Mail z fakturą – to jedna z form potencjalnego kontaktu z Tobą dostawcy Twoich usług. Niestety – nie tylko niego. Przestępcy bardzo chętnie podszywają się pod taką korespondencję. W CERT Orange Polska w ostatnich dniach obserwujemy kolejną falę fałszywych maili.

W pierwszych wiadomościach, udających mail z fakturą, które zaobserwowaliśmy, oszuści podszywają się pod Play Polska. Mam jednak przeczucie graniczące z pewnością, że to tylko kwestia czasu, kiedy kolorystyka i nazewnictwo zmienią się na pomarańczowe. Istotne jest jednak, że fakt, iż – ewentualnie – dostaniecie takiego maila,

nie oznacza, że Wasze dane wyciekły od operatora!

To po prostu najzwyczajniejszy na świecie phishing wolumenowy. Oszuści wysyłają setki tysięcy takich maili. A jeśli załóżmy przy milionie wiadomości 20% adresatów okaże się faktycznie korzystać z usług firmy X (200 000 osób), a 2% z nich da się oszukać (wierzcie mi, że to i tak zaniżona konwersja), mamy 4 tysiące oszukanych! 4 tysiące osób które… o tym będzie nieco dalej.

Jak wygląda „mail z fakturą”?

Te, które trafiają do nas od początku tygodnia, wyglądają tak:

Kolorystyka charakterystyczna dla nadużywanej marki. Treści przygotowane bez błędów. Sam – gdybym nie siedział w bezpieczeństwie od lat – mógłbym się na to złapać! Nawet domenę, z której przyszła wiadomość oszuści dobrali całkiem sprytnie! Tak naprawdę jedyne, co powinno zapalić Wam w głowach czerwoną lamp… tzn. wielki czerwony sygnalizator, jeszcze z wyjącą syreną, to ostatnia linijka maila – hasło do archiwum. Nie spotkałem się nigdy z tak przesyłanymi dokumentami. Tzn. ok, dostawałem maile z dokumentacją medyczną. Ale wtedy hasło dostawałem SMSem, bądź w mailu widniała informacja, że jest nim 5 ostatnich cyfry mojego PESELu (dobrze, że nie sześć pierwszych 😉 ). W takim przypadku hasło ma tylko jeden cel. Uniemożliwić systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i ew. zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.

Pokaż kotku, co masz w środku?

Nasz „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik. Szczegóły techniczne znajdziecie w tekście na stronie CERT Orange Polska. W tym miejscu zaznaczę tylko, że uruchamiając plik z archiwum instalujemy infostealera Vidar. To oprogramowanie wyspecjalizowane w – jak wskazuje nazwa – wykradaniu danych z komputera ofiary. Przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, maila, czy portfeli kryptowalutowych). Co gorsza – i co czyni atak jeszcze groźniejszym -gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego!

Co zrobić? Jak mogę uniknąć ataku?

Ataku nie unikniesz. Jeśli Twój adres e-mail hula sobie gdzieś po sieci to prędzej, czy później, dostaniesz „mail z fakturą”. Możesz jednak uniknąć stania się ofiarą ataku. Jak?

Jeśli trafi do Ciebie wiadomość od operatora/usługodawcy, upewnij się, czy na pewno korzystasz z jego usług! Ta rada tyczy się nie tylko maili, ale też np. SMSów o konieczności drobnej dopłaty, bo coś jest nie tak z Twoim rachunkiem.

Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”

To nie żart. Naprawdę zdarzają się internauci, którzy tak robią. I nie, nie śmiej się z nich – kimś takim mogą się okazać Twoi mama/wujek/babcia… Może teraz myślisz: „Co za baranem trzeba być, żeby tak zrobić?!”? W takim przypadku po prostu zadzwoń do swoich seniorów i sam/a im o takich sytuacjach opowiedz. To na pewno przyniesie pozytywny skutek.

Co jeśli masz usługi w firmie, która – jak się wydaje – przysłała Ci maila? Wtedy upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją. W przypadku faktur z Orange Polska, maile przychodzą z adresu e-faktura@pl.orange.com.

Gdyby zdarzyło się, że mail zawierałby zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

No i na koniec. W przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważaj, bądź bezpieczna/y, ostrzeż znajomych!

A my będziemy robić swoje, żeby #CyberTarcza, nawet jeśli ktoś okaże się niefrasobliwy, ustrzegła każdego przed konsekwencjami kliknięcia.

Osoby starsze najczęściej korzystają z placówek firm i banków, żeby osobiście uregulować bieżące rachunki. Dlatego, w związku z zagrożeniem koronawirusem i troską o ich zdrowie, zdecydowaliśmy się przedłużyć o dwa tygodnie terminy płatności ostatnich faktur dla seniorów w wieku 65+.

Dwa dodatkowe tygodnie na opłacenie rachunków

Chodzi o rachunki wystawione od 26 lutego do 14 marca. Oznacza to, że na ich zapłatę seniorzy mają dodatkowe 14 dni, licząc od daty płatności widocznej na rachunku. Wszyscy otrzymają informację o prolongacie SMS-em lub e-mailem na adres e-faktury.

Polecamy elektroniczne formy płatności

W obecnej sytuacji szczególnie zachęcamy, żeby korzystać z elektronicznych form płatności: przelewu lub polecenia zapłaty. Wiemy, że dla wielu seniorów może to być trudne, dlatego prosimy młodsze osoby w rodzinach czy znajomych, aby spróbowali ich w tym wesprzeć.

Zachęcamy do zdalnego kontaktu: Mój Orange, strona www

Wszystkich klientów prosimy, aby swoje sprawy z Orange Polska rozwiązywali w miarę możliwości przez Mój Orange, aplikację mobilną lub po zalogowaniu na stronie www.orange.pl Ze względu na szczególny czas zmieniło się funkcjonowanie naszej firmy, a kontakt telefoniczny będzie trudniejszy niż zazwyczaj. Dziękujemy bardzo za wyrozumiałość i przepraszamy za ewentualne utrudnienia w obsłudze.

Praca w CERT Orange Polska łączy się z co najmniej kilkoma wyjątkowymi rzeczami 🙂 Jedną z nich jest bez wątpienia możliwość praktycznie bezpośredniego dostępu do informacji o tym, co przestępcy usiłują robić w sieci Orange Polska. I o ile ostatnio faktycznie ilościowo zrobiło się nieco spokojniej, o tyle warto zwrócić uwagę na dwa szczególnie popularne ostatnio wśród przestępców typu ataków.

„Faktura” wiecznie żywa

Rozpoczęta w poniedziałek nie do końca udanym mailem seria „faktura od Orange” z dnia na dzień wygląda coraz lepiej (choć na szczęście jeśli zwracacie uwagę na przychodzące do Was maile, przypominające oficjalne, powinniście się zorientować). Niezależnie od tego, jak bardzo źli ludzie się postarają, pamiętajcie o tym, że nasze faktury zawierają strefę bezpieczeństwa. Jeśli dokument, który otrzymaliście rzekomo od nas, nie zawiera Waszego imienia i nazwiska oraz numeru klienta – skasujcie go bez klikania, a najlepiej, jeśli wcześniej wyślecie go jako załącznik na adres cert.opl@orange.com. Tu akurat przestępcy mają łatwo – treść naszego dokumentu z fakturą wystarczy po prostu skopiować. Warto pamiętać, by w każdym mailu (nieważne, czy od Orange Polska), patrzeć na adres nadawcy, nazwę i rozszerzenie załącznika. Chwila uwagi może oszczędzić nam mnóstwo czasu.

Seks i zakłopotanie

Sex sells. Tak samo jak seks zazwyczaj „sprzeda” nawet najpośledniejszej jakości tfu-rczość, tak możemy być pewni, że oparcie niezbyt wyrafinowanego phishingu o obszar erotyczny może przynieść przestępcy całkiem niezły efekt. W ostatnich tygodniach dość regularnie obserwujemy kolejne ataki oparte o schemat, który można by określić mianem „hybrydowego”: najpierw informacja o zapisaniu nas do serwisu z anonsami (i drogimi SMSami Premium, wysyłanymi każdego dnia), następnie wędka w postaci możliwości wypisania się (pod warunkiem, że zrobimy to bardzo szybko), no i – na koniec – konieczność „potwierdzenia tożsamości” przelewem na drobną kwotę. Jeśli pierwszy SMS z różnych powodów wprawił nas  w zakłopotanie, zazwyczaj będziemy chcieli szybko usunąć ślady… czegoś, czego nie zrobiliśmy. W efekcie nie zauważymy, że domniemana bramka płatności, której mamy użyć, jest fałszywa. Zorientujemy się dopiero, gdy na koncie bankowym pokaże się nam okrągłe ZERO.

Co robić?

To, co zawsze. Nie robić nic na szybko, wyrobić w sobie wewnętrzną ostrożność przy tego typu mailach. Zawsze warto poświęcić nawet minutę czasu, jeśli ma nam potem oszczędzić wielo(tygo)dniowych nerwów. Tym bardziej teraz, gdy zaczęły się już wakacje i w klimatach wypoczynkowych opuszczamy naszą „mentalną gardę”. Przestępcy właśnie na to czekają.

Przez media, głównie społecznościowe i bezpieczniackie (pozdrawiam Niebezpiecznika, z uwagą, że określenie phishingowych maili jako maile „od Orange” wydaje mi się nieco niezręczne) przetacza się informacja o kolejnej fali ataków „na dopłatę”. Tym razem – jak można wnioskować po liczbie trafiających do CERT Orange Polska zgłoszeń – kampania jest mocno nastawiona na klientów Orange Polska. Oczywiście – jak łatwo domyślić się po tytule – to nie my wysyłamy takie maile! Na bieżąco monitorujemy zgłoszenia i sieć, każdy potwierdzony adres, kojarzony z tą kampanią, trafia do CyberTarczy.

Na Twitterze CERT OPL informowaliśmy o pierwszych atakach już 10 dni temu:

To musiało się stać – przestępcy od „wymaganej dopłaty” biorą na cel klientów @Orange_Polska. Nie wysyłamy takich maili, Wy nie klikajcie, a my na bieżąco blokujemy powiązane z nimi domeny. Dziękujemy za wiadomości od Was na cert.opl@orange.com, prosimy o więcej! pic.twitter.com/IuO5P3wvav

— CERT Orange Polska (@CERT_OPL) 26 listopada 2018

Jeśli chcecie, by takie informacje trafiały do Was na bieżąco, obok oficjalnego Twittera Orange Polska warto obserwować też konto naszego CERT.

I jak zawsze pamiętajcie – nie dajcie się złapać.