Na adres poczty mailowej jednej z klientek poczty Onet.pl zaczęły przychodzić maile z informacjami o logowaniu do jej skrzynki. Sytuacja powtarzała się przez kilka dni, klientka skontaktowała się z informatykiem, który stwierdził atak hackerski na ten adres mailowy. Administrator skrzynki doradził zmianę hasła, co jednak wcale nie okazało się takie proste. Możliwość ta została zblokowana. Informatyk walczył kilka dni, w końcu się udało. Co zrobić, by zabezpieczyć swoje konto pocztowe i dlaczego to jest takie ważne?
Klientka poczty Onet.pl zaczęła otrzymywać maile powiadomieniami o logowaniu na jej skrzynkę. Dostawała także dziwne maile o niedostarczeniu poczty na dziwne adresy, na które w ogóle nie wysyłała żadnych maili. O sprawie powiadomiła informatyka, który sprawdził pocztę, ale nie poprzez Outlooka, ale bezpośrednio na Onecie. Tam znajdował się mail z żądaniem 500 bitcoinów od hackera, który przyznawał, że zhakował ten adres mailowy. Informatyk dodatkowo sprawdził i potwierdził fakt zhakowania poczty. Zgodnie z informacjami podanymi przez administratora poczty, należało zmienić hasło dostępu do konta. To jednak okazało się niemożliwe, zblokowana została możliwość zmiany hasła. Klientka powiadomiła administratora poczty, który poinformował o dużej liczbie zgłoszeń i napisał:
„Dziękujemy za kontakt z działem profilingu Onet. Uprzejmie informujemy, że zgłoszenia są rozpatrywane najszybciej jak to jest możliwe. Wkrótce skontaktujemy się z Państwem ponownie. Z uwagi na dużą liczbę wniosków, aktualny czas oczekiwania na rozpatrzenie formularza wymuszenia zmiany hasła wynosi około 7 dni. Bardzo prosimy o cierpliwość. Pozdrawiamy, BOK, Dział profilingu, Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie”.
Klientka bezskutecznie próbowała zmienić hasło, znowu napisała do administratora konta pocztowego. Uzyskała kolejną odpowiedź, która jej nie zadowoliła.
„Jeśli standardowe metody odzyskania hasła są nieskuteczne, polecamy skorzystać z formularza wymuszenia zmiany hasła. Formularz wymaga podania informacji zgodnych z tymi, które zapisane są w profilu: imię i nazwisko, data urodzenia, miejscowość i kod pocztowy. Szczegółowe informacje przedstawiamy na stronie: https://pomoc.poczta.onet.pl/baza-wiedzy/formularz-wymuszenia-zmiany-hasla/. Jeżeli mają Państwo przekonanie, że doszło do nieuprawnionej zmiany hasła dostępu, należy ten fakt zgłosić na policji lub w prokuraturze. W razie potrzeby Onet udzieli im wszystkich niezbędnych informacji. Informujemy również, że po zalogowaniu do konta przez stronę https://konto.onet.pl w zakładce Usługi jest możliwość pobrania kopii danych Profilu wraz z historią logowania. Pozdrawiamy, BOK, Dział profilingu, Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie”.
Klientka wypełniła formularz i przesłała do administratora poczty. To wszystko zabiera czas, a osobie ze zhakowanym kontem pocztowym zależy na jak najszybszym rozwiązaniu problemu, a nie wielodniowej wymianie korespondencji elektronicznej. Równolegle klientka próbowała rozwiązać problem poprzez bezpośredni kontaktem z pracownikiem poprzez chat, ale i tam czas oczekiwania na możliwość internetowej rozmowy był długi, a porady powielały się z tymi otrzymanymi przez administratora konta drogą mailową. Zatem i tu klientka nie otrzymała satysfakcjonującej ją pomocy. Informatyk po kilku dniach walki – i to w okresie świątecznym oraz w sylwestra – ostatecznie przywrócił poprawne funkcjonowanie poczty i hasło zmienił.
Klientka sprawę zgłosiła mailowo policji oraz CERT. Od tej instytucji uzyskała odpowiedź:
„Dziękujemy za przesłanie zgłoszenia. Przesłana informacja dotyczy kampanii, która jest już monitorowana przez zespół CERT Polska. Mail zawierający groźbę jest najprawdopodobniej automatycznie wygenerowaną wiadomością wysyłaną na losowe adresy mailowe osób, których dane kontaktowe (mail i hasło) zostały upublicznione w wyniku wycieku danych z różnych serwisów. Wiadomość jest niegroźna, można ją zignorować i usunąć. Polecamy zapoznanie się z zaufaną stroną internetową https://haveibeenpwned.com/, na której można bezpiecznie sprawdzić czy mail oraz powiązanie z nim hasło w przeszłości nie uległy upublicznieniu. Regularna zmiana haseł oraz ich odpowiednia złożoność może zabezpieczyć przed ich przejęciem oraz wykorzystaniem przez przestępców. Najważniejszą zasadą jest nieużywanie tego samego hasła do różnych portali, ponieważ w przypadku wycieku danych na jednym serwerze, atakujący uzyskują hasło, którym będą w stanie zalogować się na inne Państwa konta. Dodatkowo zachęcamy do zapoznania się z wydaniem biuletynu OUCH! “Spersonalizowane oszustwa” dostępnego na stronie https://www.cert.pl/ouch/, w którym jest opisywany ten rodzaj oszustwa. CERT Polska | CSIRT NASK”.
Informatyk radzi. Jak sprawdzić czy moje konto, adres e-mail oraz hasło nie wyciekło?
W Internecie pod adresem: https://haveibeenpwned.com istnieje serwis “have i been pwned?” zawierający informację o największych wyciekach baz danych ze sklepów, portali społecznościowych, forów itp. Za jego pomocą możemy sprawdzić, czy nasze konto (adres e-mail lub numer telefonu) nie wyciekło z jakiegoś z serwisów. Aby skorzystać z “have i been pwned?” wystarczy wpisać w formularz nasz adres mailowy lub numer telefonu i kliknąć przycisk: pwned?
Zwrotnie otrzymamy jedną z dwóch odpowiedzi:
- Good news — no pwnage found! – kiedy nasz adres e-mail lub numer telefonu nie znajduje się w żadnych wyciekach
- Oh no — pwned! – kiedy nasz adres lub numer telefonu znajduje się w wycieku wraz z informacją o jego źródle. Poniżej przedstawiłem trzy serwisy z których wyciekł sprawdzany przeze mnie adres.
Morele.net: In October 2018, the Polish e-commerce website Morele.net suffered a data breach. The incident exposed almost 2.5 million unique email addresses alongside phone numbers, names and passwords stored as md5crypt hashes.
Compromised data: Email addresses, Names, Passwords, Phone numbers
LinkedIn: In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.
Compromised data: Email addresses, Passwords
Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.
Compromised data: Email addresses, Password hints, Passwords, Usernames
Należy tu zwrócić uwagę, że z serwisów: Morele.net, LinkedIn oraz Adobe poza sprawdzonym przeze mnie adresem e-mail wyciekło między innymi również hasło. Osoba mająca dostęp do tych danych może sprawdzić czy adresem e-mail oraz hasłem jest w stanie zalogować się na nasze konto mailowe. Jeżeli stosowane przez użytkownika hasło do maila jest takie same jak do innych kont (w tym przypadku do LinkedIn, Morele.net lub Adobe) jest duże prawdopodobieństwo, że nasze konto e-mil zostało lub zostanie przejęte. Czym prędzej powinniśmy zatem zmienić nasze hasło, jeżeli nie zrobiliśmy tego od momentu wycieku danych.
Jak sprawdzić czy nasze konto zostało przejęte?
Poniżej opiszę kilka symptomów po których można spostrzec się, że konto zostało przejęte:
- Brak możliwości zalogowania się na konto mimo wpisywania poprawnego hasła – w tym przypadku istnieje ryzyko, że „przestępca” zmienił hasło na własne po zalogowaniu się
- Wiadomość od przestępcy z żądaniem okupu – możesz otrzymać wiadomość od przestępcy z zawierającą Twój login i hasło do poczty oraz żądanie okupu. Przestępcy (roboty) szantażują użytkowników, iż posiadają ich prywatne zdjęcia, dane itp. i grożą ich ujawnieniem w przypadku braku zapłaty okupu. W żadnym przypadku nie dokonuj takiej zapłaty. Najczęściej takie wiadomości rozsyłają roboty, które wpierw sprawdzają czy adres e-mail i hasło pasuje do konta, a następnie masowo wysyłają takie wiadomości.
- Zaczynasz otrzymywać wiadomości typu: „Undelivered Mail Returned to Sender” wysyłane niby z Twojego konta e-mail na inne nieznane Tobie adresy. Oznacza to, że prawdopodobnie ktoś wykorzystując Twój adres e-mail oraz hasło rozsyła SPAM.
- Dostawca Twojej poczty informuje Ciebie o podejrzanych logowaniach na Twoje konto. Tutaj warto poprosić dostawcę o przesłanie adresów IP z których nastąpiło logowanie na konto (jeżeli wcześniej już tego Tobie nie przysłał). Posiadając taki adres warto sprawdzić z jakiego kraju nastąpiło logowanie.
W każdym z powyższych przypadków zmień hasło!
Jak na podstawie adresu IP sprawdzić skąd nastąpiło logowanie na konto?
Załóżmy, że dostawca Twojej poczty przesłał poniższą listę adresów IP, z których nastąpiło logowanie na Twoje konto e-mail oraz przebywałeś/przebywasz na terytorium Polski i nie korzystasz przy połączeniu z Internetem z VPN.
Lista adresów IP od dostawcy poczty:
188.33.240.199
188.33.233.156
88.120.162.117
95.178.152.69
Sprawdźmy zatem do kogo należą te adresy. Możemy tego dokonać np. poprzez stronę: https://www.whatismyip.com/ip-whois-lookup wklejając w formularzu adres IP z listy i klikając Lookup.
To co m.in. otrzymaliśmy dla każdego z adresów:
188.33.240.199 – descr: Playonline, descr: P4 Sp. z o.o., country: PL
188.33.233.156 – descr: Playonline, descr: P4 Sp. z o.o., country: PL
88.120.162.117 – descr: Broadband Pool, country: FR
95.178.152.69 – descr: OT – Optima Telekom d.d., descr: Bani 75a, Buzin, descr: 10010 Zagreb, country: HR
Jako, że dla przykładu korzystam z Internetu firmy Play dwa pierwsze adresy: 188.33.240.199 i 188.33.233.156 wydają się być prawidłowe. Na uwagę zasługują dwa pozostałe: 88.120.162.117 – Broadband Pool z Francji oraz Optima Telekom z Chorwacji. Oznacza to, że albo przestępcy znajdowali się we Francji i Chorwacji, albo do połączeń z naszym kontem pocztowym wykorzystywali VPN.
Oczywiście istnieje też możliwość, że przestępca łączył się z adresu należącego do tego samego operatora co ja, jednak to jest rzadkością. Przestępcy używają najczęściej VPN bądź łączą się z zagranicy w celu trudniejszego ich namierzenia.
Odzyskaj konto, zmień hasło czyli dlaczego odzyskanie konta mailowego jest tak ważne?
Bardzo często konto mailowe jest powiązane z innymi kontami, np. w mediach społecznościowych, portalach, forach itp. Przestępca mając dostęp do Twojego konta mailowego może przejąć pozostałe konta, nawet jeżeli zastosowałeś w nich inne hasła. Dzieje się tak dlatego, iż konto mailowe wykorzystuje się przeważnie do odzyskania dostępu do innych serwisów. Zatem możesz je wykorzystać do zmiany haseł na innych stronach. To do jakich stron używaliśmy naszego adresu e-mail jako dostępu można łatwo sprawdzić. Mając dostęp do skrzynki mailowej wystarczy tylko przejrzeć historię wiadomości.
Damian Jeliński (Pogotowie Komputerowe DAPRO – Informatyk Poznań)
Nasz komentarz
Sytuacja powyższa wskazuje, że po pierwsze należy zmieniać regularnie hasła dostępu, a po wtóre – mieć różne hasło do logowania do różnych stron. Jest to kłopotliwe, ale może zabezpieczyć przed jeszcze większymi problemami.
(wal, pewu)
Konsultacja merytoryczna:
https://www.poznan-informatyk.pl
DAPRO Pogotowie Komputerowe/ Odzyskiwanie Danych
Źródło grafiki: <a href=’https://pngtree.com/so/hacker’>hacker png from pngtree.com/</a>