Phishing odwraca reguły gry: To ofiary inicjują kontakt, a cyberprzestępcy podszywają się pod normalne firmy

Przeczytaj także: Phishing: cyberprzestępcy wabią na znane domeny

Eksperci Check Point Research ostrzegają przed jedną z najbardziej wyrafinowanych kampanii phishingowych ostatnich lat. Atak o nazwie ZipLine pokazuje, że cyberprzestępcy są gotowi całkowicie zmieniać schematy działania, aby obejść zabezpieczenia i zdobyć zaufanie ofiar. Tym razem nie wysyłają masowych wiadomości e-mail, lecz sami inicjują kontakt poprzez formularze „Contact Us” na firmowych stronach. To ofiara odpowiada jako pierwsza, a dalsza korespondencja przypomina profesjonalną wymianę biznesową. Dopiero po kilku dniach czy tygodniach cierpliwej gry przesyłają spreparowany plik ZIP.

W archiwum kryje się implant MixShell, działający w całości w pamięci komputera. Dzięki temu tradycyjne programy antywirusowe mają problem z jego wykryciem. MixShell wykorzystuje tunelowanie DNS oraz protokoły HTTP do utrzymywania stałego kontaktu z serwerami przestępców, umożliwia wykonywanie poleceń na odległość, a także tworzy ukryte kanały dostępu do firmowej infrastruktury. W efekcie cyberprzestępcy mogą kraść dane, blokować systemy, przygotowywać grunt pod szantaż ransomware czy wnikanie głębiej w łańcuch dostaw.

Co więcej, badacze Check Pointa opisali również drugą falę kampanii ZipLine, w której oszuści wykorzystali popularny dziś temat sztucznej inteligencji. Do pracowników trafiały maile podszywające się pod wewnętrzne „AI Impact Assessments”, fałszywe ankiety dotyczące wpływu AI na procesy biznesowe. Choć w próbkach nie zawsze udało się odzyskać złośliwe pliki, analiza infrastruktury wskazuje, że atak prawdopodobnie przebiegał według tego samego schematu: wiarygodna komunikacja, a następnie zainfekowany ZIP i uruchomienie MixShella.

Skala zagrożenia jest ogromna, zwłaszcza w kontekście firm produkcyjnych i sektorów krytycznych. Kradzież własności intelektualnej czy wyłudzenia finansowe mogą prowadzić do strat liczonych w milionach, a zakłócenia w łańcuchach dostaw do poważnych reperkusji dla całych branż. Eksperci podkreślają, że klasyczne mechanizmy obrony oparte wyłącznie na reputacji nadawcy czy filtrowaniu masowych kampanii są dziś niewystarczające.

Phishing w Polsce

Choć ZipLine uderzał głównie w amerykański przemysł, scenariusz takiego ataku bez trudu może zostać przeniesiony na polski grunt. Dane CERT Polska pokazują, że phishing od lat jest najczęściej zgłaszanym incydentem w kraju – w 2024 roku stanowił aż 94,7% wszystkich zgłoszeń, a dominowały podszycia pod popularne serwisy OLX, Allegro czy Facebook. CSIRT KNF w tym samym czasie zidentyfikował ponad 51 tysięcy domen phishingowych, z czego blisko 90% związanych było z fałszywymi inwestycjami. Już w 2023 roku aż dwie trzecie polskich firm przyznało, że doświadczyło naruszeń bezpieczeństwa związanych m.in. z phishingiem.

Atak ZipLine to jasny sygnał ostrzegawczy. Pokazuje, że phishing nie musi wyglądać jak tandetny e-mail z błędami językowymi, ale może przyjąć formę wielotygodniowej, profesjonalnej komunikacji. Każdy formularz kontaktowy, każda wiadomość od potencjalnego kontrahenta może stać się początkiem zorganizowanego cyberataku. W Polsce, gdzie phishing osiąga rekordową skalę, podobne scenariusze wydają się kwestią czasu.