Uważajcie na dziwne maile i niczego w nich nie klikajcie! Już od ponad miesiąca nasze systemy bezpieczeństwa notują olbrzymi wzrost ataków przy użyciu trojana Nymaim, będącego mutacją okrytego niechlubną sławą Cryptolockera – zagrożenia, które zaszyfruje Wam dysk i na które niestety nie ma lekarstwa (poza zapłacaniem okupu cyber-przestępcom)!

O atakach z użyciem Nymaima informowaliśmy na stronie CERT Orange Polska już 17 kwietnia. Wtedy wzrost trwał bodaj dwa dni, ale teraz już od pewnego czasu odsetek aktywności tego złośliwego oprogramowania w naszej sieci przekracza 40 procent! Stawiam dolary przeciwko orzechom, że o tym samym zagrożeniu pisał niedawno na Niebezpieczniku Piotrek Konieczny. Nie zmienia to jednak faktu, że:

• mamy inne grupy docelowe Czytelników
• edukacji nigdy nie za wiele!

Pamiętajcie zatem, by:

• nigdy nie klikać w żadne załączniki ani linki w mailach, których nie oczekiwaliście
• nawet nie klikać na załącznik – np. w przypadku Outlooka wystarczy otworzyć podgląd pliku ze złośliwym „wsadem”, by stać się ofiarą ataku
• jeśli macie wątpliwości, czy to prawdziwa wiadomość, zadzwońcie do firmy, od której wydaje się pochodzić (na numer ze strony, nie z maila)
• nie odkładać na później aktualizacji bezpieczeństwa systemu i aplikacji

A jeśli dostaniecie podejrzanego maila – zawsze warto zachować go do pliku i wysłać do analizy moim kolegom z CERT Orange Polska, używając formularza zgłoszenia incydentu.

Naprawdę uważajcie – odczyty z naszych systemów wskazują, że skala ataku jest BARDZO duża, a eksperci bezpieczeństwa nie opracowali metody na odzyskanie dostępu do zaszyfrowanych bardzo mocnym kluczem danych. A tego byśmy nie chcieli.

Photo: IT Pro Portal

W ostatnich dniach, a wręcz godzinach, polskich internautów zalała fala e-maili z fałszywymi fakturami. Wśród przedsiębiorstw, pod których podszywają się cyber-przestępcy niestety jest również Orange Polska.

Po pierwsze i najważniejsze – nikomu nie wyciekły żadne listy klientów, przestępcy atakują „na ślepo”: domniemane wiadomości od Orange Polska trafiają do ludzi, którzy nigdy nie byli abonentami naszych usług; mnie zdarzyło się otrzymać „fakturę” od dostawcy, u którego nie mam usług, zaś kolega dowiedział się, że właśnie odebrał przesyłkę z paczkomatu i w załączniku jest potwierdzenie tego faktu.

Nasi eksperci z CERT Orange Polska analizują załączony plik pod kątem odwołań, m.in. do centrów kontroli sieci botnet, po to by zablokować dostęp do przestępczych adresów z naszej sieci. Nie oznacza to jednak, że nie trzeba uważać!

Jak nie paść ofiarą ataku? Jak można się było spodziewać, przestępcy wyciągnęli wnioski z poprzednich ataków i najzwyczajniej w świecie skopiowali treść maila, wysyłanego z e-Fakturą Orange Polska, a także w miejsce nadawcy podstawili faktyczny adres, z którego przychodzą nasze e-Faktury. Biorąc pod uwagę, specyfikę phishingu, który wysyłany jest do dużej liczby osób, nie są w stanie zmienić jednego – wpisać waszego, indywidualnego numeru Klienta!

Jeśli więc otrzymacie maila, z informacją o fakturze, sięgnijcie do starszych danych, i sprawdźcie, czy w nazwie pliku zawarty jest Wasz numer ewidencyjny klienta.

Numer ten znajdziecie w prawym górnym rogu pliku, pod danymi adresowymi, w formie 123 456 7890 1234. Od tych samych liczb, przedzielonych myślnikami, powinien się zaczynać numer dołączonego do maila pliku pdf, a same dołączone pliki muszą kończyć się rozszerzeniami .pdf oraz .pdf.xml.sig.

Pamietajcie o tym!

Main page graphics by allspammedup.com

Chyba nigdy mi się nie zdarzyło, by po siedmiu dniach kontynuować wpis sprzed tygodnia, ale tym razem cyber-przestępcy mnie do tego zmusili. Nie tylko nie odpuścili opisywanej tydzień temu tutaj akcji, a wręcz ją zintensyfikowali. Maile, które przychodzą teraz, tylko z pozoru są mniej groźne.

W ubiegłym tygodniu pisałem o wysyłanych do internautów mailach z załącznikami, sugerującymi, iż mamy do czynienia z wiadomością MMS. Po analizie – cóż za niespodzianka – moi koledzy zidentyfikowali w nich złośliwe oprogramowanie. Adresy, do których odwołuje się to paskudztwo, zostały oczywiście zablokowane z sieci Orange Polska, chłopaki z CERT Orange Polska monitorują oczywiście, czy nie pojawią się nowe. A niewątpliwie mogą, bowiem równolegle z opisywaną korespondencją do internautów trafiają „faktury” jednej z telewizji kablowych, działąjące na podobnej zasadzie, jak „MMSy”.

Teraz od kilku obserwujemy za to zalew maili wyglądających jak czysty spam, nie robiący… w zasadzie niczego nie robiący. Wysyłany z zespoofowanego adresu, sugerującego, iż pochodzi z telefonu komórkowego w sieci Orange, wygląda trochę jak… akcja marketingowa, promująca korzystanie z skrzynki MMS w ramach Multi Boxu. Zaręczam, że to nie my to wysyłamy, choć akurat te próbki, które trafiły do nas, faktycznie kierują pod adres www.orange.pl. O czym to może świadczyć? Np. o tym, że pierwsza fala ma za zadanie nie niepokoić potencjalnych ofiar, podczas, gdy za jakiś czas pojawią się kolejne podobne wiadomości, ale tym razem po najechaniu na link okaże się, że tak naprawdę kierują zupełnie gdzieś indziej. Choćby gdzieś do Rosji, bo na pochodzenie stamtąd wskazują nagłówki e-maili, które do nas trafiły. Tak więc, jeśli macie chwilę słabości i naprawdę interesujecie się, skąd się wziął mail, którego się nie spodziewaliście, zanim klikniecie w link, warto przynajmniej na niego najechać i sprawdzić, czy na pewno prowadzi tam, gdzie się nam wydaje. I nie zapominajcie, że w wielu czcionkach małe „el” i duże „i” wyglądają dokładnie tak samo, a i między dużym „o” i zerem można znaleźć jakąś nić podobieństwa. A nawet jeśli wydaje się Wam, że to może być oczekiwana faktura, nie zaszkodzi zerknąć, czy aby na pewno wygląda tak, jak wcześniejsze. Ostrożności nigdy za wiele – popadnięcie w rutynę może drogo kosztować.