Michał Rosiak 
Ostatni tydzień, jeśli chodzi o maile od Was do CERT Orange Polska, zdominowały fałszywe faktury. Przestępcy już chyba przeszli do porządku dziennego nad pandemią. Świat luzuje obostrzenia, więc oni też, w efekcie obserwujemy naprawdę mnóstwo latających po sieci maili, podszywających się pod - w większości - Orange Polska.
"Dlaczego wysyłacie mi jakieś faktury?!"
W ostatnich dniach ciężko policzyć wszystkie informacje, jakie dostaliśmy od Was na temat domniemanych "faktur od Orange". Jak łatwo się domyślić - o czym (o tym jak łatwo) za chwilę - nie mamy z ich wysyłką nic wspólnego. Mimo to wiadomości od Was utrzymywane są w tonach... Hmmm, cóż - znacząco różnych :)
Dzień dobry, dostałam/em coś takiego, to chyba wirus, więc Wam przesyłam
To na szczęście zdecydowanie najpopularniejsza forma wiadomości od Was. Czasami zdarzają się jednak też takie:
Z jakiej racji dostałem od was jakąś fakturę, jak ja nawet usług waszych nie mam?!
albo jeszcze mocniejsze, takie:
Nie życzę sobie jakichkolwiek faktur wysyłanych drogą elektroniczną. Mam jedno życie i nie zamierzam go stracić na drążenie problemu faktur za które nikt ponoć nie odpowiada (...)
Rozumiem emocje, a ton akurat tego maila, którego część pozwoliłem sobie zacytować, był utrzymany w tonie sarkastycznym. Dobry sarkazm zawsze w cenie, dlatego rozmowę z autorem kontynuowałem, wyjaśniając mu o co w tym wszystkim chodzi.
A o co chodzi?
Wróćmy jeszcze kilka linijek wyżej, do użytkownika, który dziwił się, że dostał od nas "fakturę" nie mając usług w Orange Polska. No właśnie - mail trafił do niego absolutnie losowo (aczkolwiek mimowolnie nieco się do tego przyłożył). Najpierw opublikował gdzieś w sieci swój adres mailowy, w kolejnym kroku "czeszące" internet nieprzerwanie crawlery znalazły go (i wiele innych) na koniec przestępca zebrał je razem (albo kupił od kogoś), przygotował mail phishingowy i wysłał. Licząc, że w grupie kilku/dziesięciu tysięcy adresów znajdą się klienci naszych usług! Po prostu. No dobra, nie tylko naszych - wśród kampanii z ostatnich dni poza Orange Polska atakowani są jeszcze klienci Play i DHL. Jeśli ktoś uzna, że to oszustwo - po prostu skasuje, może wyśle informację do nas (cert.opl@orange.com, polecam). Jeśli ma usługi w Orange Polska - tu gorzej, bo faktycznie odruchowo może coś kliknąć. Tymczasem maile z fakturami bardzo łatwo odróżnić!
 |
 |
Z lewej moja faktura za usługi, z prawej - mail od przestępców. Różnicę widać już na pierwszy rzut oka, przestępcy śląc do wszystkich takiego samego maila nie wpiszą doń Waszego imienia i nazwiska bo najzwyczajniej w świecie go nie mają! No i oczywiście adres nadawcy - nasze maile przychodzą z adresu e-faktura@pl.orange.com
Co dzieje się dalej?
Dalej, jeśli ktoś da się przekonać i będzie chciał zajrzeć do rzekomej faktury, otworzy załączony plik xlsx lub xlsm (nasze faktury przychodzą w PDFach). Potem kliknie zgodę na "włączenie treści", co pozwoli na uruchomienie makr i... już po wszystkim. No chyba, że faktycznie macie usługi w Orange Polska, to wtedy o ile CyberTarcza nie stanie na przeszkodzie infekcji, to na połączenie zarażonego komputera z serwerem Command&Control botnetu już nie pozwoli. Dlatego warto regularnie wchodzić na stronę CyberTarczy, by sprawdzić, czy przypadkiem nie złapaliśmy jakiejś "niespodzianki".
Co znajdziecie w złośliwych plikach? Po szczegóły pozwolę sobie wysłać Was na stronę CERT Orange Polska, gdzie pisałem o kampaniach przenoszących Danabota i ZLoadera. Co gorsza, przestępcy regularnie wrzucają nowe, za każdym razem nieco "stuningowane" wersje pliku, co utrudnia wykrycie go przez antywirusy. A co oba złośniki robią? W skrócie - chcą wykraść nasze loginy i hasła do banków. A potem nasze oszczędności. Nie dajmy przestępcom tej przyjemności. Uważajcie na siebie.
Marta Krajewska 
Monika Kulik 
Komentarze
Ciągle trzeba się pilnować, a Ty Michale cały czas nam o tym przypominasz. Dziękuję 🙂 Uważam że obecnie najbezpieczniejszym sposobem płatności za rachunki jest płatność z pozycji aplikacji Mój Orange.
Odpowiedz