Bezpieczeństwo

Mail z fakturą? Nie, to kolejny cyberatak!

21 lipca 2022

Mail z fakturą? Nie, to kolejny cyberatak!

Mail z fakturą – to jedna z form potencjalnego kontaktu z Tobą dostawcy Twoich usług. Niestety – nie tylko niego. Przestępcy bardzo chętnie podszywają się pod taką korespondencję. W CERT Orange Polska w ostatnich dniach obserwujemy kolejną falę fałszywych maili.

W pierwszych wiadomościach, udających mail z fakturą, które zaobserwowaliśmy, oszuści podszywają się pod Play Polska. Mam jednak przeczucie graniczące z pewnością, że to tylko kwestia czasu, kiedy kolorystyka i nazewnictwo zmienią się na pomarańczowe. Istotne jest jednak, że fakt, iż – ewentualnie – dostaniecie takiego maila,

nie oznacza, że Wasze dane wyciekły od operatora!

To po prostu najzwyczajniejszy na świecie phishing wolumenowy. Oszuści wysyłają setki tysięcy takich maili. A jeśli załóżmy przy milionie wiadomości 20% adresatów okaże się faktycznie korzystać z usług firmy X (200 000 osób), a 2% z nich da się oszukać (wierzcie mi, że to i tak zaniżona konwersja), mamy 4 tysiące oszukanych! 4 tysiące osób które… o tym będzie nieco dalej.

Jak wygląda „mail z fakturą”?

Te, które trafiają do nas od początku tygodnia, wyglądają tak:

Fałszywy mail z fakturą

Kolorystyka charakterystyczna dla nadużywanej marki. Treści przygotowane bez błędów. Sam – gdybym nie siedział w bezpieczeństwie od lat – mógłbym się na to złapać! Nawet domenę, z której przyszła wiadomość oszuści dobrali całkiem sprytnie! Tak naprawdę jedyne, co powinno zapalić Wam w głowach czerwoną lamp… tzn. wielki czerwony sygnalizator, jeszcze z wyjącą syreną, to ostatnia linijka maila – hasło do archiwum. Nie spotkałem się nigdy z tak przesyłanymi dokumentami. Tzn. ok, dostawałem maile z dokumentacją medyczną. Ale wtedy hasło dostawałem SMSem, bądź w mailu widniała informacja, że jest nim 5 ostatnich cyfry mojego PESELu (dobrze, że nie sześć pierwszych 😉 ). W takim przypadku hasło ma tylko jeden cel. Uniemożliwić systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i ew. zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.

Pokaż kotku, co masz w środku?

Nasz „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik. Szczegóły techniczne znajdziecie w tekście na stronie CERT Orange Polska. W tym miejscu zaznaczę tylko, że uruchamiając plik z archiwum instalujemy infostealera Vidar. To oprogramowanie wyspecjalizowane w – jak wskazuje nazwa – wykradaniu danych z komputera ofiary. Przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, maila, czy portfeli kryptowalutowych). Co gorsza – i co czyni atak jeszcze groźniejszym -gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego!

Co zrobić? Jak mogę uniknąć ataku?

Ataku nie unikniesz. Jeśli Twój adres e-mail hula sobie gdzieś po sieci to prędzej, czy później, dostaniesz „mail z fakturą”. Możesz jednak uniknąć stania się ofiarą ataku. Jak?

Jeśli trafi do Ciebie wiadomość od operatora/usługodawcy, upewnij się, czy na pewno korzystasz z jego usług! Ta rada tyczy się nie tylko maili, ale też np. SMSów o konieczności drobnej dopłaty, bo coś jest nie tak z Twoim rachunkiem.

Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”

To nie żart. Naprawdę zdarzają się internauci, którzy tak robią. I nie, nie śmiej się z nich – kimś takim mogą się okazać Twoi mama/wujek/babcia… Może teraz myślisz: „Co za baranem trzeba być, żeby tak zrobić?!”? W takim przypadku po prostu zadzwoń do swoich seniorów i sam/a im o takich sytuacjach opowiedz. To na pewno przyniesie pozytywny skutek.

Co jeśli masz usługi w firmie, która – jak się wydaje – przysłała Ci maila? Wtedy upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją. W przypadku faktur z Orange Polska, maile przychodzą z adresu e-faktura@pl.orange.com.

Gdyby zdarzyło się, że mail zawierałby zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

No i na koniec. W przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważaj, bądź bezpieczna/y, ostrzeż znajomych!

A my będziemy robić swoje, żeby #CyberTarcza, nawet jeśli ktoś okaże się niefrasobliwy, ustrzegła każdego przed konsekwencjami kliknięcia.

Udostępnij: Mail z fakturą? Nie, to kolejny cyberatak!

Bezpieczeństwo

Co zrobić by Twój e-mail pozostał Twoim?

17 czerwca 2021

Co zrobić by Twój e-mail pozostał Twoim?

Słyszeliście, że ostatnio w mediach dość sporo mówi się o zabezpieczaniu korespondencji e-mail? Nie każdy z nas jest celem wysokiej wartości (High Value Target, HVT), ale każdy z nas przez swoją niefrasobliwość może narazić się na ryzyka, związane z wyciekiem korespondencji. Naruszenie prywatności, wgląd w nasze intymne/wrażliwe treści, kradzież tożsamości (podszywanie się pod nas), okradanie (jako my) naszych znajomych, czy wreszcie dostęp do (ważnych) danych naszego pracodawcy. To nie wszystkie z potencjalnych ryzyk, związanych z uzyskaniem przez osobę niepowołaną dostępu do naszego konta e-mail. To nie muszą być dane ważne dla bezpieczeństwa państwa, by zrobiło nam się gorąco…

Jak się chronić? Na szczęście dla znaczącego ograniczenia ryzyka nie trzeba wiele. W dzisiejszych zaganianych czasach szkoda nam czasu na czynności, które wydają się zbędne. Jeśli jednak zdamy sobie sprawę, że zmiana naszych przyzwyczajeń względem kont e-mail, czy social mediowych, tak naprawdę nie zajmie nam o wiele więcej czasu – łatwiej będzie się do tego przyzwyczaić.

Po pierwsze – hasło

Od lat się mówi, że hasło to przeżytek, że kto to wszystko spamięta, żeby od haseł odchodzić. Co do zasady – absolutnie się zgadzam! Tylko, że w przypadku konta mailowego nikt nie wymyślił sensownej alternatywy. Dodatek do hasła – tak (o tym później), ale zastępstwo hasła jeszcze nie.

Choć są firmy, w których niezmiennie trwa podejście „bardzo-długie-totalnie-losowe-hasła-zmieniane-co-miesiąc” od tego na szczęście już się odchodzi. Nie powiem Wam, jaka jest polityka haseł w Orange Polska, ale zdradzę, że hasła zmieniamy rzadziej, niż co miesiąc. Dzięki temu nie zdarzają się sytuacje, gdy pół firmy loguje się, wpisując: „Czerwiec21!”, a przy zmianie hasła – „Lipiec21!”. Takie podejście mobilizuje do tego, żeby wymyślić hasło realne do zapamiętania, a jednocześnie wystarczająco trudne. Ja na szkoleniach podaję przykład znanego tylko Tobie zwrotu, zdania, np.:

Litwo, ojczyzno moja! Ty jesteś jak zdrowie!

Z którego można wziąć pierwsze litery i znaki przestankowe,  by powstało:

L,om!Tjjz!

Trudne? Trudne. Łatwe do zapamiętania, jeśli znamy punkt wyjścia? No ba! Może tylko trochę za krótkie. Jeśli z serwisu, z którego korzystasz, wycieknie baza haseł, z prawdopodobieństwem graniczącym z pewnością złodziej spróbuje złamać te do 8, ew. do 12 znaków. 13- i dłuższych nie będzie mu się opłacało.

W przypadku haseł przede wszystkim polecam korzystanie z menedżera haseł (jest ich sporo w sieci). Ja sam jednak kilka podstawowych haseł: do menedżera haseł (ha!), banku, czy sieci firmowej pamiętam w głowie. Uwierzcie mi, nawet jeśli jest to pokręcone 20-znakowe hasło, po wpisaniu go 30. raz i tak je zapamiętacie.

Po drugie – zaskocz oszusta

Wyobraź sobie gościa, który w jakiś sposób wszedł w posiadanie Twoje hasła. Z uśmiechem godnym Don Pedro, szpiega z Krainy Deszczowców wpisuje je, potwierdza i… wyskakuje mu monit o wpisanie drugiego składnika uwierzytelnienia!

Ha!

Chyba nie potrafię sobie skojarzyć żadnego poważnego serwisu, który nie udostępnia możliwości uwierzytelniania dwuskładnikowego. O co chodzi? W skrócie – konfigurujemy odpowiednią aplikację (SMSowe 2FA odradzam, wiadomość z kodem łatwiej przechwycić/podejrzeć, ale to temat na inny tekst). Po więcej zapraszam do lektury tekstu na blogu, poświęconego 2FA. Ja, ze względu na częste zmiany telefonów, korzystam z aplikacji Authy, polecam również Google Authenticator.

Specyficzną odmianą 2FA jest klucz sprzętowy. W Orange Polska używamy dedykowanego rozwiązania kryptograficznego, które pozwala nam zalogować się do sieci korporacyjnej, podpisać cyfrowo maila, czy zaszyfrować go. Ogólnodostępne rozwiązanie, np. Yubikey, generuje jednorazowy, specyficzny dla konkretnego egzemplarza kod po dotknięciu guzika w kluczu wetkniętym w gniazdo USB komputera. W lepszej wersji klucz można przytknąć do telefonu i autoryzować się przez NFC.

Po trzecie – patrzysz w ekran? Uważaj!

Podejście „mnie nikt nie zaatakuje, jestem bezwartościowy dla przestępcy” to pierwszy krok do porażki. Każdy z nas jest wartościowy dla przestępcy. Jeśli jesteś HVT, można od Ciebie wykraść dane, które następnie można sprzedać, czy opublikować w sieci. Konto na Facebooku zwykłego internauty można wykorzystać do podsunięcia jego przyjaciołom oszustwa „na BLIKa”. No i wreszcie – kto z nas nie ma danych, których zaszyfrowanie byłoby dla nas duuużym kłopotem? Zdjęcia dzieci, niedokończona praca magisterska, dokumentacja projektowa… To nie jest tak, że nikt tego nie widzi! Kilkukrotnie, czy to w pociągu, czy w samolocie, miałem możliwość zajrzenia na ekran laptopa siedzącego przede mną współpasażera (co ciekawe, akurat we wszystkich przypadkach były to osoby zajmujące się prawem) i przeczytania dokładnych szczegółów toczonych przez nich spraw, taktyki procesowej, nawet danych wrażliwych klientów!

Warto wyrobić w sobie przyzwyczajenie zasłaniania klawiatury, gdy w przestrzeni publicznej wpisujemy hasła, czy PINy!

Nie tylko przy bankomacie, ale także logując się do komputera w „kawiarnia office”, czy „park office”. Ściany mają uszy, a drzewa mają oczy. Czasem by wykraść dane logowania nie trzeba wcale wrzucać ofierze trojana…

Po czwarte – myśl, co i gdzie klikasz

…ale można. Na ten temat sam napisałem już chyba gigabajty treści, więc warto przypomnieć tylko w krótkich bulletach:

  • Jeśli nie spodziewałeś się tego maila – nie klikaj linków i nie otwieraj załączników!
  • Jeśli dodatkowo nie znasz nadawcy – jeszcze bardziej nie klikaj i nie otwieraj!!! (znając nadawcę możesz się z nim zawsze skontaktować i upewnić, czy to aby na pewno on)
  • Logując się na jakąkolwiek stronę, albo wpisując na niej dane wrażliwe, upewnij się, czy to na pewno właściwy adres (ostatnio nasze systemy wyłapały domenę gov-pl.in, jak sądzicie, co w niej jest nie tak?)
  • Nie ufaj absurdalnie wyjątkowym okazjom – zdarzają się tak rzadko, że nie warto podejmować ryzyka
  • Rozdzielaj tożsamości – nie mieszaj spraw (i kont e-mail) prywatnych i służbowych. Wyrób w sobie nawyk wyjątkowej ostrożności przy korzystaniu z maila i infrastruktury w pracy

Dbajcie o siebie. Niech każdy Wasz mail pozostanie Waszym.

Udostępnij: Co zrobić by Twój e-mail pozostał Twoim?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej