Tag: Phishing

Wprowadzenie do problemu / definicja

Na cyberprzestępczych forach pojawiła się oferta sprzedaży zbioru danych rzekomo powiązanego z 340 milionami profili OnlyFans. Dostępne informacje wskazują jednak, że nie musi chodzić o klasyczny wyciek wynikający z kompromitacji infrastruktury platformy, lecz o agregację danych pochodzących z wcześniejszych naruszeń, publicznych profili oraz informacji skorelowanych między wieloma źródłami.

Taki model działania wpisuje się w rosnący trend rekonstrukcji tożsamości cyfrowej, w którym atakujący budują profile użytkowników nie przez jedno spektakularne włamanie, ale przez łączenie fragmentów danych z różnych miejsc. Z punktu widzenia prywatności skutki mogą być równie poważne jak w przypadku potwierdzonego wycieku z jednej platformy.

W skrócie

Sprzedający początkowo twierdził, że oferowany zbiór pochodzi z wewnętrznych systemów OnlyFans i zawiera dane osobowe, aktywność kont oraz wybrane pola związane z płatnościami. Później miał jednak przyznać, że baza nie została pozyskana w wyniku włamania, lecz została zbudowana przez łączenie starszych wycieków i danych publicznych.

• mowa o zbiorze obejmującym nawet 340 milionów rekordów,
• pochodzenie całej bazy pozostaje niezweryfikowane,
• próbki sugerują, że część danych może odnosić się do realnych kont,
• największe ryzyko dotyczy deanonimizacji, phishingu i szantażu.

Kontekst / historia

Podziemny rynek danych od lat zmienia swój charakter. Dawniej najwyższą wartość miały pełne zrzuty baz danych i listy loginów z hasłami. Dziś równie cenne są zbiory wzbogacone kontekstowo, które łączą adresy e-mail, numery telefonów, pseudonimy, profile społecznościowe oraz informacje o aktywności online.

W analizowanym przypadku kluczowe znaczenie ma rozbieżność między pierwotną narracją sprzedającego a późniejszym wyjaśnieniem źródła danych. Taka zmiana często sugeruje próbę zwiększenia atrakcyjności oferty przez przedstawienie agregatu danych jako rezultatu bezpośredniego włamania. Dla kupujących na forach przestępczych liczy się bowiem nie tylko objętość bazy, ale też wiarygodność jej pochodzenia i możliwość wykorzystania operacyjnego.

Analiza techniczna

Opublikowane próbki mają cechy płaskiego, tekstowego zbioru rekordów, a nie natywnego eksportu z nowoczesnej produkcyjnej bazy danych. Wśród pól miały znajdować się nazwy użytkowników, adresy e-mail, numery telefonów, daty dołączenia, liczby obserwujących, liczby polubień, metryki aktywności, powiązane profile społecznościowe oraz typ konta.

To istotny sygnał, ponieważ część takich informacji może być publicznie widoczna lub możliwa do ustalenia na podstawie otwartych źródeł. Po połączeniu ich z wcześniejszymi wyciekami możliwe staje się stworzenie spójnego profilu użytkownika. Tego typu korelacja zwykle opiera się na wspólnych identyfikatorach, takich jak adres e-mail, alias, numer telefonu, nazwa użytkownika albo odnośniki do kont w innych serwisach.

Dodatkowe wątpliwości budzi obecność pól o niejednoznacznym pochodzeniu, w tym wartości opisywanych jako odnoszące się do ostatnich czterech cyfr karty płatniczej. Bez niezależnej walidacji nie można potwierdzić, czy są to autentyczne elementy danych finansowych, artefakty z wcześniejszych wycieków, czy po prostu wartości dodane w celu podniesienia ceny zbioru. Obecność pól pustych lub zastępczych może również wskazywać na automatyczne scalanie rekordów z różnych źródeł bez pełnej normalizacji.

Technicznie taki zestaw mógł powstać w procesie przypominającym przestępcze ETL: ekstrakcję danych z archiwalnych wycieków, transformację, deduplikację i wzbogacanie rekordów informacjami z OSINT. W efekcie powstaje baza, która może nie zawierać pełnych danych rozliczeniowych ani haseł, ale nadal ma wysoką wartość dla atakujących.

Konsekwencje / ryzyko

Największym zagrożeniem nie jest sam rozmiar rzekomego zbioru, ale możliwość skutecznej deanonimizacji użytkowników. Połączenie pseudonimów z adresami e-mail, numerami telefonów i profilami społecznościowymi pozwala przygotowywać wiarygodne scenariusze ataków socjotechnicznych i kampanii ukierunkowanych.

• precyzyjny spear phishing oparty na znajomości aktywności ofiary,
• kampanie sextortion i szantaż reputacyjny,
• nękanie, stalking oraz podszywanie się pod użytkowników,
• próby przejęcia kont przez reset haseł lub ataki na numer telefonu,
• dalsze wzbogacanie profili ofiar przez korelację z innymi wyciekami.

Nawet jeśli tylko część rekordów okaże się prawdziwa, taki zbiór może służyć jako baza referencyjna do wyboru celów o wysokiej wartości. W przypadku platform związanych z treściami wrażliwymi skutki prywatnościowe i reputacyjne mogą być nieproporcjonalnie duże względem stopnia kompletności samych danych.

Rekomendacje

Operatorzy platform internetowych powinni traktować podobne incydenty jako sygnał ostrzegawczy i wzmacniać monitoring wycieków wtórnych oraz prób korelacji danych użytkowników. Ochrona nie może ograniczać się wyłącznie do infrastruktury i kontroli dostępu.

• monitorowanie forów cyberprzestępczych i kanałów obrotu danymi,
• wykrywanie masowego scrapingu oraz nadużyć interfejsów API,
• ograniczanie publicznej ekspozycji metadanych użytkowników,
• wdrażanie mechanizmów utrudniających łączenie tożsamości między usługami,
• szybką komunikację z użytkownikami w razie podejrzenia nadużyć.

Użytkownicy również powinni podjąć działania ograniczające ryzyko:

• zmienić hasła, jeśli były używane ponownie w wielu serwisach,
• włączyć uwierzytelnianie wieloskładnikowe,
• zachować ostrożność wobec wiadomości nawiązujących do aktywności na platformie,
• monitorować e-mail i numer telefonu pod kątem prób przejęcia kont,
• ograniczyć możliwość łatwego powiązania profili między różnymi serwisami.

Z perspektywy zespołów bezpieczeństwa najważniejszy wniosek jest szerszy: przyszłe incydenty coraz częściej będą polegały nie na jednym wycieku z jednego systemu, lecz na inteligentnej rekonstrukcji tożsamości z wielu pozornie niegroźnych fragmentów danych.

Podsumowanie

Sprawa rzekomej sprzedaży bazy 340 milionów profili OnlyFans pokazuje zmianę w krajobrazie cyberzagrożeń. Coraz większą rolę odgrywa nie bezpośrednie włamanie do systemu, lecz korelacja danych z archiwalnych wycieków i źródeł publicznych. Takie zbiory mogą być mniej spektakularne niż klasyczne naruszenia, ale z perspektywy prywatności i ryzyka nadużyć pozostają równie niebezpieczne.

Dla obrońców oznacza to konieczność myślenia szerzej niż tylko o ochronie bazy danych czy panelu administracyjnego. Równie ważne staje się ograniczanie ekspozycji metadanych, utrudnianie korelacji informacji oraz szybkie reagowanie na wtórne wykorzystanie danych już krążących w cyberprzestępczym obiegu.

Źródła

1. Security Affairs — https://securityaffairs.com/192643/cyber-crime/340-million-onlyfans-profiles-allegedly-rebuilt-from-leaks.html
2. HackRead — https://hackread.com/

Wprowadzenie do problemu / definicja

Nowa fala kampanii phishingowych przypisywanych chińskojęzycznym operatorom pokazuje wyraźne odejście od klasycznych, statycznych stron wyłudzających dane logowania. Coraz częściej stosowany jest model przechwytywania poświadczeń w czasie rzeczywistym, oparty na technice adversary-in-the-middle (AiTM), w którym atakujący pośredniczy w całym procesie uwierzytelniania.

W praktyce oznacza to, że ofiara może widzieć interfejs bardzo podobny do legalnej strony logowania, ale cała komunikacja przechodzi przez infrastrukturę kontrolowaną przez przestępców. Dzięki temu napastnicy są w stanie zebrać nie tylko login i hasło, lecz także kody MFA oraz tokeny sesyjne.

W skrócie

• Operatorzy phishingowi odchodzą od prostych stron podszywających się pod portale logowania.
• Coraz częściej wykorzystywany jest model AiTM umożliwiający przechwytywanie poświadczeń i sesji w czasie rzeczywistym.
• Takie kampanie mogą skutecznie omijać tradycyjne mechanizmy MFA oparte na kodach SMS, OTP i powiadomieniach push.
• Napastnicy stosują przekierowania, mechanizmy antybotowe i ukrywanie infrastruktury, aby utrudnić wykrycie operacji.

Kontekst / historia

Phishing AiTM nie jest zjawiskiem nowym, jednak w ostatnich latach wyraźnie przeszedł z kategorii bardziej zaawansowanych operacji do modelu szerzej dostępnego na rynku cyberprzestępczym. Rozwój phishing-as-a-service sprawił, że gotowe zestawy narzędzi do przechwytywania sesji i poświadczeń stały się łatwiejsze do wdrożenia także dla mniej wyspecjalizowanych grup.

Obecne kampanie przypisywane chińskojęzycznym operatorom wpisują się w ten trend, ale jednocześnie pokazują rosnącą dojrzałość operacyjną. Zmianie ulega nie tylko sama technika wyłudzania danych, ale również sposób dostarczania przynęt, maskowania zaplecza i utrudniania analizy prowadzonej przez zespoły bezpieczeństwa.

Analiza techniczna

W schemacie adversary-in-the-middle serwer atakującego działa jak reverse proxy pomiędzy użytkownikiem a prawdziwą usługą logowania. Ofiara wpisuje dane na stronie przynęty, które są natychmiast przekazywane do legalnego dostawcy tożsamości. Odpowiedzi serwera wracają tą samą drogą, dzięki czemu cały proces wygląda wiarygodnie.

Typowy łańcuch ataku rozpoczyna się od wiadomości zawierającej link do przynęty. Użytkownik może zostać przeprowadzony przez kilka etapów przekierowań, które mają utrudnić analizę automatyczną i obejść zabezpieczenia filtrujące. Następnie trafia na stronę pośredniczącą, która wizualnie odtwarza legalny portal logowania.

Po wpisaniu loginu i hasła dane są przekazywane dalej do rzeczywistej usługi uwierzytelniania. Jeżeli konto jest chronione MFA, ofiara wykonuje standardowy krok weryfikacyjny, nie mając świadomości, że kod lub potwierdzenie również przechodzi przez infrastrukturę atakującego. Najbardziej krytyczny moment następuje po poprawnym zalogowaniu, gdy legalna usługa wystawia token lub cookie sesyjne, które może zostać przechwycone i wykorzystane do przejęcia aktywnej sesji.

Nowoczesne platformy phishingowe wykorzystują ponadto dodatkowe warstwy utrudniające wykrycie. Wśród nich znajdują się:

• mechanizmy CAPTCHA i filtry antybotowe,
• selekcja ruchu na podstawie adresu IP, geolokalizacji i cech przeglądarki,
• wieloetapowe przekierowania i usługi pośredniczące,
• krótkotrwałe domeny oraz infrastruktura efemeryczna,
• dynamiczne ładowanie paneli phishingowych dopiero po przejściu kontroli.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich kampanii jest możliwość obejścia powszechnie stosowanych metod MFA, szczególnie tych, które można zrelayować w czasie rzeczywistym. Oznacza to, że nawet organizacje korzystające z dodatkowego składnika uwierzytelniania mogą pozostać podatne na przejęcie konta.

Ryzyko nie kończy się na samym logowaniu. Po uzyskaniu dostępu do aktywnej sesji napastnik może przejąć skrzynkę pocztową, konto w usłudze chmurowej, system SSO lub panel administracyjny. W dalszej kolejności możliwe są ataki typu business email compromise, kradzież danych, resetowanie haseł w innych systemach, eskalacja uprawnień i ruch boczny w organizacji.

Dodatkowym problemem jest trudniejsza detekcja incydentu. Ponieważ logowanie odbywa się wobec prawdziwej usługi, część sygnałów może wyglądać jak legalna aktywność użytkownika. Bez korelacji telemetrycznej z warstwy tożsamości, urządzenia, lokalizacji i zachowania sesji przejęcie tokenu może przez pewien czas pozostać niezauważone.

Rekomendacje

Organizacje powinny traktować phishing AiTM jako zagrożenie wymierzone przede wszystkim w warstwę tożsamości i sesji, a nie wyłącznie w pocztę elektroniczną. Obrona musi obejmować zarówno etap dostarczenia przynęty, jak i kontrolę procesu logowania oraz aktywności po uwierzytelnieniu.

Kluczowe znaczenie ma wdrażanie metod uwierzytelniania odpornych na phishing, takich jak FIDO2, WebAuthn, passkeys czy klucze sprzętowe. Rozwiązania bazujące wyłącznie na SMS lub kodach OTP nie powinny być uznawane za wystarczające zabezpieczenie dla kont uprzywilejowanych i krytycznych zasobów.

Warto również rozwijać polityki dostępu warunkowego oraz monitoring sesji. Dobre praktyki obejmują:

• ograniczanie dostępu do wrażliwych aplikacji wyłącznie z urządzeń zarządzanych,
• wymuszanie dodatkowej weryfikacji przy nowych lokalizacjach, sieciach i urządzeniach,
• monitorowanie nietypowych adresów IP, ASN, User-Agentów i anomalii geograficznych,
• unieważnianie tokenów sesyjnych po podejrzanych zdarzeniach,
• wymuszanie ponownego uwierzytelnienia dla operacji uprzywilejowanych.

Istotna pozostaje także edukacja użytkowników. Szkolenia powinny obejmować scenariusze z wykorzystaniem komunikatorów, kodów QR, stron pośredniczących i przekierowań, a nie tylko klasyczne wiadomości e-mail. Organizacja powinna mieć też jasne procedury zgłaszania incydentów oraz szybkiej reakcji po wykryciu potencjalnego przejęcia sesji.

Podsumowanie

Obserwowane kampanie pokazują istotną zmianę jakościową w działaniach phishingowych. Zamiast prostego wyłudzania haseł operatorzy coraz częściej przechwytują cały proces logowania w czasie rzeczywistym, co znacząco zwiększa skuteczność ataków i osłabia ochronę opartą na tradycyjnym MFA.

Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia nacisku z ochrony wyłącznie poczty na kompleksowe zabezpieczenie tożsamości, urządzeń i sesji. W praktyce to dojrzałość procesów IAM, wdrożenie phishing-resistant MFA oraz szybka analiza anomalii po zalogowaniu będą decydować o odporności organizacji na nowoczesne kampanie AiTM.

Źródła

1. https://www.infosecurity-magazine.com/news/chinese-phishing-live-credential/
2. https://www.cyber.gc.ca/sites/default/files/itsm.30.031-e.pdf
3. https://blog.sekoia.io/wp-content/uploads/2025/06/Sekoia_io___Global_analysis_of_Adversary_in_the_Middle_phishing_threats.pdf
4. https://sec.okta.com/articles/uncloakingvoidproxy/
5. https://www.csoonline.com/article/4056512/voidproxy-phishing-as-a-service-operation-steals-microsoft-google-login-credentials.html