18.01.2023 | 16:51

Adam Haertle

Nietypowy atak e-mailowy związany z Ukrainą od naszych sąsiadów ze wschodu

Choć „wielka cyberwojna ojczyźniana” nie wybuchła, to działań w strefie cyber jest bardzo dużo, a spora ich część to różnego rodzaju ataki na polskie podmioty, zaangażowane w pomoc Ukrainie. Poniżej pokazujemy przykład jednego z takich działań.

Jeden z naszych Czytelników podesłał nam e-maila, który sprawiał wrażenie ataku – i wszystko wskazuje na to, że atakiem jest, chociaż chyba nie do końca takim, jak się spodziewaliśmy. Zobaczcie zresztą sami.

E-mail trochę podejrzany, nadawca bardzo

Powód, dla jakiego nasz Czytelnik zdecydował się podesłać nam otrzymanego e-maila, leżał przede wszystkim w nagłówku, a konkretnie w adresie nadawcy:

sekretariat.dsmim [email protected]

Login się zgadza – faktycznie Departament Spraw Międzynarodowych i Migracji MSWiA takim się posługuje, jednak domena była nieprawidłowa. Ktoś postarał się chociaż na tyle, by w nazwie domeny znalazł się prawidłowy skrót, ale trochę daleko było do mswia.gov.pl. Sama domena została utworzona dwa dni temu i schowana za Cloudflare.

Treść wyglądała następująco (wersja tekstowa poniżej):

Temat: Departament Spraw Międzynarodowych i Migracji Ministerstwa Spraw Wewnętrznych i Administracji informuje

Treść:

Departament Spraw Międzynarodowych i Migracji Ministerstwa Spraw Wewnętrznych i Administracji informuje

W celu udzielenia pomocy ukraińskiemu reprezentacji dyplomatycznej w Warszawie organizowany jest zbiór informacji o obywatelach Ukrainy zamieszkałych na terytorium Rzeczypospolitej Polskiej.

Zgodnie z proponowanym oświadczeniem (patrz poniżej) posiadacze mieszkań muszą podać informacje o ukraińskich uchodźcach mieszkających w wynajmowanych kwaterach. Dane prosimy wysyłać na skrzynkę e-mail [email protected] Ambasady Ukrainy w RP.

W przypadku niedostarczenia informacji o obywatelach Ukrainy na właścicieli mieszkań zostanie nałożona grzywna zgodnie z Kodeksem administracyjnym RP.

Niezbędne, obowiązkowe jest również powiadomienie o znanych faktach zamieszkania uchodźców z Ukrainy na terytorium Rzeczypospolitej Polskiej.

Departament Spraw Międzynarodowych i Migracji

Kontakt

telefon: 22 601 41 20

fax: +48 22 601 41 06

email: [email protected]

Język jest trochę koślawy, dobór słów mało naturalny i nie brzmi jak „polski urzędowy”, ale poza tym brak literówek, błędów ortograficznych czy słów w złym kontekście – oprócz „kodeks administracyjny”, który pasuje do nieudanego tłumaczenia „Административный кодекс”. W e-mailu znajduje się także załącznik Worda o nazwie:

oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc

Załącznik, w którym nie ma nic złośliwego?

Większość z Was pewnie spodziewa się teraz makro / exploita / innego rodzaju ataku w samym załączniku. Musimy się z Wami zgodzić i jednocześnie Was rozczarować. Długo patrzyliśmy (nie tylko swoimi oczami), ale niczego złośliwego w załączniku nie wypatrzyliśmy.

Fragment wyglądu załącznika

Co ciekawe, chociaż dokument wygląda bardzo jak urzędowy formularz, nie znaleźliśmy oficjalnego dokumentu o identycznej treści. Pewne elementy pochodzą z wniosku o pobyt czasowy cudzoziemca w Polsce, ale dokument został znacząco przerobiony. Co ciekawe, został w nim mały artefakt rosyjskojęzyczny:

Czym w takim razie jest ten e-mail?

Ustalmy najpierw, czym nie jest:

  • nie jest to próba infekcji komputera, ponieważ e-mail nie zawiera złośliwego oprogramowania,
  • nie jest to próba wyłudzenia danych, ponieważ instrukcja mówi, że wypełniony formularz należy wysłać na prawdziwy adres ambasady,
  • nie jest to też raczej pierwszy krok do dalszej infekcji, bo nie ma żadnego mechanizmu nakłaniającego odbiorcę wiadomości do kontaktu z nadawcą (podano dane kontaktowe prawdziwego MSWiA).

Co zatem pozostaje? Chyba tylko dezinformacja i sianie zamieszania. Dokładanie pracy wolontariuszom zajmującym się pomocą obywatelom Ukrainy i irytowanie osób wspierających uchodźców także znajduje się na liście celów zbrodniarzy wojennych z Rosji.

Powrót

Komentarze

  • 2023.01.18 17:05 jan

    Może też tak być, że kolejny mail z tej samej domeny już taki niegroźny nie będzie.

    Odpowiedz
    • 2023.01.18 17:09 adamh

      Dlatego też o tym piszemy – ale mamy też nadzieję, że domena dzięki temu jest już „spalona”.

      Odpowiedz
      • 2023.01.18 18:34 amoze

        A może pomylili się i dali „zły załącznik” bez złośliwego makra, a ten ze złośliwym makrem sobie został spokojnie na hakerskim pulpicie? Złole też czasem się mylą.

        Albo wyłudzenie danych, bo ludzie nieuważnie czytają i po prostu wyślą wypełniony załącznik na tego własnie maila z sekretariatu?

        Odpowiedz
    • 2023.01.18 22:04 mkl

      Nie jest to jedyna domena, z której te maile idą, ja dostałem z mswia-gov-pl.online

      Odpowiedz
  • 2023.01.18 19:11 jan

    A może mają „nielegalnego” w abasadzie UA.

    Odpowiedz
    • 2023.01.19 08:06 Zzz

      …lub wgląd do tej skrzynki

      Odpowiedz
      • 2023.01.19 10:21 Adam Haertle

        Co jest prostsze: zainstalowanie agenta w ambasadzie głównego wroga czy wskazanie innego adresu email?

        Odpowiedz
        • 2023.01.19 10:27 Iwona

          Dużo prostsze jest samo wysłanie maila. Tych danych przecież nikt nie będzie czytał. A wewnętrzne polowanie na czarownice, zwłaszcza przy braku czarownic, będzie długotrwałe i mocno dezorganizujące.

          Odpowiedz
  • 2023.01.19 09:59 Iwona

    To, że odpowiedzi będą wysyłane na prawidłowy adres email nie oznacza, że nie będą czytane przez nadawcę tej wiadomości.

    Odpowiedz
    • 2023.01.22 10:42 ABC

      Dlatego zapewne odpowiednia służba już od jakiegoś czasu monitoruje ten adres dodatkowo…

      Odpowiedz
  • 2023.01.22 17:48 Ernest

    Oby po paru dniach się nie okazało, że to naprawdę Ukraińcy szukają swoich.

    Odpowiedz
  • 2023.01.28 22:34 root

    Alias :dsmim’ na pierwszy rzut oka wygląda poprawnie, ale domena @mswia.pw- jakoś tak 'z czapy’. Która polska instytucja wykorzysta domenę inną niż’ gov.pl’? Co ma wspólnego '*.pw’ z '*.gov’? Mniej więcej tyleż ileż Lucyfer z papieżem….

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nietypowy atak e-mailowy związany z Ukrainą od naszych sąsiadów ze wschodu

Komentarze