GoPhish: Lengyel célpontok
A Hunt.io jelentése szerint egy ismeretlen fenyegető csoport a GoPhish nevű nyílt forráskódú adathalász keretrendszert használta fel arra, hogy lengyel kormányzati és energetikai szervezeteket célozzon meg. A támadók olyan domainneveket regisztráltak, amelyek hasonlítanak a valódi lengyel kormányzati és energetikai szervezetek domainjeire, például az “uregov.pl” domaint, amely a Lengyel Energiaügyi Szabályozó Hivatalt (URE) hivatott utánozni. Ezek a domainnevek egy Microsoft által üzemeltetett hollandiai IP-címre (40.67.208.154) mutattak, ahol a GoPhish adminisztrációs panelje volt elérhető a 3333-as porton. Bár a vizsgálat idején az infrastruktúra már nem szolgált ki adathalász tartalmakat, konfigurációja és tematikus fókusza arra utal, hogy a támadók szektorspecifikus hitelesítő adatok gyűjtésére készültek.
A támadás során alkalmazott taktikák és technikák közé tartozik a megtévesztő domainnevek regisztrálása, amelyek célja a legitim szervezetekkel való összetévesztés, valamint a GoPhish keretrendszer használata az adathalász kampányok lebonyolítására. A GoPhish egy nyílt forráskódú eszköz, amelyet eredetileg biztonsági tesztelésre fejlesztettek ki, de a támadók is előszeretettel használják rugalmassága és könnyű kezelhetősége miatt.
A védekezés érdekében a szervezeteknek érdemes figyelniük az olyan domainneveket, amelyek hasonlítanak a sajátjukra, de kisebb eltéréseket tartalmaznak, valamint monitorozniuk kell az ismeretlen IP-címekről érkező forgalmat. Emellett fontos a munkavállalók folyamatos oktatása az adathalász támadások felismerésére és elkerülésére.
