Mail z fakturą - to jedna z form potencjalnego kontaktu z Tobą dostawcy Twoich usług. Niestety - nie tylko niego. Przestępcy bardzo chętnie podszywają się pod taką korespondencję. W CERT Orange Polska w ostatnich dniach obserwujemy kolejną falę fałszywych maili.
W pierwszych wiadomościach, udających mail z fakturą, które zaobserwowaliśmy, oszuści podszywają się pod Play Polska. Mam jednak przeczucie graniczące z pewnością, że to tylko kwestia czasu, kiedy kolorystyka i nazewnictwo zmienią się na pomarańczowe. Istotne jest jednak, że fakt, iż - ewentualnie - dostaniecie takiego maila,
nie oznacza, że Wasze dane wyciekły od operatora!
To po prostu najzwyczajniejszy na świecie phishing wolumenowy. Oszuści wysyłają setki tysięcy takich maili. A jeśli załóżmy przy milionie wiadomości 20% adresatów okaże się faktycznie korzystać z usług firmy X (200 000 osób), a 2% z nich da się oszukać (wierzcie mi, że to i tak zaniżona konwersja), mamy 4 tysiące oszukanych! 4 tysiące osób które... o tym będzie nieco dalej.
Jak wygląda "mail z fakturą"?
Te, które trafiają do nas od początku tygodnia, wyglądają tak:
Kolorystyka charakterystyczna dla nadużywanej marki. Treści przygotowane bez błędów. Sam - gdybym nie siedział w bezpieczeństwie od lat - mógłbym się na to złapać! Nawet domenę, z której przyszła wiadomość oszuści dobrali całkiem sprytnie! Tak naprawdę jedyne, co powinno zapalić Wam w głowach czerwoną lamp... tzn. wielki czerwony sygnalizator, jeszcze z wyjącą syreną, to ostatnia linijka maila - hasło do archiwum. Nie spotkałem się nigdy z tak przesyłanymi dokumentami. Tzn. ok, dostawałem maile z dokumentacją medyczną. Ale wtedy hasło dostawałem SMSem, bądź w mailu widniała informacja, że jest nim 5 ostatnich cyfry mojego PESELu (dobrze, że nie sześć pierwszych ;) ). W takim przypadku hasło ma tylko jeden cel. Uniemożliwić systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i ew. zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.
Pokaż kotku, co masz w środku?
Nasz "mail z fakturą" nie zawiera oczywiście faktury. W archiwum znajduje się plik "faktura_0722[.]lnk", po uruchomieniu pobierający docelowy złośliwy plik. Szczegóły techniczne znajdziecie w tekście na stronie CERT Orange Polska. W tym miejscu zaznaczę tylko, że uruchamiając plik z archiwum instalujemy infostealera Vidar. To oprogramowanie wyspecjalizowane w - jak wskazuje nazwa - wykradaniu danych z komputera ofiary. Przede wszystkim tych najbardziej opłacalnych - loginów i haseł (do banku, serwisów społecznościowych, maila, czy portfeli kryptowalutowych). Co gorsza - i co czyni atak jeszcze groźniejszym -gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego!
Co zrobić? Jak mogę uniknąć ataku?
Ataku nie unikniesz. Jeśli Twój adres e-mail hula sobie gdzieś po sieci to prędzej, czy później, dostaniesz "mail z fakturą". Możesz jednak uniknąć stania się ofiarą ataku. Jak?
Jeśli trafi do Ciebie wiadomość od operatora/usługodawcy, upewnij się, czy na pewno korzystasz z jego usług! Ta rada tyczy się nie tylko maili, ale też np. SMSów o konieczności drobnej dopłaty, bo coś jest nie tak z Twoim rachunkiem.
Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: "Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?"
To nie żart. Naprawdę zdarzają się internauci, którzy tak robią. I nie, nie śmiej się z nich - kimś takim mogą się okazać Twoi mama/wujek/babcia... Może teraz myślisz: "Co za baranem trzeba być, żeby tak zrobić?!"? W takim przypadku po prostu zadzwoń do swoich seniorów i sam/a im o takich sytuacjach opowiedz. To na pewno przyniesie pozytywny skutek.
Co jeśli masz usługi w firmie, która - jak się wydaje - przysłała Ci maila? Wtedy upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją. W przypadku faktur z Orange Polska, maile przychodzą z adresu e-faktura@pl.orange.com.
Gdyby zdarzyło się, że mail zawierałby zaszyfrowany plik, a w treści kod do jego odszyfrowania - usuń go bez czytania. To oszustwo.
No i na koniec. W przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek - upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach
Uważaj, bądź bezpieczna/y, ostrzeż znajomych!
A my będziemy robić swoje, żeby #CyberTarcza, nawet jeśli ktoś okaże się niefrasobliwy, ustrzegła każdego przed konsekwencjami kliknięcia.
Komentarze
W końcu… no i jeszcze jedna kwestia – dajcie możliwość wyłączenia zarządzania urządzeniem, albo umożliwcie wejście do niego jakimś hasłem, czymkolwiek. Bo kliknę i widzę swoje urządzenia, adresy MAC, a hasło do WiFi jest przechowywane, jako plaintext. Więc baaardzo słabo. Zabezpieczcie to wejście nawet przy 2fa. I czy da się obejść bez SMSów np.powiadomienie PUSH w aplikacji mobilnej?
OdpowiedzPrzywrócicie możliwość wymiany karty na eSIM ze strony Mój Orange, albo dodacie taką możliwość do aplikacji?
OdpowiedzA moze pochwalicie sie ze cichaczem wycofaliscie z aplikacji doladowanie za 5 zlotych?
OdpowiedzCo się stało z doładowaniami 5zł na stronie orange? Najniższe od 10zł się zaczyna
OdpowiedzPiotrek, Jakub w kwestii doładowania kwotą 5 zł: To decyzja biznesowa. Testujemy różne rozwiązania marketingowe dotyczące doładowań konta poprzez stronę doladowania.orange.pl i w Mój Orange. Planujemy zakończyć je w tym miesiącu.
Odpowiedz