Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na útočníka, který se vydává za společnosti Amazon, Microsoft nebo české instituce. V Česku úřad zatím zaznamenal desítky případů, uvedl to dnes na webu. Cílem mají být zřejmě vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů. Kybernetický úřad doporučil sadu kroků, které mohou zamezit případné kompromitaci. Jde například o blokaci souborů .rdp v e-mailové službě.

NÚKIB obdržel informace od partnerů o aktivní phishingové kampani neznámého útočníka ve středu. „Útoky byly potvrzeny v několika partnerských zemích, včetně vyšších desítek případů v České republice, přičemž celkový rozsah a objem útoků může nadále růst,“ uvedl úřad. Phishing je typem internetového podvodu, jehož cílem je získávání citlivých údajů.

Útočník se vydává za společnosti Amazon, Microsoft a vládní kyberbezpečnostní instituce v napadených zemích. Podle ukrajinské agentury pro kybernetickou bezpečnost CERT-UA mají být cílem vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů. Seznam českých škodlivých domén obsahuje ale i ministerstva, vládu, státní úřady i Policii ČR.

Útočník zneužívá identitu i českých vládních institucí, včetně NÚKIB.  Škodlivé domény se objevují ve formátu nukib-gov[.]cloud.

Phishingový útok spočívá v zaslání e-mailu s tematikou nastavení služby pro sdílení dat a vzdálené správy společnosti Amazon. Text se taktéž odkazuje na zavedení politiky nulové důvěry. Příloha s různými názvy, vždy však ve formátu .rdp (Remote Desktop Protocol), vede uživatele skrze dialogové okno ke spuštění vzdálené správy mezi jeho zařízením a infrastrukturou útočníka. V dialogovém oknu je pro zvýšení důvěry uvedena škodlivá doména zneužívající názvy vládních institucí v napadené zemi. Potvrzení vzdálené správy umožní útočníkům přístup k souborům a síťovým zařízením oběti, potenciálně i možnost spouštět programy třetích stran a vlastních skriptů útočníků.

NÚKIB doporučil sadu kroků, které mohou zamezit případné kompromitaci. Jde například o blokaci souborů .rdp v e-mailové službě; omezení práv uživatelů spouštět .rdp soubory či nastavení firewallu k omezení možnosti programu mstsc.exe navazovat vzdálený přístup

V případě podezření na kompromitaci či záchyt škodlivého e-mailu mají dotyční kontaktovat bezpečnostní tým své instituce, případně i přímo NÚKIB na adrese cert.incident@nukib.gov.cz.

Podle loňské zprávy Check Point Research patří značka technologického gigantu Microsoft mezi nejčastější, které kyberzločinci napodobují při pokusech o krádeže osobních dat nebo platebních údajů. V loňském žebříčku byl Microsoft druhou nejnapodobovanější značkou, první byla americká maloobchodní korporace Walmart. Amazon byl na pátém místě.