ProtonMail varnar för nätfiskeattacker som möjligen är kopplade till Ryssland

ProtonMail, en populär krypterad e-postleverantör, varnar för en ny phishing-attack mot kundkonton som kan komma från ryska statssponserade hackare.

Attacken försökte bryta sig in på ProtonMail-konton som tillhör journalister på Bellingcat, ett utredande nyhetsuttag. Hackarna skickade falska e-postmeddelanden som låtsades vara ProtonMails supportteam, som bad mottagarna ange sina inloggningsuppgifter.

Lyckligtvis misslyckades attacken. Nätfiske-systemet understryker dock hur ett ProtonMail-konto kan vara sårbart för intrång trots användning av slut-till-slut-kryptering. “Endast ägaren av postlådan har förmågan att dekryptera postlådan. Följaktligen är det mest praktiska sättet att få e-postdata från en ProtonMail-användares inkorg genom att kompromissa med användaren”, sa ProtonMail i ett blogginlägg om händelsen.

ProtonMail Pishing

Säkerhetsföretaget ThreatConnect analyserade phishing-e-postmeddelandena och sa att hackarna försökte lura offren att lämna in sina inloggningsuppgifter genom att hävda att deras “integritet kan ha äventyrats.” Samma e-postmeddelande innehöll en länk för att ändra användarens lösenord och generera nya krypteringsnycklar. Men i verkligheten ledde länken till skadliga webbplatser på “mail.protonmail.sh/password” och “mailprotonmail.ch”, som faktiskt var under hackarnas kontroll.

ProtonMail och ThreatConnect avslöjade några bevis för att taktiken som används i phishing-scheman matchar dem som tillhör Fancy Bear, den ryska statssponserade hackinggruppen som anklagades för att ha hackat in i Demokratiska nationella kommittén 2016. Men inget av företagen kan med säkerhet säga att Kreml låg bakom attack eftersom bevisen inte var avgörande.

Med det sagt har Bellingcat avvärjt flera hackningsförsök genom åren, vilket det har skyltat på Kreml. “Ännu en gång befinner sig Bellingcat i riktning mot cyberattacker, nästan säkert kopplat till vårt arbete med Ryssland”, twittrade publikationens grundare Eliot Higgins förra veckan. “Jag antar att ett sätt att mäta vår inverkan är hur ofta agenter i Ryska federationen försöker attackera det, vare sig det är hackare, troll eller media.

“Den här kampanjen verkar ha riktat in sig på ett mycket litet antal människor, i låga tiotal,” tillade han.

Som svar på attacken kontaktade ProtonMail webbhotell och domänregistratorer för att stänga av alla domäner som används i nätfiske. Det schweiziska företaget säger också att officiella ProtonMail-meddelanden kommer att anges tydligt med en stjärna i ProtonMail-inkorgen. “Det finns inget sätt för en angripare att förfalska detta. Det betyder att det alltid är möjligt att berätta omedelbart om ett e-postmeddelande är falskt eller inte”, tillade det.

Företaget har också blogginlägg som beskriver åtgärder för att förhindra nätfiskeattacker med ett ProtonMail-konto. Att aktivera tvåfaktorautentisering är också en bra idé.

Relaterade Artiklar

Back to top button