The Warsaw
Niemal dwie dekady przed powstaniem pierwszej strony WWW, w 1971 Ray Tomlinson wysłał przez sieć ARPANET wiadomość do samego siebie o treści „something like QWERTYUIOP” (pol. coś w stylu QWERTYUIOP). Ta wiadomość uważana jest za pierwszy w historii e-mail. Poczta internetowa oraz jej funkcjonalność przez pół wieku znacznie ewoluowała, jednak jej główna zasada pozostała niezmieniona.
Poczta email ma umożliwiać asynchroniczną wymianę wiadomości przez Internet. Komunikacja asynchroniczna oznacza, że wiadomość może zostać wykorzystana w dowolnym momencie po jej utworzeniu, nie jest wymagana jednoczesna interakcja odbiorcy z nadawcą. Wiele osób spodziewało się, że szybki rozwój całej gałęzi technologii komunikacyjnej, pojawienie się czatów, mediów społecznościowych, komunikatorów online i biznesowych platform komunikacyjnych jak Microsoft Teams czy Slack przyczyni się do upadku poczty e-mail. Nic takiego się nie stało. E-mail pozostał głównym medium komunikacyjnym, a bez adresu e-mail dziś nie jesteśmy nawet w stanie zarejestrować się w ogromnej większości usług, które miały zwiastować zmierzch poczty internetowej.
Powszechność usługi, wspomniana asynchroniczność (wykorzystywana przez nas do przechowywania historii wiadomości) oraz ignorowanie przez użytkowników podstawowych zasad bezpieczeństwa w Internecie, powodują, że e-mail jest głównym wektorem ataków wykorzystywanych przez cyberprzestępców. Ataki typu phishing, polegające na wysyłaniu do odbiorców maili do złudzenia przypominających prawdziwą wiadomość, celowane są w każdego z nas. Według FBI to właśnie phishing był najczęstszym rodzajem cyberataku w 2020 roku. Ilość incydentów phishingowych wzrosła niemal dwukrotnie, ze 114 702 incydentów w 2019 roku do 241 324 incydentów w 2020 roku. Pięć lat temu (w roku 2016) ilość tego typu incydentów była ponad 11 razy mniejsza.
Większość wiadomości phishingowych zawiera złośliwe linki kierujące na do złudzenia przypominające prawdziwe strony, kopie popularnych serwisów internetowych. Te przygotowane przez przestępców strony najczęściej starają się wykraść dane dostępowe (login i hasło) użytkownika, bądź uruchomić złośliwe skrypty wykorzystujące luki w oprogramowaniu użytkownika. Nie raz do wiadomości phishingowej dołączane są załączniki, które w przypadku otwarcia przez ofiarę uruchamiają złośliwy kod. Raport firmy ESET traktujący o zagrożeniach występujących w 2020 roku [1] informuje, że najczęściej spotykanymi załącznikami są: pliki wykonywalne (.exe), makra, dokumenty MS Office oraz pliki .pdf.
Drugim częstym typem ataków jest bezpośrednie włamanie na skrzynkę e-mail przy pomocy znanego hasła lub metody bruteforce. Praktycznie każdego dnia dochodzi do wycieku danych z większego bądź mniejszego portalu internetowego. Dane nieraz zawierają hasła bądź ich hashe. O ile w przypadku skomplikowanego hasła, jego odgadnięcie na podstawie hasha jest czasochłonne, o tyle proste hasła składające się z mniej niż 12 znaków mogą być obecnie złamane w przeciągu kilku godzin. Niestety użytkownicy często stosują jeszcze krótsze hasła, możliwe do złamania na domowym komputerze w kilkanaście minut. Skalę problemu bardzo dobrze oddaje analiza opublikowana przez Alice Henshaw [2]. W 2019 roku przy użyciu narzędzia Hashcat i infrastruktury AWS (wypożyczonej za 18 dolarów) w przeciągu 20 godzin złamanych zostało 80% haseł pochodzących z wycieku zawierającego ponad 14 milionów hashy.
Jeśli atakujący nie posiada hasła użytkownika, zawsze pozostaje mu mozolna próba siłowego włamania się na skrzynkę pocztową poprzez zautomatyzowany proces prób logowania się na nią przy użyciu najczęściej stosowanych haseł.Problemy z bezpieczeństwem usług poczty internetowej dotyczą wszystkich. Osoby publiczne z oczywistych względów są narażone jeszcze bardziej. Ponad dekadę temu hakerzy włamali się [3] na skrzynkę Belgijskiego premiera. Uzyskawszy dostęp do historii prywatnych maili, przesłali wiele z nich na adres lokalnej gazety.
Ofiarą ataku na prywatną skrzynkę pocztową padł w 2015 roku ówczesny szef CIA, John Brennan. Cyberprzestępca odpowiedzialny za atak uzyskał dostęp do rządowych dokumentów przechowywanych jako załączniki do wiadomości na osobistym koncie Brennana, ponieważ szef agencji przesłał je ze swojego służbowego e-maila [4]. Zrzuty ekranu części dokumentów zostały upublicznione na Twitterze, wśród nich znalazła się lista kontaktów Brennana oraz rejestr rozmów telefonicznych byłego zastępcy dyrektora CIA – Avrila Hainesa.
Udany atak phishingowy doprowadził też do najbardziej znanego wycieku danych ze skrzynki e-mail. Szef kampanii Hillary Clinton John Podesta, nieświadomie kliknął złośliwy link w e-mailu, który wyglądem przypominał wiadomość generowaną przez serwis Google. Nadawcami nie był system Google, ale grupa hakerów phishingowych, których rząd USA później powiązał z Rosją [5]. Podesta zmylony przez cyberprzestępców oraz własnego doradcę, nie tylko kliknął złośliwy link, ale też podał poprawne dane logowania na przygotowanej przez cyberprzestępców stronie internetowej. Dzięki temu hakerzy uzyskali dostęp do jego konta e-mail. Niedługo później na portalu WikiLeaks zaczęły pojawiać się tysiące e-maili Podesty, co w efekcie wpłynęło na wybory prezydenckie w USA.
Pod koniec maja 2021 Microsoft poinformował o nowej kampanii phishingowej wymierzonej w agencje rządowe [6], think tanki oraz konsultantów związanych z organizacjami pozarządowymi. Największą liczbę celów stanowiły organizacje działające w USA. Microsoft przypisuje to działanie pochodzącej z Rosji grupie odpowiedzialnej za atak SolarWinds. Aktywność ta zbiega się w czasie z atakiem przeprowadzonym na osoby pełniące funkcje publiczne w Polsce. Pod koniec czerwca 2021 roku rzecznik ministra koordynatora służb specjalnych poinformował:
„ABW i SKW ustaliły, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4 tys. 350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych. (…) Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. Służby odpowiedzialne za cyberbezpieczeństwo przeanalizowały kilka wiadomości wysłanych na adres ministra, które mogły posłużyć do potencjalnego phishingu – ich zawartość oraz konstrukcja miały na celu wyłudzenie danych niezbędnych do logowania. Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka”.
Ta sama grupa odpowiedzialna jest za włamania na konta niemieckich polityków [7]. Działania grupy UNC1151 to element akcji „Ghostwriter”. Jej celem jest destabilizacja nastrojów oraz sytuacji politycznej w krajach Europy Środkowej. W efekcie ataku, dokumenty oraz korespondencja z prywatnego konta ministra Dworczyka została upubliczniona na platformie Telegram.
We wszystkich powyższych przykładach poza oczywistym błędem, polegającym na używaniu do celów służbowych prywatnych skrzynek pocztowych mamy do czynienia z kilkoma innymi podstawowymi zaniedbaniami. Wszyscy musimy pamiętać, że to my jesteśmy odpowiedzialni za bezpieczeństwo naszej i powierzanej nam korespondencji. Nawet najlepsze zabezpieczenia oferowane przez usługodawców, nie ustrzegą nas przed atakiem przestępców, jeśli ich nie używamy. Jak więc zachować podstawy bezpieczeństwa poczty e-mail? Sprawdźmy, czy nasze hasła nie wyciekły, możemy to zrobić, używając serwisu haveibeenpwned.com. Zmieńmy nasze hasła na silne, najlepiej przynajmniej 16 znakowe. Nie używajmy wszędzie tego samego hasła, a gdzie możliwe, pamiętajmy o włączeniu opcji weryfikacji dwuetapowej (2-step verification).
Wiktor Sędkowski
ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.Więcej informacji: www.warsawinstitute.org/support/Darowizny można dokonać bezpośrednio na konta bankowe:USD: PL 82 1020 4900 0000 8502 3060 4017EUR: PL 85 1020 4900 0000 8902 3063 7814GBP: PL 18 1020 4900 0000 8302 3069 6641PLN : PL 41 1020 1097 0000 7202 0268 6152SWIFT: BPKOPLPWDziękujemy!
Warsaw Institute to polski think tank zajmujący się geopolityką. Główne obszary badawcze to stosunki międzynarodowe, bezpieczeństwo energetyczne oraz obronność. Warsaw Institute wspiera Inicjatywę Trójmorza oraz stosunki transatlantyckie.
Warsaw Institute is a Polish think tank focusing on geopolitics. The main research areas are international relations, energy security and defense. The Warsaw Institute supports the Three Seas Initiative and transatlantic relations.
Phishing – Cyber Extortion Aimed at Politicians
In 1971, almost two decades before the World Wide Web, Ray Tomlinson sent a message to himself on the ARPANET saying “something like QWERTYUIOP.” It is considered to be the first ever email. Internet mail and its functionality have evolved considerably over half a century, but its core principle has remained unchanged.
Email is meant to allow for asynchronous message exchange over the Internet. Asynchronous communication means that a message can be used at any moment following its creation, no simultaneous interaction between the recipient and the sender is required. A lot of people expected that the rapid growth of an entire branch of communication technology, the advent of chat rooms, social media, online instant messaging, and business communication platforms, such as Microsoft Teams and Slack, would contribute to the demise of email. No such thing has happened. Nowadays, email is still the main communication tool and without an email address we would not be able to sign up for the vast majority of services that were supposed to herald the decline of Internet mail.
The ubiquity of this service, the asynchronism (which we use to store message history), and the users’ disregard for basic Internet safety rules, make email the main target of cybercriminals’ attacks. Phishing, which involves sending emails that look deceptively like the real ones to recipients, is targeted at us all. According to the FBI, phishing was the most common type of cyberattack in 2020. The number of phishing incidents has nearly doubled from 114,702 in 2019 to 241,324 in 2020. Five years ago (in 2016), the number of such incidents was more than 11 times lower.
Most phishing emails contain malicious links directing to copies of popular websites that look similarly to them. These sites, prepared by criminals, usually try to steal user’s access data (login and password) or run malicious scripts exploiting vulnerabilities in user’s software. Often, the phishing message is accompanied by attachments that launch malicious code, if opened by the victim. ESET’s report on threats in 20201 states that the most common attachments are executable files (.exe), macros, MS Office documents, and PDF files.
The second common type of an attack is a direct hack of a mailbox, conducted with the use of a known password or a brute-force method. Practically every day there is a data leak from a larger or a smaller web portal. Frequently, the data contains passwords or their hashes. While in the case of a complex password, guessing it on the basis of the hash is time-consuming, simple passwords consisting of less than 12 characters can now be cracked within a few hours. Unfortunately, users often use even shorter passwords, which could be hacked on a home computer in a dozen or so minutes. The scale of the problem is well presented by an analysis of Alice Henshaw2. In 2019, using the Hashcat tool and the AWS infrastructure (rented for $18), 80% of the passwords, originating from a leak containing over 14 million hashes, were cracked within 20 hours.
If the attacker does not have the user’s password, there is always another possibility – an arduous task of forcibly hacking the mailbox through an automated process of attempting to log into it, using the most common passwords.
Security problems with webmail services affect everyone. Public figures are even more vulnerable, for obvious reasons. Over a decade ago, hackers broke into3 the Belgian Prime Minister’s mailbox. Having gained access to his private emails, they forwarded many of them to the local newspaper.
In 2015, the private email account of the former head of the CIA, John Brennan, was hacked. The cybercriminal responsible for the attack gained access to government documents stored as email attachments on Brennan’s personal account because the Agency’s head sent them from his work email4. Screenshots of some of the documents were made public on Twitter, including Brennan’s contact list and phone records of the former CIA Deputy Director Avril Haines.
A successful phishing attack also led to the well-known email data leak. Hillary Clinton’s campaign manager, John Podesta, unknowingly clicked on a malicious link in an email that looked like a message generated by Google. The senders were not from Google, but a group of phishing hackers whom the US government later linked to Russia5. Deceived by the cybercriminals and his own advisor, Podesta not only clicked on the malicious link, but also entered the correct login credentials on the website prepared by the cybercriminals. This allowed the hackers to gain access to his email account. Soon after, thousands of Podesta’s emails began to appear on WikiLeaks, ultimately affecting the US presidential election.
In late May 2021, Microsoft informed about a new phishing campaign, targeting government agencies, think tanks, and consultants associated with NGOs, the majority of which operated in the United States. Microsoft attributed this activity to the Russian-based group, responsible for the SolarWinds attack6. This activity coincides with an attack carried out against public officials in Poland. At the end of June 2021, a spokesperson for the Minister-Coordinator of Special Services said that:
“The Internal Security Agency (ABW) and the Military Counterintelligence Service (SKW) determined that the list of targets of a sociotechnical attack, carried out by the UNC1151 group, included at least 4,350 email addresses belonging to Polish citizens or appearing in Polish email services. The Polish Special Services possess information that the aggressors are connected to the activities of Russian special services. (...) The list also includes an email address used by Minister Michał Dworczyk. The services responsible for cyber security analyzed several messages sent to the Minister’s address that could have been used for phishing – their content and design was aimed at obtaining login credentials. We also noted several logins from abroad to the email account used by Minister Dworczyk.”
The same group is responsible for hacking the accounts of German politicians7. The actions of the UNC1151 group are part of the “Ghostwriter” campaign. Its aim is to destabilize moods and the political situation in Central European countries. As a result of the attack, the documents and correspondence from Minister Dworczyk’s private account were made public on the Telegram platform.
In all of the examples above, apart from the obvious mistake of using private email accounts for work purposes, we have to deal with several other basic types of negligence. We all need to remember that we are responsible for the security of our own correspondence and the one that is entrusted to us. Even the best security protections, offered by service providers, will not defend us from an attack of the criminals if we do not use them. Therefore, how to protect an email account? Let us check whether our passwords are not leaked – we can do it by using the haveibeenpwned.com website. Let us change your passwords to strong ones, preferably with at least 16 characters. We should not use the same password in every case, and, if it is possible, let us remember to enable two-factor authentication.
Wiktor Sędkowski graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
1 https://www.welivesecurity.com/wp-content/uploads/2020/10/ESET_Threat_Report_Q32020.pdf
2 https://medium.com/hackernoon/20-hours-18-and-11-million-passwords-cracked-c4513f61fdb1
3 https://www.reuters.com/article/us-belgium-pm-hacking/belgian-pms-personal-emails-hacked-and-sent-to-newspaper-idUSBRE94U0HV20130531
4 https://www.wired.com/2015/10/hacker-who-broke-into-cia-director-john-brennan-email-tells-how-he-did-it/
5 https://apnews.com/article/hillary-clinton-phishing-moscow-russia-only-on-ap-dea73efc01594839957c3c9a6c962b8a
6 https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/
7 https://www.tagesschau.de/investigativ/wdr/hackerangriffe-105.html
