Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

dodał 29 maja 2018 o 21:00 w kategorii Top  z tagami:
Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

Czasem zdarza się tak, że nawet te witryny, którym powinniśmy najbardziej ufać – jak np. strony rządowe – padają ofiarami włamywaczy. Taki los spotkał właśnie rządowy serwis poświęcony rodzinie – rodzina.gov.pl.

Problem zauważył użytkownik Wykopu Snegzam. Po wejściu na stronę rodzina.gov.pl na jego ekranie pojawiła się niepokojąca informacja o zainfekowaniu komputera wraz z prośbą o skontaktowanie się z odpowiednim serwisem. To dość popularna w innych krajach próba ataku socjotechnicznego.

Ciekawy przypadek

Wejście na http://rodzina.gov.pl (czego nie zalecamy) obecnie kończy się następującym ekranem:

Gdy spojrzymy na to, w jaki sposób przeglądarka tam trafia, okazuje się, że przekierowanie zostało umieszczone na poziomie serwera WWW:

Każda próba załadowania adresu serwisu rodzina.gov.pl jest automatycznie przekierowana już na poziomie dyrektywy „Location” do serwera przestępców. To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW. Zainfekowany serwer rządowy znajduje się pod adresem IP 79.133.196.90 – adres ten nie uległ zmianie od wielu lat, co oznacza, że nie jest to przejęcie domeny, a prawdopodobnie włamanie na konto hostingowe, które obsługuje ten serwer. Dlaczego rządowe serwery dalej porozrzucane są po różnych komercyjnych serwerowniach – o to nas już nie pytajcie.

Co robi złośliwa strona

Po pierwsze wyświetla komunikat sugerujący, że komputer został zainfekowany i należy koniecznie zadzwonić do wsparcia technicznego firmy Microsoft. Podany numer

Oprócz tego strona powinna także odtworzyć w pętli plik audio – możecie go bezpiecznie posłuchać poniżej:

Dodatkowo przestępcy wyświetlają okienko uwierzytelnienia, w którym jeszcze raz powtarzają ten sam komunikat, by lepiej dotrzeć do odbiorcy. W bonusie strona wchodzi w pętlę wywołań tego samego adresu i robi to tak intensywnie, że w większości przypadków dość skutecznie zawiesza przeglądarkę, sprawiając wrażenie, że faktycznie wystąpił jakiś problem techniczny. Wystarczy zabić proces przeglądarki, by przywrócić sprawne działanie komputera.

Witryna przestępców pod adresem 192.81.209.180 znajduje się w firmie Digital Ocean i jest po prostu zwykłym wynajętym serwerem. Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA, a nie w Polsce. Co ciekawe, różne wizyty na tej samej stronie generują różne numery telefonu, pod który należy zadzwonić.

Wygląda zatem na to, że choć przestępcy przejęli kontrolę nad serwerem w rządowej domenie (co jest pewnym sukcesem), to całkowicie ten sukces zmarnowali, źle dobierając metodę ataku. I bardzo dobrze – będzie mniej ofiar. A teraz zgadujemy, kiedy obudzi się administrator rodzina.gov.pl i naprawi. Bo na raport powłamaniowy chyba nie możemy liczyć…