Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.

W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.

Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.

Porównanie fałszywej i oryginalnej wiadomości o odbiorze paczki.

PORÓWNANIE

1. Adres nadawcy wiadomości o tytule „Paczkomaty InPost - PACZKA CZEKA NA ODBIÓR” to dostawy@inpost.pl jasno sugerujący odbiorcy od kogo pochodzi czytana wiadomość. Jednak w usłudze Paczkomaty oferowanej przez firmę InPost powiadomienia wysyłane są z adresu info@paczkomaty.pl.

Rada G DATA: Zawsze sprawdzaj nadawcę otrzymywanych wiadomości. Wszelkie odstępstwa od standardów do których przyzwyczaił Cię twój bank, usługodawca lub inna firma z którą współpracujesz powinien zwiększyć twoją czujność!

2. Brak nadawcy przesyłki w treści powiadomienia, literówki oraz błędny numer samej paczki dyskwalifikują wiadomość n a starcie. Oryginalny numer paczek firmy InPost posiada 24 cyfry. W tej odsłonie działań hakerów spotykamy się z błędnym 23 cyfrowym formatem, który zostanie wyłapany jedynie przez najbardziej drobiazgowych odbiorców maila. Większe szanse mają użytkownicy zwracający uwagę na poprawność języka użytego w korespondencji.

Rada G DATA: Wszyscy wiemy, że duże firmy nie mogą sobie pozwolić na literówki i błędy w korespondencji z klientami. Czasem z różnych powodów się to zdarza, jednak całkowity brak polskich znaków oraz liczne błędy fleksyjne czy interpunkcyjne powinny zwrócić naszą uwagę.

3. Kod odbioru czyli 6 cyfrowy ciąg pozwalający nam na odebranie przesyłki w paczkomacie jest dla klienta esencją wiadomości dotyczącej odbioru kupionych w internecie przedmiotów. Dlatego tez przestępcy postanowili wykorzystać go jako przynętę. Kod jak dowiadujemy się z treści maila jest podany w załączniku (sic!). Przypominamy, że firma InPost przesyła kody zawsze w treści samego maila. Sam załącznik to plik Word z aktywnymi makrami dzięki, którym możliwe jest pobranie złośliwego oprogramowania na atakowany komputer. Złośliwy plik ukrywający się pod nazwą orrcxa9av.exe jest w tej chwili analizowany i zostanie możliwie najszybciej dodany do baz sygnatur G DATA Software. Szkodliwy plik hostowany jest na przejętej, starej i nie używanej już stronie jednej z gminnych spółek zajmujących się gospodarką komunalną. Z pierwszych informacji wynika, że to minimalnie zmodyfikowany wariant już wcześniej stosowanego złośliwego oprogramowania wykradającego dane logowania do różnych serwisów w tym bankowych.

 

Uboga treść załącznika. Grafika mająca na celu namówić użytkownika do włączenia obsługi makr.

Rada G DATA: Kasuj wiadomości spam bez ich otwierania, a wiadomości które zwróciły Twoją uwagę dopiero po zapoznaniu się z ich treścią przenieś do kosza jak najszybciej. Nigdy nie otwieraj załączników zawartych w takich wiadomości, a także nie klikaj w linki w nich zawarte.

Podobnie jak w kampanii w której przestępcy podszywali się pod Krajowy Rejestr Dłużników posługują się oni bazą mailingową wraz z dodatkowymi informacjami o adresatach. W przypadku kampanii KRD były to pełne nazwy firm wraz z numerami NIP. W przypadku InPostu mamy do czynienia z bazą wraz z imionami i nazwiskami właścicieli adresów wykradzioną specjalnie do opisywanej kampanii przestępczej. Bazy takie najczęściej wykradane są z forów internetowych, słabiej zabezpieczonych sklepów itp., by następnie wykorzystać je w dalszych działaniach.

4. Ostatni punkt porównania fałszywej i oryginalnej wiadomości to uznanie pomysłowości cyberprzestępców, która zdaję się nie mieć granic. Pomimo mocno spersonalizowanej bazy osoby stojące za atakiem nie były w stanie przewidzieć lokalizacji atakowanych użytkowników. Sprytnie pozbyli się więc mapki lokalizującej Paczkomat, zastępując ją informacją o pogodzie w okolicach urządzenia i okraszając odnośnikiem do teledysku komentującego warunki atmosferyczne. Socjotechnika głupcze chciałoby się rzecz!

Co robić, by nie zostać ofiarą hakerów: 

• Sprawdzaj dokładnie otrzymywane wiadomości. Powinieneś przeczytać uważnie cały tekst łącznie z drobnym drukiem. Wyszukanie informacji na temat nadawcy też może okazać się pomocne.
• Zamknij luki bezpieczeństwa. System operacyjny i programy z których korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami powinno zostać definitywnie odinstalowane.
• Chroniony przez oprogramowanie zabezpieczające. Dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online.