DAJ CYNK

Atak na klientów Play – ostrzega Orange

Mieszko Zagańczyk

Bezpieczeństwo

salon Play

Nowy dzień i nowe doniesienie o ataku na klientów operatorów telekomunikacyjnych. Teraz celem stali się użytkownicy sieci Play, choć ostrzega o tym… Orange.

Dalsza część tekstu pod wideo
 

Wczoraj CERT Orange Polska ostrzegał przed phishingowym atakiem przez SMS-y, na „niedopłatę do faktury”, skierowanym do klientów pomarańczowej sieci. W kolejnej wykrytej kampanii na celowniku znaleźli się użytkownicy Play, ale już z wykorzystaniem nieco innej metody. Co jednak ciekawe, aktywność cyberprzestępców, skierowaną do klientów fioletowej sieci również wykrył CERT Orange Polska.

O co dokładnie chodzi, wyjaśnia ekspert od bezpieczeństwa w Orange – Michał Rosiak. Pomarańczowy CERT zaobserwował nową falę fałszywych e-maili z fakturą, w których oszuści podszywają się pod Play Polska. Jednak najprawdopodobniej kwestią czasu będzie to, że ten sam mechanizm zostanie wykorzystany wobec klientów Orange, a może i innych sieci.

Michał Rosiak wyjaśnia, że jest to typowy phishing wolumenowy. Oszuści wysyłają setki tysięcy takich e-maili. Jeśli załóżmy, że przy milionie wiadomości np. 20% adresatów faktycznie korzysta z usług danej firmy, czyli 200 tys. osób, a 2% z nich da się nabrać, w efekcie otrzymamy 4 tysiące oszukanych. W tym przypadku mogą to być klienci Play. Co ich czeka w fałszywym e-mailu?

Infostealer Vidar kradnie hasła

Fałszywe wiadomości utrzymane są w fioletowej stylistyce, typowej dla sieci Play. Treść przygotowana jest bez błędów, na pierwszy rzut oka nie budzi zastrzeżeń, można się też nabrać na e-maila nadawcy – z domeny play24[.]click. W treści wiadomości pojawia się załącznik z rzekomą fakturą. 

To, co przede wszystkim może budzić wątpliwość, to ostatnia linijka e-maila – hasło do archiwum, co w takiej sytuacji jest niespotykane. W tym przypadku hasło ma tylko jeden cel – jest nim uniemożliwienie systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.

Fałszywy „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik. 

Ofiara, która się na to złapie, zainstaluje w swoim urządzeniu infostealera Vidar. To oprogramowanie wyspecjalizowane w wykradaniu danych z komputera ofiary, przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, e-maila, czy portfeli kryptowalutowych). 

Co gorsza – i co czyni atak jeszcze groźniejszym – gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego

 – przestrzega Michał Rosiak.

Ekspert wyjaśnia, że ataku trudno uniknąć, a jeżeli nasz e-mail „hula sobie gdzieś po sieci” to prędzej, czy później, dostaniemy „e-maila z fakturą”. W takiej sytuacji trzeba się zastanowić, czy faktycznie korzystamy z usług danej firmy – co pozornie wydaje się oczywiste, ale niektórzy intuicyjnie lub z ciekawości zajrzą do załącznika.

Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”

– radzi ekspert.

Okazuje się, że naprawdę zdarzają się internauci, którzy klikną takiego e-maila, nawet jeżeli nie są klientami danej firmy. To mogą być osoby starsze, seniorzy.

Klienci, którzy faktycznie korzystają z usług danej firmy, powinni zwrócić uwagę, czy adres nadawcy zgadza się z poprzednią korespondencją. W Play faktury wysyłane są z [email protected], a w Orange – z adresu [email protected]

Gdy adres się nie zgadza, e-maila należy od razu skasować bez klikania w załącznik.

Zobacz: Tajemniczy numer +48452144829 nęka Polaków. Wyjaśniam
Zobacz: Klik bankructwa. Kosztował Polaka 165 tys. zł
  
 

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Telepolis.pl, Blog Orange

Źródło tekstu: Blog Orange Polska