29.05.2018 | 21:00

Adam Haertle

Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

Czasem zdarza się tak, że nawet te witryny, którym powinniśmy najbardziej ufać – jak np. strony rządowe – padają ofiarami włamywaczy. Taki los spotkał właśnie rządowy serwis poświęcony rodzinie – rodzina.gov.pl.

Problem zauważył użytkownik Wykopu Snegzam. Po wejściu na stronę rodzina.gov.pl na jego ekranie pojawiła się niepokojąca informacja o zainfekowaniu komputera wraz z prośbą o skontaktowanie się z odpowiednim serwisem. To dość popularna w innych krajach próba ataku socjotechnicznego.

Ciekawy przypadek

Wejście na http://rodzina.gov.pl (czego nie zalecamy) obecnie kończy się następującym ekranem:

Gdy spojrzymy na to, w jaki sposób przeglądarka tam trafia, okazuje się, że przekierowanie zostało umieszczone na poziomie serwera WWW:

Każda próba załadowania adresu serwisu rodzina.gov.pl jest automatycznie przekierowana już na poziomie dyrektywy „Location” do serwera przestępców. To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW. Zainfekowany serwer rządowy znajduje się pod adresem IP 79.133.196.90 – adres ten nie uległ zmianie od wielu lat, co oznacza, że nie jest to przejęcie domeny, a prawdopodobnie włamanie na konto hostingowe, które obsługuje ten serwer. Dlaczego rządowe serwery dalej porozrzucane są po różnych komercyjnych serwerowniach – o to nas już nie pytajcie.

Co robi złośliwa strona

Po pierwsze wyświetla komunikat sugerujący, że komputer został zainfekowany i należy koniecznie zadzwonić do wsparcia technicznego firmy Microsoft. Podany numer

Oprócz tego strona powinna także odtworzyć w pętli plik audio – możecie go bezpiecznie posłuchać poniżej:

Dodatkowo przestępcy wyświetlają okienko uwierzytelnienia, w którym jeszcze raz powtarzają ten sam komunikat, by lepiej dotrzeć do odbiorcy. W bonusie strona wchodzi w pętlę wywołań tego samego adresu i robi to tak intensywnie, że w większości przypadków dość skutecznie zawiesza przeglądarkę, sprawiając wrażenie, że faktycznie wystąpił jakiś problem techniczny. Wystarczy zabić proces przeglądarki, by przywrócić sprawne działanie komputera.

Witryna przestępców pod adresem 192.81.209.180 znajduje się w firmie Digital Ocean i jest po prostu zwykłym wynajętym serwerem. Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA, a nie w Polsce. Co ciekawe, różne wizyty na tej samej stronie generują różne numery telefonu, pod który należy zadzwonić.

Wygląda zatem na to, że choć przestępcy przejęli kontrolę nad serwerem w rządowej domenie (co jest pewnym sukcesem), to całkowicie ten sukces zmarnowali, źle dobierając metodę ataku. I bardzo dobrze – będzie mniej ofiar. A teraz zgadujemy, kiedy obudzi się administrator rodzina.gov.pl i naprawi. Bo na raport powłamaniowy chyba nie możemy liczyć…

Powrót

Komentarze

  • 2018.05.29 21:11 Dawid

    Próbowało mi pobrać +30 plików. Zawiesza przeglądarkę, nie wchodzić! :P

    Odpowiedz
    • 2018.05.30 11:51 kot

      To pewnie ten nowy program socjalny 30+ :]

      Odpowiedz
  • 2018.05.29 21:22 Wujek Pawel

    PiSowscy admini. Wczesniej byli informatykami w Strazy Miejskiej. W CV maja: Instalacja i konfiguracja WordPress, Instalacja driverow do drukarki w systemie Windows XP, Vista, 8, 10, 12, 15 i 2012.

    Odpowiedz
    • 2018.05.30 08:43 .

      Dzięki za merytoryczny komentarz.

      Odpowiedz
    • 2018.05.30 09:21 marcin

      Gdzie to miał krul europy hasło zapisane i jakie ono było? :)

      Odpowiedz
  • 2018.05.29 21:37 Ivellios

    Przekierowanie nadal występuje, do tego strona próbuje wymuszać pobieranie jakichś plików o jednakowej zawartości.

    Odpowiedz
    • 2018.05.30 15:22 rafal06

      Jaki to plik i o jakiej zawartości? Bardzo mnie to interesuje, a boję się sam to sprawdzić. Może to właściwa część ataku instalujące malwere (dla mniej wtajemniczonych, malwere to po polsku złośliwe oprogramowanie).

      Odpowiedz
      • 2018.05.30 21:48 Blob

        Dla bardziej wtajemniczonego – pisze się „malware” a nie „malwere”

        Odpowiedz
  • 2018.05.29 21:38 Grzegorz

    Co na to nowe przepisy RODO? Ile z moich/naszych pieniędzy będzie trzeba zapłacić? Prośba dodajcie od razu do każdego artykułu podsumowanie jakie przepisy zostały złamane.

    Odpowiedz
    • 2018.05.30 08:42 Krystian

      Ty serio?
      wspominał coś Adam na temat wycieku?

      Odpowiedz
  • 2018.05.29 21:48 Artur

    Admin raczej nie śpi. Strona serwuje się normalnie.

    Odpowiedz
  • 2018.05.29 22:40 Rafał

    I już poprawione, pod dywan zamiecione…

    Odpowiedz
  • 2018.05.29 22:54 Adam

    „To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW.”
    No, chyba, że np index.php wysyła ten nagłówek, więc jednak może być podmieniona strona

    Odpowiedz
  • 2018.05.30 01:19 kAPPA

    „Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA”
    i tak madki z pińcet będą tam dzwonić

    Odpowiedz
  • 2018.05.30 01:48 informatyk

    U mnie działa.

    Strona normalnie znaczy.

    Odpowiedz
  • 2018.05.30 02:00 informatyk

    U mnie działa.

    Odpowiedz
  • 2018.05.30 03:06 Grzegorz

    Klasyczny scam. Serdecznie polecam kanał użytkownika Kitboga w serwisie twitch.tv , na którym to wydzwania on do scamerów podszywając się pod zaniepokojonego zagrożeniem użytkownika komputera i skutecznie marnując czas wyłudzaczy. Można się pośmiać.

    Przy okazji, warto przeczytać artykuł w serwisie theguardian.com o tym jak wyglądają firmy zatrudniające wyłudzaczy. Tytuł to „The scammers gaming India’s overcrowded job market”

    Odpowiedz
  • 2018.05.30 07:48 .

    Admin chyba już się zorientował.

    Odpowiedz
  • 2018.05.30 10:38 Adam

    Nieaktualne…

    Odpowiedz
  • 2018.05.30 10:39 Etop

    Uprzejmie informujemy iż nie administrujemy wskazanym serwerem ani jego zawartością. Podana informacja, o negatywnym wydźwięku kontekstowym, poza oczywistym faktem iż serwer znajduje się w naszej adresacji LIR świadczy o pobieżnym zapoznaniu się z tematem przez autora powyższego artykułu.

    Z poważaniem

    Etop sp. z o.o.
    https://datahouse.pl

    Odpowiedz
    • 2018.05.30 11:58 kot

      Damage cotnrol! Damage cotnrol! Damage cotnrol!

      to po grzmota wam ta adresacja w takim razie? :)

      Odpowiedz
    • 2018.05.30 15:33 Wujek Pawel

      Przeciez jedyna informacja na wasz temat to taka, ze serwer stoi u was, a nie ze to wy nim administrujecie. Zluzuj majty Etop.

      Odpowiedz
    • 2018.05.30 16:22 Anon

      Widać Etop zaznajomił się z artykułem w mniejszym stopniu niż autor arta z tematem ;)

      Odpowiedz
  • 2018.05.30 13:06 blad201

    o 13:00 nadal coś poprawiają – widac tylko tekst:
    Serwis w trakcie prac konserwacyjnych.
    Na Rodzina.gov.pl mamy w tej chwili przerwę techniczną. Powinna się ona wkrótce skończyć. Dziękujemy za cierpliwość.

    Odpowiedz
  • 2018.05.30 13:29 123

    https://rodzina.gov.pl/index.html

    „Jest to symbol zastępczy subdomeny r2.grzegorowski.com”

    Odpowiedz
  • 2018.05.30 16:29 Iluminati

    root@iluminati#

    vim subdomains.txt

    http://www.grzegorowski.com
    app.grzegorowski.com
    http://www.app.grzegorowski.com
    dev.grzegorowski.com
    http://www.dev.grzegorowski.com
    ghost.grzegorowski.com
    roboty.grzegorowski.com
    http://www.roboty.grzegorowski.com
    rodzina.grzegorowski.com
    t.grzegorowski.com
    http://www.t.grzegorowski.com
    test.grzegorowski.com
    http://www.test.grzegorowski.com
    test1.grzegorowski.com
    http://www.test1.grzegorowski.com
    test2.grzegorowski.com
    http://www.test2.grzegorowski.com

    Odpowiedz
    • 2018.05.31 00:58 Monter

      A myślałem, że tylko ja mam taki burdel na serwerze / blogu ;-P

      Odpowiedz
      • 2018.05.31 01:36 Soto

        A co to ma wspólnego z serwerem? To są tylko subdomeny.

        Odpowiedz

Zostaw odpowiedź do Grzegorz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga, strona rodzina.gov.pl atakuje użytkowników próbą oszustwa

Komentarze