Nowy dzień i nowe doniesienie o ataku na klientów operatorów telekomunikacyjnych. Teraz celem stali się użytkownicy sieci Play, choć ostrzega o tym… Orange.
Wczoraj CERT Orange Polska ostrzegał przed phishingowym atakiem przez SMS-y, na „niedopłatę do faktury”, skierowanym do klientów pomarańczowej sieci. W kolejnej wykrytej kampanii na celowniku znaleźli się użytkownicy Play, ale już z wykorzystaniem nieco innej metody. Co jednak ciekawe, aktywność cyberprzestępców, skierowaną do klientów fioletowej sieci również wykrył CERT Orange Polska.
O co dokładnie chodzi, wyjaśnia ekspert od bezpieczeństwa w Orange – Michał Rosiak. Pomarańczowy CERT zaobserwował nową falę fałszywych e-maili z fakturą, w których oszuści podszywają się pod Play Polska. Jednak najprawdopodobniej kwestią czasu będzie to, że ten sam mechanizm zostanie wykorzystany wobec klientów Orange, a może i innych sieci.
Michał Rosiak wyjaśnia, że jest to typowy phishing wolumenowy. Oszuści wysyłają setki tysięcy takich e-maili. Jeśli załóżmy, że przy milionie wiadomości np. 20% adresatów faktycznie korzysta z usług danej firmy, czyli 200 tys. osób, a 2% z nich da się nabrać, w efekcie otrzymamy 4 tysiące oszukanych. W tym przypadku mogą to być klienci Play. Co ich czeka w fałszywym e-mailu?
Fałszywe wiadomości utrzymane są w fioletowej stylistyce, typowej dla sieci Play. Treść przygotowana jest bez błędów, na pierwszy rzut oka nie budzi zastrzeżeń, można się też nabrać na e-maila nadawcy – z domeny play24[.]click. W treści wiadomości pojawia się załącznik z rzekomą fakturą.
To, co przede wszystkim może budzić wątpliwość, to ostatnia linijka e-maila – hasło do archiwum, co w takiej sytuacji jest niespotykane. W tym przypadku hasło ma tylko jeden cel – jest nim uniemożliwienie systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.
Fałszywy „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik.
Ofiara, która się na to złapie, zainstaluje w swoim urządzeniu infostealera Vidar. To oprogramowanie wyspecjalizowane w wykradaniu danych z komputera ofiary, przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, e-maila, czy portfeli kryptowalutowych).
Co gorsza – i co czyni atak jeszcze groźniejszym – gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego
– przestrzega Michał Rosiak.
Ekspert wyjaśnia, że ataku trudno uniknąć, a jeżeli nasz e-mail „hula sobie gdzieś po sieci” to prędzej, czy później, dostaniemy „e-maila z fakturą”. W takiej sytuacji trzeba się zastanowić, czy faktycznie korzystamy z usług danej firmy – co pozornie wydaje się oczywiste, ale niektórzy intuicyjnie lub z ciekawości zajrzą do załącznika.
Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”
– radzi ekspert.
Okazuje się, że naprawdę zdarzają się internauci, którzy klikną takiego e-maila, nawet jeżeli nie są klientami danej firmy. To mogą być osoby starsze, seniorzy.
Klienci, którzy faktycznie korzystają z usług danej firmy, powinni zwrócić uwagę, czy adres nadawcy zgadza się z poprzednią korespondencją. W Play faktury wysyłane są z [email protected], a w Orange – z adresu [email protected].
Gdy adres się nie zgadza, e-maila należy od razu skasować bez klikania w załącznik.
Zobacz: Tajemniczy numer +48452144829 nęka Polaków. Wyjaśniam
Zobacz: Klik bankructwa. Kosztował Polaka 165 tys. zł
Źródło zdjęć: Telepolis.pl, Blog Orange
Źródło tekstu: Blog Orange Polska