Od kilku dni do naszego
laboratorium antywirusowego trafia ogromna liczba zgłoszeń o fałszywych
mailach, których rzekomym nadawcą jest Poczta Polska. Maile są dość nieudolnie zredagowane,
jednak mogą wprowadzić w błąd mniej doświadczonych lub chwilowo roztargnionych
odbiorców.
Już sam tytuł wiadomości powinien spowodować zapalenie się czerwonej lampki
w naszych głowach!
Nagłówek „Niedostarczone przesylki na 7.05.2015, kod:447976“ prócz polskich znaków diakrytycznych
pozbawiony jest również sensu. W samej treści maila także nie uświadczymy poprawnej
polszczyzny, natrafimy za to na maszynowe tłumaczenia z wykorzystaniem
translatora internetowego co może sugerować zagraniczne pochodzenie maili.
Jednak te podstawowe
błędy, które dyskwalifikują wiadomość, mogą zostać pominięte przez niecierpliwych
czekających na internetowe zakupy lub bardzo ważną przesyłkę. Jeżeli odbiorca
kliknie (nie róbcie tego w domu!) w buton „Zobacz informacje” zostanie
przekierowany do fałszywej strony Poczty Polskiej rzekomo umożliwiającej śledzenie
przesyłki.
Różni się ona zdecydowanie od całkowicie bezpiecznego oryginału. Na oficjalnej stronie Poczty oczywiście
musimy podać sam numer przesyłki, by móc ją zlokalizować. To logiczne i
zrozumiałe. Cyberprzestępcy w specyficzny sposób uwzględnili element
wprowadzania liczb przez użytkownika w swoim ataku. By ten mógł wyświetlić informacje
odnośnie fałszywej przesyłki jest zmuszony wpisać ciąg liczb imitujący zabezpieczenie
stosowane na stronach internetowych captcha. Jednak w opisywanym przypadku ciąg
czterech cyfr jest niezmienny.
Jeżeli ktoś nieopatrznie dotarł do końcowego rozdziału w scenariuszu
hakerów to klikając w przycisk „Pobierz” uruchomi ściąganie fałszywego pliku
ZIP w rzeczywistości będącego plikiem wykonywalnym EXE. Jest to tzw. downloader pobierający z
serwera osób stojących za atakiem docelowy złośliwy kod, ale o tym za chwilę.
Na samym końcu mamy jeszcze jedną niemiłą niespodziankę. W przeszłości
cyberprzestępcy zdążyli nas przyzwyczaić, że podobne do tej kampanie spamowe sa
wykorzystywane do rozprzestrzeniania trojanów bankowych lub spyware’u. W tej
kampanii przestępcy postanowili zażądać okupu. Złośliwe oprogramowanie
rozsyłane za pomocą maili, których rzekomym nadawcą jest uznana firma pocztowa to bardzo groźny
ransomware o nazwie Crypt0L0cker szyfrujący dane z konkretnym rozszerzeniem
zapisane na dysku zaatakowanego urządzenia.
Więc jeśli nie chcesz stracić swoich zdjęć z wakacji, pracy magisterskiej
lub pieniędzy na ewentualny okup posłuchaj rad ekspertów bezpieczeństwa z
G DATA.
Rady ekspertów G DATA
SecurityLabs:
- Chroniony
przez oprogramowanie zabezpieczające. Kompleksowe rozwiązanie w kwestii
bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika
Internetu. Nie powinno się to ograniczać jedynie do programu
antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz
skaner w czasie rzeczywistym przed zagrożeniami online.
- Sprawdzaj
dokładnie otrzymywane wiadomości. Powinieneś przeczytać uważnie cały tekst łącznie z drobnym
drukiem. Wyszukanie informacji na temat nadawcy też może okazać się
pomocne.
- Zamknij
luki bezpieczeństwa. System
operacyjny i programy z których korzystasz powinny być zaktualizowane do
najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje,
patche). Przestarzałe oprogramowanie, którego producent nie wspiera już
aktualizacjami powinno zostać definitywnie odinstalowane.
- Twórz
kopie zapasowe. Backup
pozwala zapisać wszystkie ważne dane na wypadek awarii systemu. Więcej,
pełny backup partycji pozwala na zapisanie danych wraz z zainstalowanymi
programami więc w razie awarii odzyskasz system w pełni funkcjonalny i
gotowy do użycia.
- Zwracaj uwagę czy znajdujesz się na właściwej stronie oraz czy połączenie jest szyfrowane. Większość serwisów po przejściu do strony logowania wykorzystuję połączenie szyfrowane. Jeśli stwierdzisz jego brak, coś jest nie tak.
- Nie
otwieraj odnośników bezpośrednio z wiadomości e-mail. Jeżeli już postanowisz zalogować się w
serwisie wpisz adres ręcznie do przeglądarki. Przestępcy stosują ten trik
zamieszczając odnośniki przekierowujące do witryn które do złudzenia
przypominają oryginały.
Szanowni Państwo z GData, ale to nie na nas = Waszych klientach, którzy Wam zawierzyli, iż INTERNET SECURITY jest absolutnie zabezpieczający przed jakimkolwiek zagrożeniem - spoczywa obowiązek UWAŻANIA, lecz na Was - wysokiej klasy specjalistach od wirusów i hakerów!
OdpowiedzUsuńMoim zdaniem nie sprostaliście wyzwaniu, Wasz antywirus ani nie zlokalizował, ani nie zapobiegł zarażeniu naszych komputerów, zwłaszcza zas enkrypowaniu naszych danych! W razie poniesienia przez Waszych klientów szkód materialnych, musicie się liczyć z odpowiedzialnością sądową!
Stąd powinniściee czym prędzej wziąć byka za rogi, tzn. opracować i przesłać poszkodowanym klientom środków zaradczych dla od infekowania kompów i odzyskania utraconych danych!
Panie Konradzie,
Usuństosując nomenklaturę wojskową można powiedzieć, że walka z wirusami to ciągły wyścig zbrojeń. Tak samo jak my staramy się zapewnić najwyższy poziom bezpieczeństwa, tak hakerzy i rożnej maści cyberprzestępcy szukają wciąż nowych sposobów na przeprowadzenia ataków. Najnowsze zagrożenia tzw. malware 0-day pojawiają się tysiącami każdego dnia.
Dlatego niezbędnym uzupełnieniem antywirusa jest zbiór zasad bezpieczeństwa, których powinien przestrzegać każdy,powtarzamy KAŻDY, użytkownik sieci. Tak jak poduszki powietrzne w autach nie zwalniają z obowiązku przestrzegania przepisów jazdy czy zasady ograniczonego zaufania tak oprogramowanie antywirusowe nie zwalnia z przestrzegania podstawowych zasad bezpieczeństwa, które miedzy innymi publikujemy na tym blogu.
Trojan.GenericKD.2401133 który odpowiada za pobieranie złośliwego kodu szyfrującego pliki na komputerach jest już dodany do naszych baz i blokowany przez G DATA.
Tak jest- kupiliśmy produkt chroniący nas przed zarażeniem. GDATA --daj nam antidotum!!
OdpowiedzUsuń