24.11.2012 | 11:55

Adam Haertle

Chińczycy próbują włamywać się do skrzynek Gmail Polaków

Internet pełen jest historii o tym, jak Chińczycy włamują się do systemów rządów i wielkich korporacji całego świata, kradnąc tajne dokumenty. Okazuje się jednak, że bezpieczeństwo skrzynek pocztowych zwykłych użytkowników też jest zagrożone.

Mogło by się wydawać, że skrzynka pocztowa przeciętnego polskiego internauty nie posiada zbyt wielkiej wartości dla zagranicznego hakera. Ani nie znajdzie tam tajnych planów budowy myśliwców, ani planów przewrotu (chyba, że to skrzynka Brunona K.), a z kontem Allegro nie będzie wiedział, co począć. Jednak mimo to okazuje się, że próby włamania z innych krajów na konta polskich internautów zdarzają się dość często. A ostatnio niektóre z tych prób są dość ciekawe.

Pierwszy raz naszą uwagę na chińską prowincję Anhui zwrócił Mikko Hypponen. Kilka dni temu zauważył on, że w sieci pojawiło się sporo wpisów internautów, na których konta Gmail próbował zalogować się ktoś właśnie z tego odległego zakątka świata.


Wpis z Twittera Mikko

Temat wydał się nam ciekawy, ale mieliśmy zbyt mało materiałów, by Wam go opisać. Został odłożony na półkę aż do dzisiaj, kiedy otrzymaliśmy od jednego z naszych Czytelników (dzięki Jakub!) zrzut ekranu, na którym znowu pojawiło się miasto Hefei w tajemniczej prowincji Anhui. Tym razem sprawa dotyczyła naszego rodaka, więc przyjrzeliśmy się jej bliżej.


Zrzut ekranu otrzymany od Czytelnika

Szybkie wyszukiwanie w Google pozwoliło nam ustalić, że nie jest to jednostkowy przypadek. W ciągu ostatnich 2 tygodni wyszukiwarka zindeksowała kilkanaście przypadków publikacji przez użytkowników komunikatów otrzymanych od Google, ostrzegających ich przed nieudaną próbą zalogowania na ich konto. Użytkownicy otrzymują wiadomość o treści:

Imię,
 Ktoś ostatnio próbował użyć aplikacji do zalogowania się na Twoje konto Google ([email protected]). Zablokowaliśmy próbę logowania na wypadek, gdyby to był włamywacz usiłujący uzyskać dostęp do konta. Przejrzyj informacje o próbie logowania:
 niedziela, xx listopada 2012 08:00:00 GMT 
 Adres IP: 60.168.125.205 
 Lokalizacja: Hefei, Anhui, Chińska Republika Ludowa 

 Jeśli nic nie wiesz o tej próbie zalogowania się, może to oznaczać, że ktoś inny chciał dostać się na Twoje konto. Jak najszybciej zaloguj się i zresetuj hasło. Odpowiednie instrukcje znajdziesz tutaj: http://support.google.com/accounts?p=reset_pw
 Jeśli to Ty próbowałeś się zalogować i chcesz zezwolić tej aplikacji na dostęp do Twojego konta, wykonaj instrukcje podane na stronie http://support.google.com/mail?p=client_login
 Z poważaniem,
 Zespół kont Google

Skąd przychodzą ataki

Przeanalizowaliśmy kilkanaście podobnych komunikatów i zebraliśmy listę adresów źródłowych tej fali ataków. 90% z nich należy do przedziału 60.168.114.x – 60.168.127.x, z pojedynczymi przypadkami adresów z klasy 124.73.0.0/16. Kto jest właścicielem tych klas adresowych? W obu przypadkach whois daje nam tą sama odpowiedź.


Wyniki zapytania whois

Niestety z uwagi na sposób przydzielania adresacji IP w Chinach, możemy się jedynie dowiedzieć, że adresy te są zarządzane przez chińskiego operatora narodowego, który przypisał im lokalizację w prowincji Anhui (ALLOCATED PORTABLE oznacza, że adresy te nie są przypisane do konkretnego dostawcy internetu).

Bez wątpienia ciekawy jest fakt, że ataki przychodzą z dość szerokiego zakresu adresacji. Przykładowe adresy to

60.168.114.231
60.168.115.227
60.168.117.34
60.168.117.252
60.168.118.223
60.168.120.206
60.168.121.135
60.168.123.102
60.168.124.122
60.168.125.128
60.168.125.205
60.168.126.205
60.168.127.247

Być może jest to adres przydzielany jednemu atakującemu dynamicznie z bardzo dużej puli adresowej. Możliwe także, że do ataków wykorzystywanych jest więcej urządzeń o zbliżonej lokalizacji geograficznej, korzystających z tej samej puli adresów. Interesujące jest też to, że do tej pory nie trafiliśmy na dwa różne zgłoszenia ataku z tego samego IP.

Jaki może być cel ataków?

Jako że atakowane są losowe skrzynki internautów, istnieje duże prawdopodobieństwo, że zamiarem atakujących jest rozsyłanie spamu. Wraz z rozwojem mechanizmów antyspamowych coraz trudniej spamerom zapewnić dostarczenie wiadomości do adresata. Włamanie do cudzej skrzynki pocztowej i wykorzystanie listy kontaktów jej użytkownika do rozesłania spamu znacznie zwiększa prawdopodobieństwo doręczenia. Masowość tego procesu wskazuje, że wykorzystywane są loginy i hasła wykradzione w innych atakach. Mogą one pochodzić zarówno z włamań na inne serwery, gdzie użytkownik korzystał z tego samego hasła, jak i z danych wykradzionych przez botnety.

Ciągle zagadka pozostaje dla nas, dlaczego włamywacze, próbując się dostać na konta Gmaila o europejskich loginach, nie korzystali z europejskich serwerów proxy, praktycznie prowokując Google do zablokowania dostępu.

Dostałem takiego samego emaila od Google, co robić?

Po pierwsze, nie panikować. Komunikat oznacza, że ktoś próbował się dostać do Twojego konta, ale Google to uniemożliwiło (Google blokuje próby dostępu z niespodziewanych lokalizacji – jeśli cały czas logujesz się tylko z Polski, próba logowania z Chin zostanie zablokowana). Niestety oznacza także, że ktoś zna Twoje hasło. Dlatego zalecamy:

  1. Szybką zmianę hasła na takie, które używane będzie tylko do tego konta
  2. Uruchomienie dwuczynnikowego uwierzytelnienia (zwanego przez Google weryfikacją dwuetapową)
  3. Sprawdzenie historii logowania do konta Google (tak na wszelki wypadek).

Jeśli mimo zmiany hasła incydent się powtórzy, oznacza to, że prawdopodobnie na Twoim komputerze znajduje się koń trojański, kradnący Twoje bieżące hasła. Wtedy zalecamy interwencję programu antywirusowego.

Nie dostałem takiego emaila, ale martwię się o bezpieczeństwo mojego konta

Aby sprawdzić, czy nie doszło do udanego włamania na Twoje konto, możesz:

  1. Sprawdzić historię logowania do konta Google
  2. Sprawdzić wysłaną pocztę, czy nie znajdują się tam wiadomości, których nie pamiętasz (choć włamywacz mógł usunąć ślady swojej działalności)
  3. Przypomnieć sobie, czy otrzymywałeś ostatnio zwroty niedoręczonych emaili, których nie wysyłałeś (częsty objaw działalności spamera).

Jeśli obawiasz się włamania, włącz dwuczynnikowe uwierzytelnienie, zmień hasło na unikatowe dla tego konta i stosuj oprogramowanie antywirusowe.

Powrót

Komentarze

  • 2012.11.24 12:51 hasz

    U mnie: piątek, 16 listopada 2012 16:35:09 GMT Adres IP: 124.72.22.34 (163data.com.cn) Lokalizacja: Fuzhou, Fujian, Chińska Republika Ludowa

    Odpowiedz
  • 2012.12.02 08:49 Monika

    u mnie dzisiaj…
    Adres IP: 223.240.219.123
    Lokalizacja: Hefei, Anhui, China

    Odpowiedz
  • 2012.12.03 18:14 Adam

    Dostałem ostrzezenie 13 listopada:
    Adres IP: 112.111.221.160
    Lokalizacja: Ningde, Fujian, Chińska Republika Ludowa

    27 listopada od FB ze ktoś próbował zresetowac hasło (mail troche inny, pisany z kropką: [email protected] = [email protected])

    od 01 grudnia fala spamu ~500 wiadomosci dziennie

    Spisek?:P

    Odpowiedz
  • 2012.12.04 13:01 Leon

    wtorek, 4 grudzień 2012 07:07:46 UTC
    Adres IP: 115.148.95.132
    Lokalizacja: Ganzhou, Jiangxi, China

    wtorek, 4 grudzień 2012 11:40:39 UTC
    Adres IP: 114.96.51.9
    Lokalizacja: Hefei, Anhui, China

    Odpowiedz
  • 2012.12.11 10:44 Tomasz

    Ostatnio dostałem mail’a, na którym była informacja, że ktoś próbował się włamać na moje konto na poczcie WP prosto z Chin. Nie było jak dotąd podobnej wiadomości od Gmail’a

    Odpowiedz
  • 2012.12.30 11:24 Michał

    czwartek, 27 grudzień 2012 23:15:00 UTC
    Adres IP: 110.88.124.82
    Lokalizacja: Fuzhou, Fujian, China

    Odpowiedz
  • 2013.01.03 18:57 fst

    Mi kiedys pisało ze ktoś zalogoawł sie na FB, zmieniłem hasło ale wlasnie pisalo ze to z chin.. a wczoraj znow atak z chin tym razem na gmail… o co chodzi ?

    Odpowiedz
  • 2013.01.06 21:13 mtt

    U mnie wczoraj, z USA:
    sobota, 5 styczeń 2013 09:36:41 UTC
    Adres IP: 23.24.184.93 (23-24-184-93-static.hfc.comcastbusiness.net.)
    Lokalizacja: Doral, FL, USA

    :(… o co chodzi?!?!?!

    Odpowiedz
  • 2013.01.07 13:11 wojtas

    Ktoś próbował ostatnio użyć aplikacji, by zalogować się na Twoje konto Google – ……. Zablokowaliśmy tę próbę logowania na wypadek, gdyby to haker chciał włamać się na Twoje konto. Przejrzyj informacje o próbie logowania:

    poniedziałek, 7 styczeń 2013 03:45:27 UTC
    Adres IP: 60.166.228.0
    Lokalizacja: Hefei, Anhui, China

    Odpowiedz
  • 2013.01.07 15:54 StarterX4

    Witam, dziś gdy chciałem zalogować się do gmaila, pokazało mi się że moje hasło zostało zmienione 12 dni temu, wystraszyłem się, a ja w ogóle nie zmieniałem hasła od chyba roku, zresetowałem hasło poprzez telefon komórkowy, i sprawdziłem ostatnie logowania, a ich lokalizacje są różne „chiny, indie i rosja” takie były ostatnie lokalizacje zalogowania do mojego konta, a ja nigdy nie byłem w żadnym z tym krajów, a haseł do kont nigdy nikomu nie podaje.
    IP było tylko 1 „231.63.49.433”
    co robić?? reszta nie było ip.
    to jest ip z tej chińskiej lokalizacji.
    boję się że ktoś może się włamać na 2 moje konto. na youtube mam 331 subskrypji i nie chce usuwać konta bo wszystko stracę :(

    Odpowiedz
  • 2013.01.10 19:22 Stanley

    Co tym Chińczykom odbija? Może tak im pogrozić odcięciem Europy od Chin? :-D
    Napierają nie tylko na Gmaila, ale także na o2 – raz nawet udało im się rozesłać trochę spamu z mojej skrzynki. Może mam jakiego trojana? Trzeba sprawdzić.

    czwartek, 10 styczeń 2013 14:49:04 UTC
    Adres IP: 61.187.193.216
    Lokalizacja: Chenzhou, Hunan, China

    Odpowiedz
  • 2013.01.15 16:45 Carol

    A ja znalazłem taki wpisik
    Ktoś próbował ostatnio użyć aplikacji, by zalogować się na Twoje konto Google – ******@gmail.com. Zablokowaliśmy tę próbę logowania na wypadek, gdyby to haker chciał włamać się na Twoje konto. Przejrzyj informacje o próbie logowania:

    niedziela, 13 styczeń 2013 12:46:15 UTC
    Adres IP: 209.85.215.27 (mail-la0-f27.google.com.)
    Lokalizacja: United States
    samo gogle sie włamywało? :)

    Odpowiedz
  • 2013.01.22 18:49 echo

    to wszystko przeze mnie :D

    Odpowiedz
  • 2013.02.08 01:03 Gandzia

    Próbowali ale sie im nie udało, to już kpina :P
    czwartek, 7 luty 2013 23:14:10 UTC
    Adres IP: 194.60.206.101
    Lokalizacja: Belgium

    Odpowiedz
  • 2013.02.12 23:45 GKWi

    U mnie również w okolicach publikacji posta nastąpil atak wlasnie z Hefei… Dopiero teraz czytam, pewnie jak bym zobaczyli to wcześniej bylbym spokojniejszy. Halo mialem trudne do odgadnięcia, podejrzewam telefon z androidem konkretnie jakąś aplikacje, ale jaka to do tego nie doszedlem. Cóż po zmianie również próba wlamania, po kolejnej juz nie także do tej pory nic, usupokoilo się chyba :) pozdrawiam

    Odpowiedz
  • 2013.04.12 10:45 koleżanka

    Dostałam taką wiadomość i popełniłam błąd że odebrałam ją poważnie i pozwoliłam przejąć swoja pocztę. chciałabym usunąć trwale konto to nie mogę, co mam zrobić?????

    Odpowiedz
  • 2013.05.13 21:00 Marian

    poniedziałek, 13 maj 2013 17:59:24 UTC
    Adres IP: 114.230.200.187
    Lokalizacja: Yangzhou, Jiangsu, China

    Boje się o moje konta z gier ;x

    Odpowiedz
  • 2013.07.26 18:02 Szymon

    Ja naprawdę nie wiem o co chodzi.. Po co email takiemu 14-latkowi jak ja ? Po co im to potrzebne? Żeby jakieś chińskie spamy poprzesyłać? MASAKRA
    Hefei, Anhui, Chińska Republika Ludowa

    Odpowiedz
  • 2013.07.26 18:12 Szymon

    Jeszcze jedno pytanie, jeśli mógłby ktoś odpowiedzieć.
    Czy to mogło nastąpić przez opcję „Zapamiętaj mnie”?

    Odpowiedz
  • 2013.09.27 19:25 Aleksander

    Próba zalogowania się w aplikacji/urządzeniu (udaremniona)
    Hefei, Anhui, Chińska Republika Ludowa,
    Mam to też i nie wiem kurde po co oni to robią na youtube też -__-

    Odpowiedz
  • 2013.10.23 10:12 gre

    17 paź Próba zalogowania się w aplikacji/urządzeniu (udaremniona) Nanning, Kuangsi, Chińska Republika

    15 paź Próba zalogowania się w aplikacji/urządzeniu (udaremniona) Laibin, Kuangsi, Chińska Republika

    Odpowiedz
  • 2013.10.24 21:25 wiza2005

    Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google [email protected]. Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.

    Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:
    środa, 23 październik 2013 16:32:57 UTC
    Adres IP: 60.166.247.92
    Lokalizacja: Hefei, Anhui, China

    Odpowiedz
  • 2014.03.12 10:06 slawek

    a u mnie coś takiego i to już ktoryś raz, za kazdym razem z innego miejsca w chinach i IP.
    Witaj Sławek,

    Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google ____________ Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.

    Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:

    środa, 12 marzec 2014 03:10:24 UTC
    Adres IP: 113.25.145.166
    Lokalizacja: Jinzhong, Shanxi, Chińska Republika Ludowa

    Odpowiedz
  • 2014.04.05 14:41 dawbra

    U mnie raz się włamali ale to było już dawno zmieniłem hasło i cisza.
    Dzisiaj dostałem wiadomość że ponownie próbowano i google zablokował

    „We noticed a login to your googIe account from a unrecognized device on 7:59 PM CST (China) from-„HeFei, Anhui,China”

    Ale nie podali IP ani w Sesji logowań go nie było.

    Pewnie jakieś boty robią to masowo tonami wiec cieżko żeby nie trafili na twoj mail.
    Dodatkowo google nie obsłguje kropek w adresie jakby ktoś nie wiedział.

    Odpowiedz
  • 2014.05.14 09:46 Paweł

    To samo:
    03:07 Próba zalogowania się w aplikacji/urządzeniu (udaremniona)
    Ningde, Fujian, Chińska Republika Ludowa
    Szczegóły
    Adres IP
    27.156.195.131

    Odpowiedz
  • 2014.06.03 08:00 Szymon

    U mnie podobnie 2 próby Chiny i Indie

    We prevented the sign-in attempt in case this was a hijacker trying to access your account. Please review the details of the sign-in attempt:

    Wednesday, May 14, 2014 10:14:07 AM UTC
    IP Address: 110.86.101.190
    Location: Ningde, Fujian, China

    We prevented the sign-in attempt in case this was a hijacker trying to access your account. Please review the details of the sign-in attempt:

    Sunday, May 18, 2014 2:44:29 PM UTC
    IP Address: 117.218.20.243
    Location: Kolhapur, Maharashtra, India

    Odpowiedz
  • 2014.06.23 09:25 Szymon M

    U mnie : Ktoś ostatnio użył Twojego hasła, by zalogować się na Twoje konto Google . Ta osoba korzystała z aplikacji (takiej jak klient poczty e-mail) lub urządzenia przenośnego.

    Zablokowaliśmy próbę logowania na wypadek, gdyby ktoś chciał się włamać na konto. Sprawdź te informacje:

    poniedziałek, 23 czerwiec 2014 00:13:20 UTC
    Adres IP: 60.166.240.176
    Lokalizacja: 合肥市 Anhui, Chińska Republika Ludowa

    Odpowiedz
  • 2014.07.22 08:42 Kasia

    byli i u mnie….

    20 lipca – próba udaremniona

    Przybliżona lokalizacja (na podstawie adresu IP)
    Ningde, Fujian, Chińska Republika Ludowa
    Szczegóły
    Adres IP
    120.43.62.188

    hasło zmienione, mam nadzieje, że już więcej się nie powtórzy !!!!!

    Odpowiedz
  • 2014.11.07 03:06 dd

    taka sama scena….
    120.43.62.142
    Chiny

    Odpowiedz
  • 2015.11.29 17:58 Mateusz

    Mnie też jakiś skośnooki skur***** nawiedził.

    Shalu District, Taizhong, Tajwan

    61.223.166.175

    Odpowiedz
  • 2016.06.19 13:51 Robert

    Ja dostałem bardzo podobnego maila. Adres IP to 46.16.33.23. Screen: http://www.mediafire.com/view/82p6k5saj2byo1w/BEZPIECZEŃSTWO.png

    Odpowiedz
  • 2017.11.25 00:31 Wiksøøøn

    Ja mam włamania z USA, Saratogi oraz z USA, Minnesoty.

    Weszłam na maila a tam powiadomienie ze zmienili mi hasło w Minnesocie.

    Odpowiedz
  • 2018.08.06 23:16 Aisha

    Dostałam dziś rano email od gmail że ktoś z chin próbował się zalogować na moje konto Google

    Odpowiedz

Zostaw odpowiedź do Gandzia

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Chińczycy próbują włamywać się do skrzynek Gmail Polaków

Komentarze