Przejdź do głównej zawartości

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.

W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.

Porównanie fałszywej i oryginalnej wiadomości o odbiorze paczki.


PORÓWNANIE

  1. Adres nadawcy wiadomości o tytule „Paczkomaty InPost - PACZKA CZEKA NA ODBIÓR” to dostawy@inpost.pl jasno sugerujący odbiorcy od kogo pochodzi czytana wiadomość. Jednak w usłudze Paczkomaty oferowanej przez firmę InPost powiadomienia wysyłane są z adresu info@paczkomaty.pl.

Rada G DATA: Zawsze sprawdzaj nadawcę otrzymywanych wiadomości. Wszelkie odstępstwa od standardów do których przyzwyczaił Cię twój bank, usługodawca lub inna firma z którą współpracujesz powinien zwiększyć twoją czujność!

  1. Brak nadawcy przesyłki w treści powiadomienia, literówki oraz błędny numer samej paczki dyskwalifikują wiadomość n a starcie. Oryginalny numer paczek firmy InPost posiada 24 cyfry. W tej odsłonie działań hakerów spotykamy się z błędnym 23 cyfrowym formatem, który zostanie wyłapany jedynie przez najbardziej drobiazgowych odbiorców maila. Większe szanse mają użytkownicy zwracający uwagę na poprawność języka użytego w korespondencji.

Rada G DATA: Wszyscy wiemy, że duże firmy nie mogą sobie pozwolić na literówki i błędy w korespondencji z klientami. Czasem z różnych powodów się to zdarza, jednak całkowity brak polskich znaków oraz liczne błędy fleksyjne czy interpunkcyjne powinny zwrócić naszą uwagę.

  1. Kod odbioru czyli 6 cyfrowy ciąg pozwalający nam na odebranie przesyłki w paczkomacie jest dla klienta esencją wiadomości dotyczącej odbioru kupionych w internecie przedmiotów. Dlatego tez przestępcy postanowili wykorzystać go jako przynętę. Kod jak dowiadujemy się z treści maila jest podany w załączniku (sic!). Przypominamy, że firma InPost przesyła kody zawsze w treści samego maila. Sam załącznik to plik Word z aktywnymi makrami dzięki, którym możliwe jest pobranie złośliwego oprogramowania na atakowany komputer. Złośliwy plik ukrywający się pod nazwą orrcxa9av.exe jest w tej chwili analizowany i zostanie możliwie najszybciej dodany do baz sygnatur G DATA Software. Szkodliwy plik hostowany jest na przejętej, starej i nie używanej już stronie jednej z gminnych spółek zajmujących się gospodarką komunalną. Z pierwszych informacji wynika, że to minimalnie zmodyfikowany wariant już wcześniej stosowanego złośliwego oprogramowania wykradającego dane logowania do różnych serwisów w tym bankowych.
 
Uboga treść załącznika. Grafika mająca na celu namówić użytkownika do włączenia obsługi makr.

Rada G DATA: Kasuj wiadomości spam bez ich otwierania, a wiadomości które zwróciły Twoją uwagę dopiero po zapoznaniu się z ich treścią przenieś do kosza jak najszybciej. Nigdy nie otwieraj załączników zawartych w takich wiadomości, a także nie klikaj w linki w nich zawarte.

Podobnie jak w kampanii w której przestępcy podszywali się pod Krajowy Rejestr Dłużników posługują się oni bazą mailingową wraz z dodatkowymi informacjami o adresatach. W przypadku kampanii KRD były to pełne nazwy firm wraz z numerami NIP. W przypadku InPostu mamy do czynienia z bazą wraz z imionami i nazwiskami właścicieli adresów wykradzioną specjalnie do opisywanej kampanii przestępczej. Bazy takie najczęściej wykradane są z forów internetowych, słabiej zabezpieczonych sklepów itp., by następnie wykorzystać je w dalszych działaniach.

  1. Ostatni punkt porównania fałszywej i oryginalnej wiadomości to uznanie pomysłowości cyberprzestępców, która zdaję się nie mieć granic. Pomimo mocno spersonalizowanej bazy osoby stojące za atakiem nie były w stanie przewidzieć lokalizacji atakowanych użytkowników. Sprytnie pozbyli się więc mapki lokalizującej Paczkomat, zastępując ją informacją o pogodzie w okolicach urządzenia i okraszając odnośnikiem do teledysku komentującego warunki atmosferyczne. Socjotechnika głupcze chciałoby się rzecz!

Co robić, by nie zostać ofiarą hakerów: 

  • Sprawdzaj dokładnie otrzymywane wiadomości. Powinieneś przeczytać uważnie cały tekst łącznie z drobnym drukiem. Wyszukanie informacji na temat nadawcy też może okazać się pomocne.
  • Zamknij luki bezpieczeństwa. System operacyjny i programy z których korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami powinno zostać definitywnie odinstalowane.
  • Chroniony przez oprogramowanie zabezpieczające. Dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online.

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ostrzegamy! Uważajcie na fałszywe maile od Poczty Polskiej

Od kilku dni do naszego laboratorium antywirusowego trafia ogromna liczba zgłoszeń o fałszywych mailach, których rzekomym nadawcą jest Poczta Polska. Maile są dość nieudolnie zredagowane, jednak mogą wprowadzić w błąd mniej doświadczonych lub chwilowo roztargnionych odbiorców.
Już sam tytuł wiadomości powinien spowodować zapalenie się czerwonej lampki w naszych głowach!


Nagłówek Niedostarczoneprzesylkina 7.05.2015, kod:447976prócz  polskich znaków diakrytycznych pozbawiony jest również sensu. W samej treści maila także nie uświadczymy poprawnej polszczyzny, natrafimy za to na maszynowe tłumaczenia z wykorzystaniem translatora internetowego co może sugerować zagraniczne pochodzenie maili.




Jednak te podstawowe błędy, które dyskwalifikują wiadomość, mogą zostać pominięte przez niecierpliwych czekających na internetowe zakupy lub bardzo ważną przesyłkę. Jeżeli odbiorca kliknie (nie róbcie tego w domu!) w buton „Zobacz informacje” zostanie przekierowany do fałszywej strony Poczty Polskiej …