29.05.2018 | 21:00

Adam Haertle

Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

Czasem zdarza się tak, że nawet te witryny, którym powinniśmy najbardziej ufać – jak np. strony rządowe – padają ofiarami włamywaczy. Taki los spotkał właśnie rządowy serwis poświęcony rodzinie – rodzina.gov.pl.

Problem zauważył użytkownik Wykopu Snegzam. Po wejściu na stronę rodzina.gov.pl na jego ekranie pojawiła się niepokojąca informacja o zainfekowaniu komputera wraz z prośbą o skontaktowanie się z odpowiednim serwisem. To dość popularna w innych krajach próba ataku socjotechnicznego.

Ciekawy przypadek

Wejście na http://rodzina.gov.pl (czego nie zalecamy) obecnie kończy się następującym ekranem:

Gdy spojrzymy na to, w jaki sposób przeglądarka tam trafia, okazuje się, że przekierowanie zostało umieszczone na poziomie serwera WWW:

Każda próba załadowania adresu serwisu rodzina.gov.pl jest automatycznie przekierowana już na poziomie dyrektywy „Location” do serwera przestępców. To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW. Zainfekowany serwer rządowy znajduje się pod adresem IP 79.133.196.90 – adres ten nie uległ zmianie od wielu lat, co oznacza, że nie jest to przejęcie domeny, a prawdopodobnie włamanie na konto hostingowe, które obsługuje ten serwer. Dlaczego rządowe serwery dalej porozrzucane są po różnych komercyjnych serwerowniach – o to nas już nie pytajcie.

Co robi złośliwa strona

Po pierwsze wyświetla komunikat sugerujący, że komputer został zainfekowany i należy koniecznie zadzwonić do wsparcia technicznego firmy Microsoft. Podany numer

Oprócz tego strona powinna także odtworzyć w pętli plik audio – możecie go bezpiecznie posłuchać poniżej:

Dodatkowo przestępcy wyświetlają okienko uwierzytelnienia, w którym jeszcze raz powtarzają ten sam komunikat, by lepiej dotrzeć do odbiorcy. W bonusie strona wchodzi w pętlę wywołań tego samego adresu i robi to tak intensywnie, że w większości przypadków dość skutecznie zawiesza przeglądarkę, sprawiając wrażenie, że faktycznie wystąpił jakiś problem techniczny. Wystarczy zabić proces przeglądarki, by przywrócić sprawne działanie komputera.

Witryna przestępców pod adresem 192.81.209.180 znajduje się w firmie Digital Ocean i jest po prostu zwykłym wynajętym serwerem. Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA, a nie w Polsce. Co ciekawe, różne wizyty na tej samej stronie generują różne numery telefonu, pod który należy zadzwonić.

Wygląda zatem na to, że choć przestępcy przejęli kontrolę nad serwerem w rządowej domenie (co jest pewnym sukcesem), to całkowicie ten sukces zmarnowali, źle dobierając metodę ataku. I bardzo dobrze – będzie mniej ofiar. A teraz zgadujemy, kiedy obudzi się administrator rodzina.gov.pl i naprawi. Bo na raport powłamaniowy chyba nie możemy liczyć…

Powrót

Komentarze

  • 2018.05.29 21:11 Dawid

    Próbowało mi pobrać +30 plików. Zawiesza przeglądarkę, nie wchodzić! :P

    Odpowiedz
    • 2018.05.30 11:51 kot

      To pewnie ten nowy program socjalny 30+ :]

      Odpowiedz
  • 2018.05.29 21:22 Wujek Pawel

    PiSowscy admini. Wczesniej byli informatykami w Strazy Miejskiej. W CV maja: Instalacja i konfiguracja WordPress, Instalacja driverow do drukarki w systemie Windows XP, Vista, 8, 10, 12, 15 i 2012.

    Odpowiedz
    • 2018.05.30 08:43 .

      Dzięki za merytoryczny komentarz.

      Odpowiedz
    • 2018.05.30 09:21 marcin

      Gdzie to miał krul europy hasło zapisane i jakie ono było? :)

      Odpowiedz
  • 2018.05.29 21:37 Ivellios

    Przekierowanie nadal występuje, do tego strona próbuje wymuszać pobieranie jakichś plików o jednakowej zawartości.

    Odpowiedz
    • 2018.05.30 15:22 rafal06

      Jaki to plik i o jakiej zawartości? Bardzo mnie to interesuje, a boję się sam to sprawdzić. Może to właściwa część ataku instalujące malwere (dla mniej wtajemniczonych, malwere to po polsku złośliwe oprogramowanie).

      Odpowiedz
      • 2018.05.30 21:48 Blob

        Dla bardziej wtajemniczonego – pisze się „malware” a nie „malwere”

        Odpowiedz
  • 2018.05.29 21:38 Grzegorz

    Co na to nowe przepisy RODO? Ile z moich/naszych pieniędzy będzie trzeba zapłacić? Prośba dodajcie od razu do każdego artykułu podsumowanie jakie przepisy zostały złamane.

    Odpowiedz
    • 2018.05.30 08:42 Krystian

      Ty serio?
      wspominał coś Adam na temat wycieku?

      Odpowiedz
  • 2018.05.29 21:48 Artur

    Admin raczej nie śpi. Strona serwuje się normalnie.

    Odpowiedz
  • 2018.05.29 22:40 Rafał

    I już poprawione, pod dywan zamiecione…

    Odpowiedz
  • 2018.05.29 22:54 Adam

    „To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW.”
    No, chyba, że np index.php wysyła ten nagłówek, więc jednak może być podmieniona strona

    Odpowiedz
  • 2018.05.30 01:19 kAPPA

    „Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA”
    i tak madki z pińcet będą tam dzwonić

    Odpowiedz
  • 2018.05.30 01:48 informatyk

    U mnie działa.

    Strona normalnie znaczy.

    Odpowiedz
  • 2018.05.30 02:00 informatyk

    U mnie działa.

    Odpowiedz
  • 2018.05.30 03:06 Grzegorz

    Klasyczny scam. Serdecznie polecam kanał użytkownika Kitboga w serwisie twitch.tv , na którym to wydzwania on do scamerów podszywając się pod zaniepokojonego zagrożeniem użytkownika komputera i skutecznie marnując czas wyłudzaczy. Można się pośmiać.

    Przy okazji, warto przeczytać artykuł w serwisie theguardian.com o tym jak wyglądają firmy zatrudniające wyłudzaczy. Tytuł to „The scammers gaming India’s overcrowded job market”

    Odpowiedz
  • 2018.05.30 07:48 .

    Admin chyba już się zorientował.

    Odpowiedz
  • 2018.05.30 10:38 Adam

    Nieaktualne…

    Odpowiedz
  • 2018.05.30 10:39 Etop

    Uprzejmie informujemy iż nie administrujemy wskazanym serwerem ani jego zawartością. Podana informacja, o negatywnym wydźwięku kontekstowym, poza oczywistym faktem iż serwer znajduje się w naszej adresacji LIR świadczy o pobieżnym zapoznaniu się z tematem przez autora powyższego artykułu.

    Z poważaniem

    Etop sp. z o.o.
    https://datahouse.pl

    Odpowiedz
    • 2018.05.30 11:58 kot

      Damage cotnrol! Damage cotnrol! Damage cotnrol!

      to po grzmota wam ta adresacja w takim razie? :)

      Odpowiedz
    • 2018.05.30 15:33 Wujek Pawel

      Przeciez jedyna informacja na wasz temat to taka, ze serwer stoi u was, a nie ze to wy nim administrujecie. Zluzuj majty Etop.

      Odpowiedz
    • 2018.05.30 16:22 Anon

      Widać Etop zaznajomił się z artykułem w mniejszym stopniu niż autor arta z tematem ;)

      Odpowiedz
  • 2018.05.30 13:06 blad201

    o 13:00 nadal coś poprawiają – widac tylko tekst:
    Serwis w trakcie prac konserwacyjnych.
    Na Rodzina.gov.pl mamy w tej chwili przerwę techniczną. Powinna się ona wkrótce skończyć. Dziękujemy za cierpliwość.

    Odpowiedz
  • 2018.05.30 13:29 123

    https://rodzina.gov.pl/index.html

    „Jest to symbol zastępczy subdomeny r2.grzegorowski.com”

    Odpowiedz
  • 2018.05.30 16:29 Iluminati

    root@iluminati#

    vim subdomains.txt

    http://www.grzegorowski.com
    app.grzegorowski.com
    http://www.app.grzegorowski.com
    dev.grzegorowski.com
    http://www.dev.grzegorowski.com
    ghost.grzegorowski.com
    roboty.grzegorowski.com
    http://www.roboty.grzegorowski.com
    rodzina.grzegorowski.com
    t.grzegorowski.com
    http://www.t.grzegorowski.com
    test.grzegorowski.com
    http://www.test.grzegorowski.com
    test1.grzegorowski.com
    http://www.test1.grzegorowski.com
    test2.grzegorowski.com
    http://www.test2.grzegorowski.com

    Odpowiedz
    • 2018.05.31 00:58 Monter

      A myślałem, że tylko ja mam taki burdel na serwerze / blogu ;-P

      Odpowiedz
      • 2018.05.31 01:36 Soto

        A co to ma wspólnego z serwerem? To są tylko subdomeny.

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

Komentarze