InPost i jego klienci na celowniku
hakerów.
Pracownicy G DATA SecurityLabs przechwycili
i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w
całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni
temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”.
Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości
oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale
o tym za chwilę.
![]() |
Porównanie fałszywej i oryginalnej wiadomości o odbiorze paczki. |
PORÓWNANIE
- Adres
nadawcy wiadomości o tytule „Paczkomaty InPost -
PACZKA CZEKA NA ODBIÓR” to dostawy@inpost.pl
jasno sugerujący odbiorcy od kogo pochodzi czytana wiadomość. Jednak w
usłudze Paczkomaty oferowanej przez firmę InPost powiadomienia wysyłane są
z adresu info@paczkomaty.pl.
Rada G DATA: Zawsze sprawdzaj nadawcę otrzymywanych wiadomości. Wszelkie odstępstwa
od standardów do których przyzwyczaił Cię twój bank, usługodawca lub inna firma
z którą współpracujesz powinien zwiększyć twoją czujność!
- Brak nadawcy przesyłki w treści powiadomienia, literówki oraz błędny
numer samej paczki dyskwalifikują wiadomość n a starcie. Oryginalny numer
paczek firmy InPost posiada 24 cyfry. W tej odsłonie działań hakerów
spotykamy się z błędnym 23 cyfrowym formatem, który zostanie wyłapany
jedynie przez najbardziej drobiazgowych odbiorców maila. Większe szanse
mają użytkownicy zwracający uwagę na poprawność języka użytego w
korespondencji.
Rada G DATA: Wszyscy wiemy, że duże firmy nie
mogą sobie pozwolić na literówki i błędy w korespondencji z klientami. Czasem z
różnych powodów się to zdarza, jednak całkowity brak polskich znaków oraz
liczne błędy fleksyjne czy interpunkcyjne powinny zwrócić naszą uwagę.
- Kod odbioru czyli 6 cyfrowy ciąg pozwalający nam na odebranie
przesyłki w paczkomacie jest dla klienta esencją wiadomości dotyczącej
odbioru kupionych w internecie przedmiotów. Dlatego tez przestępcy
postanowili wykorzystać go jako przynętę. Kod jak dowiadujemy się z treści
maila jest podany w załączniku (sic!). Przypominamy, że firma InPost
przesyła kody zawsze w treści samego maila. Sam załącznik to plik Word z
aktywnymi makrami dzięki, którym możliwe jest pobranie złośliwego
oprogramowania na atakowany komputer. Złośliwy plik ukrywający się pod
nazwą orrcxa9av.exe jest w tej chwili analizowany i zostanie możliwie
najszybciej dodany do baz sygnatur G DATA Software. Szkodliwy plik
hostowany jest na przejętej, starej i nie używanej już stronie jednej z
gminnych spółek zajmujących się gospodarką komunalną. Z pierwszych
informacji wynika, że to minimalnie zmodyfikowany wariant już wcześniej
stosowanego złośliwego oprogramowania wykradającego dane logowania do
różnych serwisów w tym bankowych.
Rada G DATA: Kasuj wiadomości spam bez ich
otwierania, a wiadomości które zwróciły Twoją uwagę dopiero po zapoznaniu się z
ich treścią przenieś do kosza jak najszybciej. Nigdy nie otwieraj załączników zawartych
w takich wiadomości, a także nie klikaj w linki w nich zawarte.
Podobnie jak w kampanii w której
przestępcy podszywali się pod Krajowy Rejestr Dłużników posługują się oni bazą
mailingową wraz z dodatkowymi informacjami o adresatach. W przypadku kampanii
KRD były to pełne nazwy firm wraz z numerami NIP. W przypadku InPostu mamy do
czynienia z bazą wraz z imionami i nazwiskami właścicieli adresów wykradzioną
specjalnie do opisywanej kampanii przestępczej. Bazy takie najczęściej wykradane
są z forów internetowych, słabiej zabezpieczonych sklepów itp., by następnie
wykorzystać je w dalszych działaniach.
- Ostatni punkt
porównania fałszywej i oryginalnej wiadomości to uznanie pomysłowości
cyberprzestępców, która zdaję się nie mieć granic. Pomimo mocno
spersonalizowanej bazy osoby stojące za atakiem nie były w stanie
przewidzieć lokalizacji atakowanych użytkowników. Sprytnie pozbyli się więc
mapki lokalizującej Paczkomat, zastępując ją informacją o pogodzie w
okolicach urządzenia i okraszając odnośnikiem do teledysku komentującego
warunki atmosferyczne. Socjotechnika głupcze chciałoby się rzecz!
Co robić, by nie zostać ofiarą hakerów:
- Sprawdzaj dokładnie otrzymywane wiadomości. Powinieneś przeczytać uważnie cały tekst
łącznie z drobnym drukiem. Wyszukanie informacji na temat nadawcy też może
okazać się pomocne.
- Zamknij luki bezpieczeństwa. System operacyjny i programy z których
korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej
chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie,
którego producent nie wspiera już aktualizacjami powinno zostać
definitywnie odinstalowane.
- Chroniony przez oprogramowanie zabezpieczające. Dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online.
Komentarze
Publikowanie komentarza