienia (zwanego przez Google weryfikacją dwuetapową)
  3. Sprawdzenie historii logowania do konta Google (tak na wszelki wypadek).

Jeśli mimo zmiany hasła incydent się powtórzy, oznacza to, że prawdopodobnie na Twoim komputerze znajduje się koń trojański, kradnący Twoje bieżące hasła. Wtedy zalecamy interwencję programu antywirusowego.

Nie dostałem takiego emaila, ale martwię się o bezpieczeństwo mojego konta

Aby sprawdzić, czy nie doszło do udanego włamania na Twoje konto, możesz:

  1. Sprawdzić historię logowania do konta Google
  2. Sprawdzić wysłaną pocztę, czy nie znajdują się tam wiadomości, których nie pamiętasz (choć włamywacz mógł usunąć ślady swojej działalności)
  3. Przypomnieć sobie, czy otrzymywałeś ostatnio zwroty niedoręczonych emaili, których nie wysyłałeś (częsty objaw działalności spamera).

Jeśli obawiasz się włamania, włącz dwuczynnikowe uwierzytelnienie, zmień hasło na unikatowe dla tego konta i stosuj oprogramowanie antywirusowe.