Kauza: Mobily zdarma od poskytovatele internetu
Během jara 2020 Českem prolétla vlna mobilní telefonů zdarma. Ne, opravdu nikdo mobily zdarma nerozdával. Šlo o propracovanou phishingovou kampaň, která nabízela jménem ISP mobily zdarma.
Kampaň poškodila reputaci malých i velkých internet providerů
Kampaň postihla řadu důvěřivců. Vypadala věrohodně, protože zneužívala jméno vlastního poskytovatele internetu. A to bez výjimky. Zasáhla malé i velké internetové providery, kteří se na nás obraceli s podobnými reakcemi:6.4.2020: “Zajímalo by mě - blokujete i tento aktuální hype? Postihuje to i zákazníky v naší síti, uživatele to odkazuje na doménu visitorrecord(.)xyz…”Očekávali jsme druhou vlnu a byli na ni připraveni. Ta přišla první červnový týden:8.6.2020:“Od včerejšího dne čelíme phishingovému útoku na naši firmu, kdy se našim zákazníkům zobrazují webové stránky s informací, že k výročí naší firmy rozdáváme mobilní telefony...Tyto domény mají jedno společné, mají doménu prvního řádu *.xyz.”A takto se například zobrazoval mobilní "dárek" zákazníkům T-mobile:
Informace o probíhajících útocích oblétly český internet. Informovaly o nich i mainstreamová média, například Novinky.cz: "S mobily zadarmo se roztrhl pytel. Podvodníci se vydávají i za operátory". Koncoví zákazníci připojení k internetu byli ve složité situaci. Důvěryhodný poskytovatel internetu jim nabízí něco zadarmo. Mnoho zákazníků nabídce uvěřilo a zaslali požadované prémiové SMS. Při uvědomění si situace nezřídka nespokojenost dopadla právě na poskytovatele připojení.
Whalebone proti podobným útokům zákazníky i poskytovatele chrání
Obě vlny měly jedno společné: bezpečnostní feedy tyto stránky nepostihly včas. Pokud bychom spoléhali jen na takovéto zdroje, nebyli bychom v obraně proti těmto útokům příliš úspěšní.Whalebone však využívá vlastní výzkum a díky tomu jsme obě dosavadní vlny postihli rychle. Po prvním výskytu naše algoritmy a analytici vše vyhodnotili, a tak již v době vypuknutí plného rozsahu útoků Whalebone blokoval příslušné domény zneužívané k útoku. Ve druhé vlně jsme pak již 7.6. v podvečerních hodinách měli v databázi přes 60 nových unikátních kompromitovaných domén, které se v globálních bezpečnostních zdrojích objevily s citelným zpožděním.Díky spolupráci přímo s poskytovateli a naší analytické činnosti na podobné kampaně průběžně nastavujeme maximální možnou automatizaci, což nám pomáhá na nové infekce reagovat v řádu minut.
Co můžete jako poskytovatel nebo připojený zákazník udělat?
Pokud se na internetu setkáte s něčím podobným podezřelým, dejte nám o tom vědět. Tyto uživatelské podněty jsou pro nás jedním z cenných zdrojů informací. Každým se proto důsledně zabýváme a pokud se po důkladném vyhodnocení potvrdí, že jde o relevantní hrozbu, zařazujeme ji do naší globální blokace.