Archiwum kategorii: Bezpieczeństwo

Fałszywe wezwanie do uregulowania należności od Play

Na skrzynki pocztowe użytkowników zaczęły w ostatnim czasie przychodzić maile o temacie Play – Wezwanie do uregulowania należności.

Mail ma sprawiać wrażenie prawdziwego ponieważ jako nadawca figuruje awizo@mojefinanseplay.pl czyli rzeczywisty adres Play-a. W mailu może pojawić prośba o wysłanie potwierdzenia o przeczytaniu wiadomości i wówczas jako odbiorca pojawia się całkiem inny mail (nie należy wysyłać potwierdzenia – wówczas atakujący będzie wiedział, że nasz adres istnieje i jest aktywny) .

Mail zawiera załącznik o nazwie Play Mobile – wezwanie do uregulowania naleznosci.pdf. Po jego kliknięciu przez potencjalną ofiarę wykonany jest skrypt java script, który może zainfekować komputer (oczywiście nigdy nie należy klikać w podejrzane załączniki – test wykonano w wyizolowanym środowisku testowym).

Biznes-Host przestrzega przed fałszywymi mailami

Firma H88 S.A. (właściciel Biznes-Host.pl) przestrzega przed fałszywymi mailami zawierającymi potencjalnie niebezpieczny załącznik. Treść komunikatu:

Ważne ostrzeżenie!

W dniu dzisiejszym dotarły do nas sygnały, iż niektóre osoby otrzymały korespondencję łudząco podobną do naszych maili. Wiadomość zachęca do otwarcia załącznika, zawierającego szkodliwe oprogramowanie, pod pretekstem sprawdzenia poprawności danych na fakturze.

NIGDY nie wysyłamy maili z fakturami lub innymi dokumentami rozliczeniowymi w postaci archiwum .zip. Jeśli otrzymasz tego rodzaju korespondencję od osoby podszywającej się pod nas, nie otwieraj jej tylko od razu skasuj, ponieważ archiwum zawiera szkodliwe oprogramowanie.

Elementy, które pozwalają odróżnić fałszywego maila to przede wszystkim:
– brak polskich znaków (nasze maile mają polskie znaki)
– załącznik zip (nie stosujemy takich załączników)

Pozdrawiamy,
Zespół Biznes-Host.pl

Poniżej zrzut komunikatu od Biznes-Host.pl:

Fałszywe maile – tym razem na celowniku klienci ING

W sieci pojawiły się maile mające skłonić właścicieli kont w ING w kliknięcie w spreparowany link. Na szczęście mail jest dosyć prymitywnie przygotowany – sama treść bez żadnych elementów graficznych. Jest niemalże identyczny z mailami wysyłanymi do klientów PKO BP. Dodatkowo nie ma nawet maskarady adresu e-mail dzięki czemu od razu widać, że wiadomość nie została wysłana przez ING:

Żeby było ciekawej nawet stopka mająca uwiarygodnić korespondencję jest niespójna logicznie: ING Bank Śląski S.A. z siedzibą we Wrocławiu, ul. Sokolska 34, 40-086 Katowice, zarejestrowany w Sądzie Rejonowym dla Katowic – Fabrycznej.

Wiadomość może posiadać jeden z kilku tematów:
Weryfikacja w systemie ING
Blokada konta ING
Blokada rachunku ING

Treść:

Dostęp do Twojego konta ING został zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy twoje konto w systemie ING Bank Śląski, powodem jest nieautoryzowany dostęp do konta.
W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.ingbank.pl/weryfikacja

Serdecznie pozdrawiamy,
Zespół ING Bank Śląski S.A.

W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 801 601 607

Ten e-mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać. ING Bank Śląski S.A. z siedzibą we Wrocławiu, ul. Sokolska 34, 40-086 Katowice, zarejestrowany w Sądzie Rejonowym dla Katowic – Fabrycznej, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000005459, REGON 271514909, NIP 634 013 54 75, kapitał zakładowy i wpłacony 792.345.340 zł.

Poniżej zrzut maila:

Fałszywe wiadomości e-mail podszywające się pod firmę kurierską DPD Polska

Kolejny atak z wykorzystaniem nazwy i loga znanej firmy. Tym razem padło na DPD Polska. Mail o temacie „DPD – Twoja przesyłka zostanie dziś doręczona” jest bardzo dobrze przygotowany. Nagłówek sugeruje, że został wysłany z domeny dpd.com.pl czyli od firmy DPD. Cała strona graficzna maila też jest wykonana bardzo profesjonalnie i do złudzenia przypomina mail od firmy DPD. Pod numerem przesyłki znajduje się link który kieruje użytkownika do pliku z rozszerzeniem .vbe (VBScript Encoded Script File).

Poniżej zrzut maila:

Komunikat na stronie DPD.

Kolejna mutacja maila podszywającego się pod Pocztę Polską

Temat: Poczta Polska – Powiadomienie o nieodebranej przesyłce

Treść:

Wtamy Serdecznie !

Wiadomość ta została do Ciebie wysłana automatycznie przez nasz system powiadamiania o przesyłkach awizowanych Poczty Polskiej.
Dnia 24-03-2016 została podjęta próba dostarczenia przesyłki która zakończyła się niepowodzeniem.
Ponieważ nasz pracownik nie zastał Cie pod wskazanym adresem zamieszkania.

Przesyłka została przekazana do najbliższej placówki pocztowej.
Szczegółowe dane na temat paczki oraz numer referencyjny do jej odebrania znajdziesz w elektronicznym awizo .

Z Wyrazami Szacunku
System Awizowania
Poczta Polska Spółka Akcyjna,
ul. Rodziny Hiszpańskich 8,
00-940 Warszawa
NIP: 525-000-73-13,
KRS: 0000334972
Sąd Rejestrowy: Sąd Rejonowy dla m.st. Warszawy kapitał zakładowy: 774.140.000, w całości wpłacony

Zrzut:

Szczegółowy komunikat na stronie Poczty Polskiej

Mail Document 2 udający, że pochodzi z naszego własnego adresu mailowego

Od kilku dni na skrzynki pocztowe wielu internautów przychodzą maile z tematem Document 2, najczęściej bez treści i załącznikiem Document 2 . zip. Żeby wzbudzić ciekawość użytkownika adres nadawcy jest taki sam jak adres odbiorcy – mail sugeruje, że sami do siebie wysłaliśmy maila. Oczywiście mail ten nie został przez nas wysłany tylko przez jakiś zainfekowany w sieci komputer lub serwer.

Poniżej zrzut takiego maila:

Jeżeli dostaliśmy takiego maila należy go bezwzględnie usunąć! W żadnym wypadku nie klikamy w załącznik. Jeśli otworzymy załącznik wówczas aktywuje się skrypt, który ściąga i instaluje program locky. Jest to aplikacja typu ransomware czyli szyfrująca dane użytkownika.

Mogą występować różne mutacje tego maila więc równie dobrze w temacie może być Document 1 jak i Document 99 , itp.

[Aktualizacja 23.03.2016]

Obecnie po sieci krąży też wersja z przykładowym tematem Image4686442875716.pdf, treścią Sent from my Sony Xperia™ smartphone oraz załącznikiem Image4686442875716.zip. Oczywiście ciąg cyfr w temacie wiadomości oraz nazwie załącznika jest losowy.

Kolejna próba wyłudzenia danych od użytkowników Allegro

Dzisiaj dotarł do mnie kolejny mail, którego celem jest wyłudzenie danych osobowych. Tym razem skierowany jest on do użytkowników najpopularniejszego serwisu aukcyjnego w Polsce czyli Allegro. Autor maila „informuje”, że ze względów bezpieczeństwa konto zostało tymczasowo zablokowane. Aby aktywować ponownie konto należy przesłać na podany w wiadomości adres e-mail kolorowy skan dokumentu tożsamości oraz własne zdjęcie z dokumentem tożsamości trzymanym blisko twarzy.

Wiadomość jest w miarę dobrze sfabrykowana – adres nadawcy w nagłówku wiadomości jest podmieniony na adres w domenie allegro.pl ( no-reply@allegro.pl).

Do życzenia trochę pozostawia treść, która jest bez polskich znaków. Przy pobieżnym czytaniu można się jednak nabrać. Adres na który należy rzekomo wysłać dokumenty w ogóle nie pasuje gdyż nie jest on w domenie allegro.pl.

Poniżej pełna treść podejrzanego maila.

Temat: Twoje konto Allegro

Treść:

Twoje konto Allegro

03 listopada 2015, 12:49

Drogi kliencie,

Pragniemy poinformowac,ze wzgledu na wykonaniu rutynowych audyt bezpieczenstwa, twoje konto zostalo tymczasowo zawieszone dopóki nie spelniaja nastepujacych wymagania:

1. Dostarczyc kolorowa kopie waznego dokumentu tozsamosci; takie jak miedzynarodowy paszport (podwójna strona), dowód osobisty lub prawo jazdy (dokumenty musza byc wyraznie widoczne).

2. Dostarczyc twoje zdjecie trzymajac dokument tozsamosci blisko twarzy (dokumenty musza byc wyraznie widoczne).

Wymagane dokumenty nalezy przeslac poczta elektroniczna na: allegro-weryfikacja@mail15.com
Przepraszamy za ewentualne niedogodnosci, jednak Allegro musza byc zgodne z nowym prawodawstwem. Nalezy pamietac, ze Twoje konto zostanie zawieszone, dopóki nie sa zgodne z wymaganiami.

Pozdrawiamy,
Zespól Allegro.

Grupa Allegro Sp. z o.o. z siedziba w Poznaniu, 60-166 Poznan, przy ul. Grunwaldzkiej 182, wpisana do rejestru przedsiebiorców prowadzonego przez Sad Rejonowy Poznan – Nowe Miasto i Wilda w Poznaniu, Wydzial VIII Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS 0000268796, o kapitale zakladowym w wysokosci 33 916 500 zl, posiadajaca numer identyfikacji podatkowej NIP: 527-25-25-995

Zrzut maila:

Użytkownicy Apple’a znowu na celowniku

W Internecie znowu pojawił się spam skierowany do użytkowników rozwiązań Apple’a. Sugeruje on, że wykryta została na Apple ID użytkownika podejrzana aktywność w związku z czym został ograniczony dostęp do konta. Aby w dalszym ciągu korzystać z konta należy kliknąć w link i postępować zgodnie z podanymi instrukcjami.

Oczywiście mail nie jest wysłany przez firmę Apple, mimo że domena nadawcy się to zasugerować (app.cc). Zawarty w mailu link też kieruje na podejrzaną stronę. Wygląda na to, że korespondencja ta jest wysyłana na przypadkowe adresy e-mail.

Pełna treść maila:

Temat: We recently noticed an unusual activity in your Apple ID

Treść:

Dear customer,

We’ve limited access to your account as a result of an
unusual sign-in activity.
    Date and Time : 02 October 2015
    Browser : Mozilla/5.0 (Windows NT 6.3; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.15
Safari/537.36
    Operation System : Windows NT GFX 6.2 build 9200

For further use of your account you need to verify it by
following few steps over My AppleID
Zrzut:

NASK przestrzega przed fałszywymi wiadomościami e-mail

Na swojej stronie NASK umieścił komunikat ostrzegający abonentów nazw w domenie .pl przed wiadomościami wysyłanymi przez „Krajowy Spis i Rejestr Domen”. Wiadomość zawiera informację dotyczące wpisywania nazw domen na czarną listę rejestru.

Instytucja o nazwie „Krajowy Spis i Rejestr Domen” nie istnieje, a tym samym, nie współpracuje z NASK w jakimkolwiek zakresie, informuje krajowy rejestr nazw internetowych w domenie „.pl”

NASK sugeruje nie podejmowanie żadnych czynności zawartych w otrzymanych wiadomościach email.

Pełna treść komunikatu na stronie dns.pl

Kolejna próba podszycia się pod Pocztę Polską

Po raz kolejny ktoś próbuje podszyć się pod Pocztę Polską wysyłając maile o następującej treści:

Informacja!

Twoja paczka nie została doręczona w wyznaczonym czasie w dniu 24 lipiec 2015, ponieważ nikt nie otworzył drzwi. Informacje dotycza ce przesyłki możesz otrzymać klikaja c link. Odebrać przesyłkę możesz w dowolnym najbliższym biurze, pod warunkiem podania wydrukowanej informacji o przesyłce.

Odbierz dane dotyczące twojej przesyłki

Uwaga!
Przechowywanie przesyłki ponad 30 dni wiaże się z naliczeniem kary. Informacje o przechowywaniu oraz pobieranych opłatach dostępne na naszej stronie internetowej.

Z powazaniem,
Poczta Polska.

Screen podejrzanego maila

Jak widać na powyższym zrzucie próba ta jest w tym przypadku raczej prymitywna. Mail zawiera wyłącznie tekst, który też pozostawia wiele do życzenia. Od kiedy to można odbierać przesyłki „w dowolnym najbliższym biurze”? Jak widać są też problemy z polskimi znakami.

Jeśli przyjrzymy się z jakiego adresu został ten mail nadany to zauważymy, że nie jest to adres powiązany z Pocztą Polską. Domena g-poczta.info nie należy do naszego operatora pocztowego.

Link w mailu również prowadzi do bliżej nieznanej strony:

Jako ciekawostkę warto dodać, że na końcu maila znajduje się odnośnik Unsubscribe. Wynika z tego, że mamy do czynienia z listą mailingową a nie indywidualnie skierowanym powiadomieniem. Oczywiście nie należy klikać w żadne linki takiej podejrzanej korespondencji! Najlepiej od razu skasować taki mail.