11:07
28/10/2022

Ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej. Komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości. Atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji. Osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium. Problem w tym, że podane konto bankowe należało do złodzieja…

O atakach na komorników poinformowała wczoraj Krajowa Rada Komornicza w wiadomości wysłanej do kancelarii:

W ciągu ostatniej doby zidentyfikowaliśmy cyberprzestępstwa w postaci ataków informatycznych na komorników sądowych i prób wyłudzania dostępu do naszych profili w portalach e-licytacje i obwieszczenia o licytacjach, a następnie – do publikowania podrobionych albo przerobionych obwieszczeń o licytacjach. W treści takich obwieszczeń pojawiły się numery rachunków bankowych nienależących do kancelarii komorniczych…
(…)
Krajowa Rada Komornicza zawiadomiła o zdarzeniach organy ścigania oraz podjęła działania mające na celu zablokowanie rachunków bankowych przestępców.

Jak udało nam się ustalić, fałszywy e-mail, który otrzymali komornicy zawierał link do domeny:

komornik-id[.]pl

Domena ta została założona 23 października, w trakcie ataku była schowana za Cloudflare i podszywała się pod serwis Krajowej Rady Komorniczej.

Wedle naszych źródeł, fałszywą wiadomość skierowano do kilkuset komorników. Atak wykryto 24 października. Krajowa Rada Komornicza poinformowała o nim komorników tego dnia. Dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia.

Przesłaliśmy do KRK nastepujące pytania i zaktualizujemy artykuł, kiedy otrzymamy na nie odpowiedzi:

    1. Do ilu komorników przesłano e-maila, który wyłudzał ich dane dostępowe do serwisów KRK?
    2. Ile kont komorników zostało przejętych w wyniku tego ataku?
    3. Ile fałszywych obwieszczeń udało się opublikować atakującemu i co było ich przedmiotem?
    4. Ile osób wpłaciło pieniądze złodziejowi?
    5. Czy KRK poinformuje na swoim serwisie, które z licytacji były fałszywe, aby ich uczestnicy dowiedzieli się, że zostali oszukani?
    6. Do jakich informacji ma dostęp osoba, która loguje się na konto komornika w systemach e-licytacje? Czy są wśród nich dane osobowe? Jeśli tak, to czyje?
    7. W jaki sposób KRK dowiedziała się o tym ataku?
Aktualizacja: Odpowiedzi od KRK jeszcze nie mamy, ale od osoby związanej z KRK dowiedzieliśmy się właśnie, że “komorników informowano zaraz po ataku”, a więc niektórzy mogli się o nim dowiedzieć wcześniej niż z e-maila wysłanego 27 października. W związku z tym doprecyzowaliśmy zdanie w poprzednim akapicie. Wiemy, że KRK przygotowuje odpowiedzi na nasze pytania i wkrótce je otrzymamy, a wtedy zaktualizujemy ten akapit.

Kto ucierpiał?

W tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja. Te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji. Czy przystępujący do licytacji swoje pieniądze odzyskają? To zależy od tego, czy bankom udało się zatrzymać przelewy na czas.

Nie można wykluczyć, że włamywacz wykorzystał wyłudzone hasła także do innych celów niż tylko podstawienie fałszywych licytacji. Komornicy z którymi rozmawialiśmy poinformowali nas, że:

  • po zalogowaniu na konto komornika, ktoś mógł pozyskać także pewne zestawy danych, które nie są publicznie dostępne i mogą ułatwić dalsze ataki,
  • wielu komorników korzysta z tych samych haseł do różnych usług, a konta w serwisach internetowych niezwiązanych z pracą zakłada na służbowy adres e-mail, ponieważ jest to ich jedyna skrzynka, z jakiej korzystają… (czyt. nie wszyscy komornicy są “mocno komputerowi”)

 

Aktualizacja (28.10.2022 14:49)
Otrzymaliśmy od KRK dodatkowe informacje. Samorząd KRK poinformował nas, że “strona licytacje.komornik.pl jest bezpieczna i żadne dane osobowe nie trafiły do osób nieuprawnionych”. Zastępca Rzecznika Prasowego, Pan Przemysław Małecki przekazał nam także, iż:

Doszło (…) do nieuprawnionego użycia hasła w dwóch przypadkach i podszycia się pod kancelarię komorniczą. Na portalu licytacyjnym zostało zamieszczone obwieszczenie o fałszywej licytacji, którego celem było wyłudzenie od osób trzecich środków finansowych z tytułu wpłat na poczet rzekomych rękojmi. Dane do logowania zostały wykradzione poprzez tak zwany „atak phishingowy”. Co ważne, za pomocą tych danych można było jedynie dokonać zamieszczenia obwieszczenia, nie pozwalają one natomiast na dostęp do danych z innych licytacji. Według najbardziej aktualnych ustaleń, poszkodowanych jest kilka osób, z którymi Krajowa Rada Komornicza jest już w kontakcie.

Krajowa Rada Komornicza podjęła też działania mające na celu zabezpieczenie (blokadę) środków wpłaconych przez osoby pokrzywdzone przestępstwem na rachunek bankowy wskazany przez oszustów. KRK analizuje ten incydent i stara się podejmować dalsze działania, które mają pomóc osobom pokrzywdzonym.

\nAktualizacja (02.11.2022 15:30)
Udało nam się pozyskać screenshot jednej z fałszywych licytacji. Jeszcze przed tym jak ją usunięto, ale już po tym, kiedy odkryto atak:

Jestem komornikiem — co robić, jak żyć?

Po pierwsze, zgodnie z zaleceniem KRK, na wszelki wypadek zmień hasła, nie tylko w serwisach KRK, ale w każdym innym, w którym miałeś podobne. I włącz dwuskładnikowe logowanie, w serwisach KRK i każdym inny, który na to pozwala. To naprawdę pomoże ochronić Twoje konto przed kilkoma atakami. Ale niestety, nie wszystkimi…

Dlatego, jeśli chcesz na serio zabezpieczyć swoje konta internetowe przed atakami phishingowymi, to odżałuj 160zł i kup sobie najprostszy klucz U2F. Tak, to ten sam klucz, który po ataku na skrzynkę Dworczyka rząd kupił wszystkim posłom…

Na poniższym filmiku pokazaliśmy jak skonfigurować go w krytycznych serwisach: na koncie pocztowym, na Facebooku, na Twitterze i na innych istotnych dla Ciebie miejscach. Klucz U2F to naprawdę przydatne zabezpieczenie, bo zadziała i ochroni Cię, nawet jeśli w przyszłości dasz się podejść i wprowadzisz swoje hasło na fałszywej stronie. Innymi słowy, nawet jeśli ktoś Cię zhackuje, ty pozostaniesz niezhackowany :) Zobacz ten krótki film, który w przystępny sposób wyjaśnia jak działa taki klucz:

Niestety, phishing, to tylko jeden z ataków, którym jako komornik możesz oberwać. Zagrożeń, które czyhają na Ciebie i pracowników Twojej kancelarii jest więcej. Warto poznać je wszystkie i przeszkolić zespół swojej kancelarii komorniczej. Możesz to zrobić na dwa sposoby:

    1. oglądając gotowy zestaw filmików, które przygotowaliśmy dla osób nietechnicznych. W ramach kilku modułów pokazujemy najpopularniejsze w polskim internecie ataki na osoby pracujące “z internetem” i tłumaczymy jak skutecznie takie ataki wykryć i jak się przed nimi chronić. Ten materiał widziało już wielu komorników i mocno sobie go chwalą. Dostęp do tego internetowego szkolenia o nazwie Cyberbezpieczeństwo Dla Firm uzyskasz tutaj.

    2. na żywo, zapraszając jednego z naszych trenerów do swojej kancelarii (lub na Waszą imprezę integracyjną gdziekolwiek). Wtedy nie tylko Was przeszkolimy, ale i także zaatakujemy i jeszcze w trakcie spotkania pokażemy, jak można wykraść Wasze sekrety. Oczywiście w kontrolowany sposób :-) Jeśli interesuje Cię taki wariant, napisz na adres komornik@niebezpiecznik.pl lub zadzwoń pod 12 44-202-44


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. CERT był zajęty odcinaniem “Niebezpiecznego” Huberta. Nie mógł zareagować :)

  2. Ależ jestem ciekaw kto będzie “stratny”. Przecież wpłacający numer konta pobrał z oficjalnej strony, więc nie jest winien – czy będzie żądał zwrotu i czy kancelaria komornicza mu odda? Niezły plan, kwoty wadium na zakup mieszkań idą w dziesiątki – setki tysięcy.

    • Właściciele stron internetowych, na których widnieją numery kont powinny dołożyć wszelkiej staranności aby numery kont były zawsze aktualne. Pytanie czy dołożyli?
      Z kolei wpłacający pieniądze na numer konta ze strony internetowej powinien mieć ograniczone zaufanie do takiej informacji ze względu na ilość oszust w internecie. Dobrą praktyką jest potwierdzenie numeru rachunku przed zrobieniem przelewu. Ci którzy chwycili za telefon nie są stratni.

  3. jakoś mi ich nie żal :)

    • Stratni na tym będą komornicy, bo rząd walczy z nimi – po co zmuszać ludzi do płacenia długów, przecież wiadomo, że zdrowa gospodarka opiera się na nie płaceniu zobowiązań, co?. Ich status zawodowy jest jak połączenie architekta wnętrz z policjantem – większość ciuła za to co mogliby zarobić w kasie w lidlu po kilku latach stażu (kilku jest znanych bo są “ze starego nadania”), a są mniej lubiani niż policjanci czy księża.

    • @Greg, widac, ze nigdy nie miales doczynienia z komornikiem (albo jestes jednym z nich i starasz sie wybielic). Gnidy te (komornicy) chwala sie, ze niby dzieki nim samotne matki moga odzyskac pieniadze z alimentow ale prawda jest taka, ze wiekszosc odzyskanych przez nich pieniedzy idzie na pokrycie ich kosztow (czytaj bardzo drogich kancelarii). Mialem zlicytowany samochod i dzialke, “dziwnym trafem” obwieszczenie o licytacji pojawialo sie na dwa dni prze licytacja. Rzeczoznawcy bardzo mocno zanizali wartosc a ludzie chcacy kupic nieruchomosci ostatecznie ich nawet nie probowali licytowac bo podczas ogledzin byli zaczepiani przez roznych dziwnych typow, ktorzy mowili im, ze to strata kasy i jak tylko zalicytuja to ktos przebije ich oferte i straca wadium. Ostatecznie moje nieruchomosci sprzedawane zostaly w 2 licytacji za okolo 60% (i tak zanizonej) wartosci…
      Mnie ich nie szkoda, to ludzie, ktorzy od dawna czuja sie totalnie bezkarni i wykorzystuja swoja wladze.

    • Ale jajca-zlodzieje okradli złodziei. Armagedon.

    • @Greg kolega chyba ma na myśli “asesorów komorniczych”, nie komorników. Komornicy aż toną w pieniądzach – wystarczy sobie sprawdzić ich publiczne oświadczenie o majątku. Zegarki za 20k PLN, nowe Mercedesy, kilka nieruchomości… Nie ma gorszego sępa w naszej gospodarce od komornika sądowego. Żerują na dłużnikach a całą robotę odwalają za nich właśnie wspomniani underpaid asesorzy. ;)

  4. Kompletnie nie rozumiem. Co ma dać 2FA jak factor jest phishowalny i przestępcy implememtują dodajac jedno okienko więcej i działając real time? Czas w końcu na poziomie krajowym zacząć wspierać klucze u2f zamiast kartonowych rozwiązań.

  5. Kiedy w końcu wprowadzą przepisy wymagające 2FA w każdym serwisie przetwarzającym nasze dane. Oczywiście najlepiej w formie U2F, ale z racji, że obecnie nie ma w wielu miejscach żadnego 2FA to zadowoliłoby mnie nawet dodanie chociażby kodów email / kodów generowanych przez np authy. Przykładowo taki ZUS który ma wszystkie nasze dane dalej nie stosuje żadnej formy 2FA.

    • Niby po co skoro strona była “zabezpieczona przez SSL” ?

      A odkładając żarty na bok – dlaczego właściwie 2FA a nie np. TOTP?

  6. Pewnie jakiś wkur… który był męczony przez kastę komorniczą. Nic tylko ,pogratulować inwencji.

  7. Komornik nie będzie wydawał 160zł na żadne zabezpieczenie, bo on nic nie straci. Zawsze traci obywatel, a komornik nawet jak coś źle zrobi to za to nieodpowiada.

  8. Złodziej i okradali sprawni młodzi ludzie których rodzice mieli dobra i szlachetne życzenie dajcie im popalic.?????

    Jak można być chytrm w tak skomplikowanym środowisku chodzi o intrernet gdy dysponuje się poterznymi pieniędzmi ale nie głową na karku teraz będą płacić ze swojego kąta prywatnego należy to Przy pilnować bo ich bez uczuciowe decyzje muszą się im odbić czkawka .Urzędnik zawinił to powinien ponieść kare od kogosc trzeba zacząć. A sędziowie chyba im nie pomogą????.

    • W jakim ty języku piszesz? Bo składnikowo nic z tego nie rozumiem

  9. Brawo, wspaniała robota. Załatwcie jeszcze te złodziejski firmy windykacyjne.
    Tak trzymać, pozdrawiam serdecznie

  10. “Jestem komornikiem – co robić? jak żyć? ” hahaha

  11. Zlodziej zlodzieja ‘oskubał*. Sami swoi. Dla forsiastego komorasa kilka setek w tą czy w tamta nie stanowi roznicy. Ubezpieczenie pokryje . Nie zal m ich ani troche. No, moze jeden z drugim zbiednieje o paczkę wacikòw. Z jednym zastrzezenien : od moich pieniedzy – wara! Oskubali ? Butelki zbierac a nie ludzi bez srodkow do zycia zostawiac “w majestacie prawa”.

  12. Odbiegamy od tematu psiocząc na komorników, ale weźcie pod uwagę, że komornik kogoś reprezentuje, dla kogoś windykuje pieniądze.
    Firma w której kiedyś pracowałem miała duże problemy finansowe w związku z zaległościami od odbiorców i niemożliwością windykacji komorniczej, no ale to komornika stawiano w złym świetle, bo zablokował konta “biedakom”, którzy w porę wyprowadzili kasę z kont. Szef miał duże problemy, żeby US nie windykował go z VATu za wystawione faktury.

Odpowiadasz na komentarz M

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: