Mrtvé schránky @seznam.cz ožily

V úterý jsem byl z několika nezávislých zdrojů informován, že se děje něco zajímavého se schránkami na doméně @seznam.cz. Některé, třeba i dlouho „mrtvé“, začaly odpovídat…

V mém případě jsem dostal odpověď na e-mail, který jsem opravdu zaslal přibližně před rokem. Jiný zdroj informuje, že mu byla zaslána odpověď na hromadný e-mail, který zaslal z firmy začátkem tohoto roku. Oba i další případy mají jedno společné a to je to, co se nachází v odpovědi. Jde o odkaz na údajnou prezentaci (Check out my presention) a heslo (Password for archive) do rozbalení archivu typu ZIP.

Ve skutečnosti se o žádnou prezentaci nejedná. V ZIP souboru se nachází „spustitelný“ soubor s příponou VBS. Ač jde tedy o skript v programovém jazyce Visual Basic, který je za normálních okolností čitelný, zde je použita silná „obfuskace“, takže i znalejší člověk nemá pohledem do kódu potuchy, oč jde. Tak proč to nespustit a nevyzkoušet 🙂

Každopádně tohle maskování nesvědčí o ničem legitimním, což potvrzuje i další analýza (děkuji ESETu za rychlou analýzu), kdy z toho ve výsledku vypadne havěť z rodiny Win32/Spy.Ursnif. Tedy něco, co krade informace.

A jak k tomu došlo?

Mám za to, že schránka smrzova.kristyna@seznam.cz (viditelná na prvním obrázku a v tuto chvíli již zablokovaná), dávno nepatřila svému majiteli, tedy Kristýně. Přístupy ke schránce získali útočníci a z pohledu Kristýny se tak jednalo o krádež identity, kterou ale nikdo aktivně neřešil. V podstatě podobná situace, jako když Vám někdo ukradne občanku a někde ji pak zneužije k podpisu smluv či půjček. A vy tuto krádež nenahlásíte.

A jak se útočníci k heslům dostali? Hodně může napovědět služba „Have I Been Pwned?“ na adrese https://haveibeenpwned.com/. Pokud tam zadáte svojí e-mailovou adresu, dozvíte se, zda v minulosti nefigurovala u nějakého úniku hesel. Pokud tam zadáte onu Kristýnu, zjistíte, že se několika takových úniků „účastnila“. Mezi nimi například i úniku hesel z eshopu MALL.CZ z roku 2017. To by nemusel být problém, pokud pro každou internetovou službu (třeba i ten MALL.CZ) používáte jiné heslo. Nicméně kdo toto pravidlo dodržuje? Pokud máte stejné heslo na eshopy (mall.cz, …) a též do poštovní schránky (třeba zrovna té na seznam.cz), stačí útočníkům málo. Prostě ta hesla ve spojitosti s e-mailovou adresou zkusí použít i na jiných službách!

Můžeme se tak domnívat, že útočníci tuhle činnost v minulosti provedli ve velkém a získali přístup k řadě schránek na doméně seznam.cz. Z nich pak stáhli doručenou poštu a na vybrané e-maily odpověděli s onou fiktivní prezentací. Jedna z takových vln prokazatelně proběhla zrovna toto úterý.

Jak se bránit?

• Používat pro každou službu na internetu odlišné heslo (a silné). Jelikož není v lidských silách si takové množství hesel pamatovat, není od věci použít správce hesel. Pak je to hračka. Více o celé problematice hesel například v knize o virech.
• Zapnout si dvoufázové ověření (2FA) všude kde to jde (Facebook, Gmail, Seznam, …). Pokud máte schránku na seznamu a nechcete dopadnout jako Kristýna, pak naleznete postup zapnutí dvoufázového ověření zde: https://login.szn.cz/tfa-promo. Dvoufázové ověření zajistí, že pokud by se přeci jenom útočník snažil dostat do Vaší schránky (třeba i s heslem, které používáte všude jinde), dokud mu to nesvolíte z mobilního telefonu, nikdy se tam nedostane. Možná trochu lepší výklad 2FA: prostě musíte určit, zda ten, kdo se zrovna do seznamu přihlašuje, jste opravdu vy či ne. Není to nic složitého, ani zdržujícího. Vřele doporučuji. Více opět v knize o virech.