Archiwa tagu: fałszywka

Fałszywe wezwanie do uregulowania należności od Play

Na skrzynki pocztowe użytkowników zaczęły w ostatnim czasie przychodzić maile o temacie Play – Wezwanie do uregulowania należności.

Mail ma sprawiać wrażenie prawdziwego ponieważ jako nadawca figuruje awizo@mojefinanseplay.pl czyli rzeczywisty adres Play-a. W mailu może pojawić prośba o wysłanie potwierdzenia o przeczytaniu wiadomości i wówczas jako odbiorca pojawia się całkiem inny mail (nie należy wysyłać potwierdzenia – wówczas atakujący będzie wiedział, że nasz adres istnieje i jest aktywny) .

Mail zawiera załącznik o nazwie Play Mobile – wezwanie do uregulowania naleznosci.pdf.  Po jego kliknięciu przez potencjalną ofiarę wykonany jest skrypt java script, który może zainfekować komputer (oczywiście nigdy nie należy klikać w podejrzane załączniki – test wykonano  w wyizolowanym środowisku testowym).

Biznes-Host przestrzega przed fałszywymi mailami

Firma H88 S.A. (właściciel Biznes-Host.pl) przestrzega przed fałszywymi mailami zawierającymi potencjalnie niebezpieczny załącznik. Treść komunikatu:

Ważne ostrzeżenie!

W dniu dzisiejszym dotarły do nas sygnały, iż niektóre osoby otrzymały korespondencję łudząco podobną do naszych maili. Wiadomość zachęca do otwarcia załącznika, zawierającego szkodliwe oprogramowanie, pod pretekstem sprawdzenia poprawności danych na fakturze.

NIGDY nie wysyłamy maili z fakturami lub innymi dokumentami rozliczeniowymi w postaci archiwum .zip. Jeśli otrzymasz tego rodzaju korespondencję od osoby podszywającej się pod nas, nie otwieraj jej tylko od razu skasuj, ponieważ archiwum zawiera szkodliwe oprogramowanie.

Elementy, które pozwalają odróżnić fałszywego maila to przede wszystkim:
– brak polskich znaków (nasze maile mają polskie znaki)
– załącznik zip (nie stosujemy takich załączników)

Pozdrawiamy,
Zespół Biznes-Host.pl

Poniżej zrzut komunikatu od Biznes-Host.pl:

Fałszywe maile – tym razem na celowniku klienci ING

W sieci pojawiły się maile mające skłonić właścicieli kont w ING w kliknięcie w spreparowany link. Na szczęście mail jest dosyć prymitywnie przygotowany – sama treść bez żadnych elementów graficznych. Jest niemalże identyczny z mailami wysyłanymi do klientów PKO BP. Dodatkowo nie ma nawet maskarady adresu e-mail dzięki czemu od razu widać, że wiadomość nie została wysłana przez ING:

ing_falszywy_mail_adr

Żeby było ciekawej nawet stopka mająca uwiarygodnić korespondencję jest niespójna logicznie: ING Bank Śląski S.A. z siedzibą we Wrocławiu, ul. Sokolska 34, 40-086 Katowice, zarejestrowany w Sądzie Rejonowym dla Katowic – Fabrycznej.

Wiadomość może posiadać jeden z kilku tematów:
Weryfikacja w systemie ING
Blokada konta ING
Blokada rachunku ING

Treść:

Dostęp do Twojego konta ING został zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy twoje konto w systemie ING Bank Śląski, powodem jest nieautoryzowany dostęp do konta.
W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.ingbank.pl/weryfikacja

Serdecznie pozdrawiamy,
Zespół ING Bank Śląski S.A.

W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 801 601 607

Ten e-mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać. ING Bank Śląski S.A. z siedzibą we Wrocławiu, ul. Sokolska 34, 40-086 Katowice, zarejestrowany w Sądzie Rejonowym dla Katowic – Fabrycznej, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000005459, REGON 271514909, NIP 634 013 54 75, kapitał zakładowy i wpłacony 792.345.340 zł.

Poniżej zrzut maila:

ing_falszywy_mail

Fałszywe wiadomości e-mail podszywające się pod firmę kurierską DPD Polska

Kolejny atak z wykorzystaniem nazwy i loga znanej firmy. Tym razem padło na DPD Polska. Mail o temacie DPD – Twoja przesyłka zostanie dziś doręczona” jest bardzo dobrze przygotowany. Nagłówek sugeruje, że został wysłany z domeny dpd.com.pl czyli od firmy DPD. Cała strona graficzna maila też jest wykonana bardzo profesjonalnie i do złudzenia przypomina mail od firmy DPD. Pod numerem przesyłki znajduje się link który kieruje użytkownika do pliku z rozszerzeniem .vbe (VBScript Encoded Script File).dpd_link_fake

Poniżej zrzut maila:

dpd_fake_mail

Komunikat na stronie DPD.

 

Kolejna mutacja maila podszywającego się pod Pocztę Polską

Temat: Poczta Polska –  Powiadomienie o nieodebranej przesyłce

Treść:

Wtamy Serdecznie ! 

Wiadomość ta została do Ciebie wysłana automatycznie przez nasz system powiadamiania o przesyłkach awizowanych Poczty Polskiej.
Dnia 24-03-2016 została podjęta próba dostarczenia przesyłki która zakończyła się niepowodzeniem.
Ponieważ nasz pracownik nie zastał Cie pod wskazanym adresem zamieszkania.

Przesyłka została przekazana do najbliższej placówki pocztowej.
Szczegółowe dane na temat paczki oraz numer referencyjny do jej odebrania znajdziesz w elektronicznym awizo .

Z Wyrazami Szacunku
System Awizowania
Poczta Polska Spółka Akcyjna,
ul. Rodziny Hiszpańskich 8,
00-940 Warszawa
NIP: 525-000-73-13,
KRS: 0000334972
Sąd Rejestrowy: Sąd Rejonowy dla m.st. Warszawy kapitał zakładowy: 774.140.000, w całości wpłacony

Zrzut:

pp

Szczegółowy komunikat na stronie Poczty Polskiej

Kolejna próba wyłudzenia danych od użytkowników Allegro

Dzisiaj dotarł do mnie kolejny mail, którego celem jest wyłudzenie danych osobowych. Tym razem skierowany jest on do użytkowników najpopularniejszego serwisu aukcyjnego w Polsce czyli Allegro. Autor maila „informuje”, że ze względów bezpieczeństwa konto zostało tymczasowo zablokowane. Aby aktywować ponownie konto należy przesłać na podany w wiadomości adres e-mail kolorowy skan dokumentu tożsamości oraz własne zdjęcie z dokumentem tożsamości trzymanym blisko twarzy.

Wiadomość jest w miarę dobrze sfabrykowana – adres nadawcy w nagłówku wiadomości jest podmieniony na adres  w domenie allegro.pl  ( no-reply@allegro.pl).

allegro_fakeDo życzenia trochę pozostawia treść, która jest bez polskich znaków. Przy pobieżnym czytaniu można się jednak nabrać. Adres na który należy rzekomo wysłać dokumenty w ogóle nie pasuje gdyż nie jest on w domenie allegro.pl.

Poniżej pełna treść podejrzanego maila.

Temat: Twoje konto Allegro

Treść:

Twoje konto Allegro

03 listopada 2015, 12:49
Drogi kliencie,

Pragniemy poinformowac,ze wzgledu na wykonaniu rutynowych audyt bezpieczenstwa, twoje konto zostalo tymczasowo zawieszone dopóki nie spelniaja nastepujacych wymagania:

1. Dostarczyc kolorowa kopie waznego dokumentu tozsamosci; takie jak miedzynarodowy paszport (podwójna strona), dowód osobisty lub prawo jazdy (dokumenty musza byc wyraznie widoczne).

2. Dostarczyc twoje zdjecie trzymajac dokument tozsamosci blisko twarzy (dokumenty musza byc wyraznie widoczne).

Wymagane dokumenty nalezy przeslac poczta elektroniczna na: allegro-weryfikacja@mail15.com
Przepraszamy za ewentualne niedogodnosci, jednak Allegro musza byc zgodne z nowym prawodawstwem. Nalezy pamietac, ze Twoje konto zostanie zawieszone, dopóki nie sa zgodne z wymaganiami.

 

Pozdrawiamy,
Zespól Allegro.

Grupa Allegro Sp. z o.o. z siedziba w Poznaniu, 60-166 Poznan, przy ul. Grunwaldzkiej 182, wpisana do rejestru przedsiebiorców prowadzonego przez Sad Rejonowy Poznan – Nowe Miasto i Wilda w Poznaniu, Wydzial VIII Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS 0000268796, o kapitale zakladowym w wysokosci 33 916 500 zl, posiadajaca numer identyfikacji podatkowej NIP: 527-25-25-995

Zrzut maila:

allegro_mail_fake

Użytkownicy Apple’a znowu na celowniku

W Internecie znowu pojawił się spam skierowany do użytkowników rozwiązań Apple’a. Sugeruje on, że wykryta została na  Apple ID użytkownika podejrzana aktywność w związku z czym został ograniczony dostęp do konta. Aby w dalszym ciągu korzystać z konta należy kliknąć w link i postępować zgodnie z podanymi instrukcjami.

Oczywiście mail nie jest wysłany przez firmę Apple, mimo że domena nadawcy się to zasugerować (app.cc). Zawarty w mailu link też kieruje na podejrzaną stronę. Wygląda na to, że korespondencja ta jest wysyłana na przypadkowe adresy e-mail.

Pełna treść maila:

Temat: We recently noticed an unusual activity in your Apple ID

Treść:

Dear customer,

We’ve limited access to your account as a result of an
unusual sign-in activity.
    Date and Time : 02 October 2015
    Browser : Mozilla/5.0 (Windows NT 6.3; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.15
Safari/537.36
    Operation System : Windows NT GFX 6.2 build 9200

For further use of your account you need to verify it by
following few steps over My AppleID
Zrzut:

apple_fake