Bezpieczeństwo

Znowu fałszywe faktury

4 czerwca 2020

Znowu fałszywe faktury

Ostatni tydzień, jeśli chodzi o maile od Was do CERT Orange Polska, zdominowały fałszywe faktury. Przestępcy już chyba przeszli do porządku dziennego nad pandemią. Świat luzuje obostrzenia, więc oni też, w efekcie obserwujemy naprawdę mnóstwo latających po sieci maili, podszywających się pod – w większości – Orange Polska.

„Dlaczego wysyłacie mi jakieś faktury?!”

W ostatnich dniach ciężko policzyć wszystkie informacje, jakie dostaliśmy od Was na temat domniemanych „faktur od Orange”. Jak łatwo się domyślić – o czym (o tym jak łatwo) za chwilę – nie mamy z ich wysyłką nic wspólnego. Mimo to wiadomości od Was utrzymywane są w tonach… Hmmm, cóż – znacząco różnych 🙂

Dzień dobry, dostałam/em coś takiego, to chyba wirus, więc Wam przesyłam

To na szczęście zdecydowanie najpopularniejsza forma wiadomości od Was. Czasami zdarzają się jednak też takie:

Z jakiej racji dostałem od was jakąś fakturę, jak ja nawet usług waszych nie mam?!

albo jeszcze mocniejsze, takie:

Nie życzę sobie jakichkolwiek faktur wysyłanych drogą elektroniczną. Mam jedno życie i nie zamierzam go stracić na drążenie problemu faktur za które nikt ponoć nie odpowiada (…)

Rozumiem emocje, a ton akurat tego maila, którego część pozwoliłem sobie zacytować, był utrzymany w tonie sarkastycznym. Dobry sarkazm zawsze w cenie, dlatego rozmowę z autorem kontynuowałem, wyjaśniając mu o co w tym wszystkim chodzi.

A o co chodzi?

Wróćmy jeszcze kilka linijek wyżej, do użytkownika, który dziwił się, że dostał od nas „fakturę” nie mając usług w Orange Polska. No właśnie – mail trafił do niego absolutnie losowo (aczkolwiek mimowolnie nieco się do tego przyłożył). Najpierw opublikował gdzieś w sieci swój adres mailowy, w kolejnym kroku „czeszące” internet nieprzerwanie crawlery znalazły go (i wiele innych) na koniec przestępca zebrał je razem (albo kupił od kogoś), przygotował mail phishingowy i wysłał. Licząc, że w grupie kilku/dziesięciu tysięcy adresów znajdą się klienci naszych usług! Po prostu. No dobra, nie tylko naszych – wśród kampanii z ostatnich dni poza Orange Polska atakowani są jeszcze klienci Play i DHL. Jeśli ktoś uzna, że to oszustwo – po prostu skasuje, może wyśle informację do nas (cert.opl@orange.com, polecam). Jeśli ma usługi w Orange Polska – tu gorzej, bo faktycznie odruchowo może coś kliknąć. Tymczasem maile z fakturami bardzo łatwo odróżnić!

Z lewej moja faktura za usługi, z prawej – mail od przestępców. Różnicę widać już na pierwszy rzut oka, przestępcy śląc do wszystkich takiego samego maila nie wpiszą doń Waszego imienia i nazwiska bo najzwyczajniej w świecie go nie mają! No i oczywiście adres nadawcy – nasze maile przychodzą z adresu e-faktura@pl.orange.com

Co dzieje się dalej?

Dalej, jeśli ktoś da się przekonać i będzie chciał zajrzeć do rzekomej faktury, otworzy załączony plik xlsx lub xlsm (nasze faktury przychodzą w PDFach). Potem kliknie zgodę na „włączenie treści”, co pozwoli na uruchomienie makr i… już po wszystkim. No chyba, że faktycznie macie usługi w Orange Polska, to wtedy o ile CyberTarcza nie stanie na przeszkodzie infekcji, to na połączenie zarażonego komputera z serwerem Command&Control botnetu już nie pozwoli. Dlatego warto regularnie wchodzić na stronę CyberTarczy, by sprawdzić, czy przypadkiem nie złapaliśmy jakiejś „niespodzianki”.

Co znajdziecie w złośliwych plikach? Po szczegóły pozwolę sobie wysłać Was na stronę CERT Orange Polska, gdzie pisałem o kampaniach przenoszących Danabota i ZLoadera. Co gorsza, przestępcy regularnie wrzucają nowe, za każdym razem nieco „stuningowane” wersje pliku, co utrudnia wykrycie go przez antywirusy. A co oba złośniki robią? W skrócie – chcą wykraść nasze loginy i hasła do banków. A potem nasze oszczędności. Nie dajmy przestępcom tej przyjemności. Uważajcie na siebie.

Udostępnij: Znowu fałszywe faktury

Bezpieczeństwo

To phishing, to nie od nas

29 marca 2018

To phishing, to nie od nas

Phishing nie zanika i jeszcze długo nie zaniknie. W sumie to pewnie nigdy. Zastanawiałem się, czy opisywać na Blogu powtarzające się ostatnio kampanie, skoro regularnie wrzucam informacje na ich temat na stronę CERT Orange Polska, ale w sumie niekoniecznie grupy odbiorców obu witryn muszą mieć znaczną część wspólną.

Nie opłacajcie tej faktury

Do polskich internautów od przeszło miesiąca nieregularnie trafiają fale wiadomości, a w nich phishing z „fakturami”. Nadawcą jest zawsze konto w domenie @orange.pl, zwięzła treść sugeruje opłacenie zaległej faktury, która ma się znajdować w załączonym pliku XLS. W większości przypadków plik zawiera trojana Nymaim – tzw. bankera, tj. złośliwy program wyspecjalizowany w wykradaniu loginów i haseł do kont bankowych. W momencie wysyłania przez przestępców kolejnych kampanii, zawarty w nich malware był wyjątkowo groźny, wykrywało go bowiem zazwyczaj ok. 10 procent silników antywirusowych.

W ostatniej mutacji przestępcy postarali się – przynajmniej w pewnym aspekcie – nieco bardziej, bowiem tym razem spróbowali udawać nie faktury biznesowe, ale dokumenty od nas, wysyłane z rachunkami za telefon. Nasi klienci wiedzą, że takie maile przychodzą z adresu e-faktura@pl.orange.com (a nie używanego przez przestępców Ornge PL <e-faktura.TP@orange.com> – literówka nieprzypadkowa, jest dziełem przestępców). Na szczęście dzięki wyglądowi wiadomości (z ukrytym w załączniku trojanem vjw0rm) na taki phishing nie złapie się – w co mocno wierzę – nikt, jednak przestępcy, o ile cechuje ich choćby odrobina inteligencji, przy kolejnej kampanii mogą znacząco poprawić przekaz.

Czy te maile są od Orange?

Nie. A dlaczego mają taką domenę nadawcy? Dlatego, że niestety łatwo ją podrobić, o czym piszemy np. tutaj. Jak się przed tym zabezpieczyć? Na kilka sposobów. Przede wszystkim zdrowym rozsądkiem. Jeśli dostajecie maila od nieznajomego, który domaga się od Was pieniędzy, nie otwierajcie załącznika. Najpierw uspokójcie emocje, na spokojnie przeczytajcie wiadomość, a jeśli nie macie pewności – zadzwońcie do domniemanego nadawcy. Jeśli w mailu nie ma telefonu – niemal na sto procent mamy do czynienia z oszustwem. Jeśli jest tam numer kontaktowy – być może dodzwonicie się do faktycznie istniejącej firmy, gdzie powiadomią Was o oszustwie.

Czy Orange ze swojej strony robi coś, by takie maile nie mogły być wysyłane? Tak. Serwery pocztowe domeny @orange.pl mają zaimplementowane mechanizmy SPF (Server Policy Framework) i DKIM (Domain Keys Identified Mail). Jednak w tym cały jest ambaras, by dwoje chciało naraz – informacje dotyczące naszych domen (@neostrada.pl i @orange.pl) muszą być prawidłowo rozpoznawane u Waszych dostawców poczty. Tak jest w przypadku domeny @pl.orange.com, z której przychodzą do Was nasze faktury, tym niemniej i tak niezmiennie zachęcamy Was do sprawdzenia, czy numer klienta i dane są faktycznie Wasze, zanim otworzycie załącznik.

CyberTarcza kontra phishing

Jednego możecie być pewni. Gdy próbki takich zagrożeń trafiają do nas, powiązane z nim adresy IP/domenowe są automatycznie blokowane przez CyberTarczę. Oznacza to, że pozostając w sieci Orange Polska nawet jeśli niefrasobliwie się zainfekujecie, złośliwe oprogramowanie nie będzie w stanie połączyć się ze swoim centrum kontroli, a Wy, wchodząc na stronę CyberTarczy, zobaczycie informację o infekcji.

Jeśli chcecie być na bieżąco z Orange’owymi newsami o bezpieczeństwie w internecie, zaglądajcie na naszą stronę i obserwujcie CERT Orange Polska na Twitterze.

I oczywiście niezmiennie, jak zawsze – uważajcie na siebie.

Spokojnych Świąt.

Udostępnij: To phishing, to nie od nas

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej