8:54
9/2/2023

Typ ataku: phishing (e-mail)
Zagrożenie: Przejęcie kont
Użyte marki: Onet

Na skrzynki Polaków rozsyłana jest aktualnie wiadomość podszywająca się pod administrację Onet Poczty:

Od 10.02.2023 r. Onet Mail nie będzie już korzystać z aplikacji innych firm (takich jak poczta e-mail, kalendarz lub aplikacje innych firm) przy użyciu wygasłych metod logowania. Innymi słowy, niedawno zmieniliśmy nasze warunki korzystania z usługi i zamkniemy wszystkie adresy e-mail korzystające z naszych starych usług. Oznacza to po prostu, że Twoje konto e-mail zostanie wyłączone po 10.02.2023. Jeśli chcesz nadal korzystać z naszych usług e-mail, zaakceptuj nasze nowe warunki, aby uniknąć zamknięcia poczty.Zalecamy rozpoczęcie procesu od przeczytania poniższej instrukcji: LINK: NOWE WARUNKI Jeśli dokonałeś już niezbędnych zmian na swoim koncie, doceniamy szybkie działanie! Z wyrazami szacunku, Grupa Onet.pl S.A.

W treści zawarty jest link, a pod nim kryje się wyłudzający dane logowania formularz:

Dostałem tego maila, czy moje dane wyciekły?

Nie, ta wiadomość jest wysyłana masowo do użytkowników Poczty Onetu. Wasze adresy zapewne zostały zebrane z różnych miejsc w sieci.

Kliknąłem w tego linka, czy zhackowali mi konto?

Samo kliknięcie w linka nie powoduje szkód. Ale jeśli wypełniłeś formularz swoim e-mailem i hasłem, to jak najszybciej zaloguj się na swoją Onet Pocztę i zmień hasło na inne oraz włącz dwuskładnikowe uwierzytelnienie. Onet wspiera klucz U2F, więc warto go podpiąć i ustawić jako drugi składnik logowania.

Zobaczcie ten krótki film, który objaśnia dlaczego podpięcie klucza U2F dramatycznie zwiększa bezpieczeństwo skrzynki pocztowej, bo w 100% chroni przed takimi właśnie atakami phishingowymi. Osoby posiadające klucz U2F, nawet jeśli dałyby się złapać na opisywany w tym artykule atak i podały swoje hasło, nie straciłyby dostępu do skrzynki. [Kliknij tutaj aby zobaczyć film]

Jak jeszcze zabezpieczyć moją skrzynkę e-mail?

Niezależnie od tego gdzie posiadasz skrzynkę e-mail, warto ją zabezpieczyć. Poza dwuskładnikowym logowaniem warto też ustawić inne opcję. O wielu z nich mówimy na tym krótkim filmiku:

Warto przesłać oba powyższe filmiki znajomym, niezależnie od tego, gdzie mają skrzynki pocztowe.

Wysłaliśmy CyberAlert w tej sprawie

Ze względu na liczbę zgłoszeń tego ataku i skutki, do jakich może prowadzić przejęcie podstawowego adresu e-mail, podjęliśmy decyzję o wysłaniu w tej sprawie ostrzeżenia do użytkowników naszej darmowej aplikacji mobilnej CyberAlerty i do subkrybentów naszego darmowego newslettera CyberAlerty, którzy regularnie otrzymują ostrzeżenia o istotnych atakach:

Nie masz jeszcze naszej aplikacji?
Możesz ją pobrać klikając na ten link.

Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl

Aktualizacja
Miło nam poinformować, że zespół bezpieczeństwa Onet Poczty szybko zajął się tym tematem. Oto oświadczenie jakie podesłali nam w tej sprawie:

Nasi eksperci szybko zareagowali na problem wprowadzającego w błąd mailingu wysyłanego przez osoby podszywające się pod administratorów Onet Poczty. Odpowiedni zespół do zwalczania niechcianych wiadomości przesyłanych na skrzynki każdego dnia pracuje nad udoskonaleniem mechanizmów automatycznie blokujących takie wiadomości. Obecnie maile tego typu są automatycznie blokowane.

Jesteśmy świadomi zagrożeń jakie niesie skuteczny atak dlatego reakcja na takie zgłoszenia jest natychmiastowa. Jednocześnie zachęcamy wszystkich do oznaczania wiadomości które wydają się podejrzane.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

29 komentarzy

Dodaj komentarz
  1. Ale czy po włączeniu 2FA można korzystać jeszcze z poczty inaczej niż przez stronę www?

    • po włączeniu 2FA na desktopie tylko przez stronę www, a na androidzie – można dodać stronę “poczta.onet.pl” w chrome przez “dodaj do ekranu głównego” – powiadomienia przychodzą – da się używać

    • W przypadku Onet:
      “Uruchomienie weryfikacji dwuetapowej umożliwia korzystanie z konta wyłącznie poprzez webmail (logowanie poprzez stronę poczta.onet.pl) . Korzystanie z konta za pomocą klientów poczty elektronicznej (np. Outlook, Thunderbird) nie będzie możliwe”

      Natomiast w innych usługach jak np. Gmail nie ma problemów.

    • Nie można. W Interii i WP można a w Onet nie.

    • Jak ostatnio sprawdzałem, to włączenie 2FA wyłączyło dostęp przez IMAP…

    • Co Was skłania do korzystania z Onetu? Nie lepiej GMail?

    • @Piotr na kompie też można dodać Onet jako “aplikacje”. Klikasz puzel przy linku o treści “zianstaluj aplikacje” i masz Onet jako pojedynczą stronę, która działa znacznie szybciej niż chrome z 60 kartami, która nie ma takiej funkcji jak Edge, że usypia nieużywane karty. Jest to rozwiązanie dosyć niewygodne dla użytkowników, którzy mają kilka skrzynek – prywatna i słóżbowa – i chcą mieć wszystko w jednym miejscu. Np taki Thunderbird :) Ma jeszcze kalendarz, który można zsynchronizować np z Google oraz RSS można podpiąć i mieć np takiego Sekuraka :D

    • @Niki
      google to dzieło szatana na zgubę dusz ludzkich stworzone, więc wszystko lepsze od jego szpiegowskich wytworów.

  2. Czyli jakby jeszcze podstawili konieczność użycia klucza z opcją “pomiń” to by przejęli token który mogliby potem wykorzystać i już super zabezpieczenie staje się bezradne.
    Przecież to tylko ciąg znaków który wystarczy przejąć.

  3. Strasznie dużo tych różnych ataków, to na pocztę, to konto w banku, to na dopłatę dla kuriera itp. Co druga ważna strona na którą ostatnio wchodzę ma jakiś komunikat że ktoś się pod nich podszywa, albo żeby uważać na fałszywe sms. Strach się bać.

  4. Było już coś podobnego ze 2 lata temu, przekierowałem lekko kpiąco do suportu onetu ze nie potorfia odfiltrować podszywających sie pod nich maili, w odpowiedzi dostałem szablonową odpowiedz.

    • Szablonowa odpowiedź u nich to standard. Ja informowałem BOK Onetu o awarii poczty i otrzymałem odpowiedź, że usługa działa poprawnie. Dopiero jak się uparłem, pokazałem komunikaty błędów, zrzuty ekranowe, to zaczęli drążyć temat i odkryli, że… mają awarię, którą usuwali parę godzin ;-). Oczywiście, przez cały czas na stronie internetowej widniała informacja o treści: “Onet Poczta: status; Onet Poczta działa prawidłowo”.

  5. Już dawno podłączyłbym U2F do poczty Onetu, ale nie ma opcji na użycie jej z zewnątrzn@ aplikacj@ wtedy. :(

    • Onet wspiera klucz U2F, ale tylko jedną sztukę. Pisałem do BOK, czy planują umożliwić podpięcie rezerwowego klucza. BOK mi odpowiedział, że “kiedyś”, czyli w bliżej nieokreślonej przyszłości być może tak…

  6. Problem z pocztą Onet polega na tym, że:
    – można dodać tylko jeden klucz U2F,
    – można włączyć tylko jedną metodę 2FA.

    Chciałbym aby można było, podobnie jak na większości kont, używać zarówno klucz U2F (najlepiej 2 sztuki) jak również aplikację TOTP (jako zapasowej metody).
    Lista zapasowych kodów jednorazowych również byłaby ok, ale taka lista jest możliwa tylko dla aplikacji TOTP, a dla klucza U2F już nie.

    • Tylko jeden klucz? Kiepsko, aczkolwiek podejrzewam, że mają “luźną” procedurę odzyskania konta, a te U2F jest tylko po to, by się pochwalić, że “też mamy”. Przy takich ograniczeniach gdyby przyjęli podejście Google “nie mamy pańskiego płaszcza”, to by szybko utonęli w zgłoszeniach…

    • Na osłodę dodam, że support Onetu nie widzi w tym żadnego problemu, bo temat osobiście im zgłaszałem. Teraz przyjmuję zakłady, czy po publikacji Niebezpiecznika, Onet “w trosce o bezpieczeństwo użytkowników” wdroży w pełni funkcjonalny tryb użytkowania kluczy U2F.

    • @ Kenjiro
      Procedura nie jest taka zła jeśli użytkownik podał alternatywny email lub numer telefonu:
      “Jeśli zaistnieje potrzeba wyłączenia 2FA konieczny jest kontakt z adresu e-mail, który ustawiony jest jako adres alternatywny do skrzynki lub kontakt telefoniczny z numeru telefonu powiązanego z kontem.”

      @ Michał
      Wątpię aby się coś zmieniło. W kwietniu zrobiono badanie i okazało się, że tylko 14,1% Polaków używa 2FA. Z danych udostępnionych przez Twittera i Google wiadomo, że mniej niż 1% użytkowników posiada klucze bezpieczeństwa. Dla takiej ilości klientów nie opłaca się nic zmieniać. 
      W każdym razie to źle o nich świadczy, że tak to zaprojektowali. Opcja dodania 2 kluczy i/lub lista kodów zapasowych nie wiązałaby się z większymi kosztami.

  7. Biorąc pod uwagę, że infolinia dostępna jest w dni robocze od poniedziałku do piątku w godzinach 9:00 – 17:00, życzę powodzenia w odzyskiwaniu konta np w długi weekend.
    Śmiesznie działa też sprawdzanie statusu usługi: na stronie widnieje: Onet Poczta działa prawidłowo, w mailowej odpowiedzi z BOKu też standardowo wszystko jest OK, a okazuje się, że mają jednak potężną awarię.

  8. Jedno pytanko: jak rozumiem, po połączeniu danego serwisu z kluczem nie będę już w stanie zalogować się wyłącznie przy pomocy loginu i hasła. Jeśli tak, to jak usunąć z tego serwisu zgubiony klucz?

  9. Błagam, zrezygnujmy wreszcie z tej paskudnej kalki z angielskiego. “Wspierać” znaczy mniej więcej to samo co “pomagać”, a z tego co się orientuję Onet żadnym kluczom U2F nie pomaga, a co najwyżej je obsługuje.

  10. Problemy z pocztą onetu.
    Można podpiąć tylko jeden klucz u2f.
    Po zgubieniu klucza można go odpiąć. Trzeba być stale zalogowanym na jednym z urządzeń (co w przypadku wycieku ciasteczka?)
    Ich support… Mogło by go nie być.

  11. Pole ‘Od’ nawet nie powąchało serwera onet.pl. Co ma wspólnego domena ‘op’ z ‘onet’? Tyle co świnia z fortepianem i stacją kosmiczną. Lameriada a nie phishing.Administrator serwera będzie wysyłał wiadomości z obcego serwera? *op i *onet nie są tożsame. Przekręt widać na milę….

    • Op to skrót od “onet poczta”. Dziwnym trafem mam oprócz “poczta.onet” email właśnie z op w adresie.
      Ergo: warto wiedzieć, co się pisze, zamiast pisać, co się wie. “Lameriada” xD

    • żałosny chłopcze op to stare rozszerzenie onetu. sam mam dwa adresy z tej domeny…pomijam że zabezpieczenia antyspamowe onetu są bezwartościowe a filtracji zwyczajnie nie da się ustawić

    • Zanim cokolwiek napiszesz sprawdz najpierw podstawowe informacje.
      Domena op.pl to skrot od Onet Poczta i nalezy do RINGIER AXEL SPRINGER POLSKA Sp. z o.o. tak samo jak onet. Wpisz w przegladarce op.pl i zobacz co sie otworzy. Mam nawet maila na onecie w domenie op.pl

  12. Wiele lat temu miałem skrzynkę na Onet, ale pamiętam że oni sami przysyłali masę wiadomości reklamowych. I nie dało się tych reklam oznaczyć raz na zawsze jako spam. Z Onetu myślę że już korzysta mało osób i tak samo innych darmowych polskich skrzynek pocztowych z taką polityką jaką miał onet. Może mają tam konta osoby starsze bo inne już by się nie godziły raczej na taką ich politykę. Z tego tematu ten mail wygląda bardzo podejrzanie – ten adres.

  13. 1998

  14. A wystarczyło by aby ONET wprowadził opcję USÓWANIA konta niezależnie czy przez właściciela konta czy złodzieja danych który przejął nasze konto opcję w której konto owszem będzie usunięte ale po miesięcznym okresie ochronnym. Czyli jeśli stracimy nasz dostęp i zgłosimy to wtedy jest szansa aby nie stracić konta pocztowego. No ale niestety BIEDACKI ONET zatrudnia tylko ze dwie osoby które obsługują wasze skrzynki pocztowe i wystarczy że ktoś wam przejmie wasze konto i usunie je to ONET ma na to wywalone i ich to nie obchodzi… i umywają rączki. Dla tego KATYGORYCZNIE odradzam korzystanie z ich usług skrzynki pocztowej. Zdecydowanie lepiej ma to rozwiązane Gmail. No ale jak to porównywać biedacki ONET do G-Maila to jak by porównać Trabanta do Porsche 911

Odpowiadasz na komentarz 2*U2F&TOTP

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: