Phishing nie zanika i jeszcze długo nie zaniknie. W sumie to pewnie nigdy. Zastanawiałem się, czy opisywać na Blogu powtarzające się ostatnio kampanie, skoro regularnie wrzucam informacje na ich temat na stronę CERT Orange Polska, ale w sumie niekoniecznie grupy odbiorców obu witryn muszą mieć znaczną część wspólną.
Nie opłacajcie tej faktury
Do polskich internautów od przeszło miesiąca nieregularnie trafiają fale wiadomości, a w nich phishing z „fakturami”. Nadawcą jest zawsze konto w domenie @orange.pl, zwięzła treść sugeruje opłacenie zaległej faktury, która ma się znajdować w załączonym pliku XLS. W większości przypadków plik zawiera trojana Nymaim – tzw. bankera, tj. złośliwy program wyspecjalizowany w wykradaniu loginów i haseł do kont bankowych. W momencie wysyłania przez przestępców kolejnych kampanii, zawarty w nich malware był wyjątkowo groźny, wykrywało go bowiem zazwyczaj ok. 10 procent silników antywirusowych.
W ostatniej mutacji przestępcy postarali się – przynajmniej w pewnym aspekcie – nieco bardziej, bowiem tym razem spróbowali udawać nie faktury biznesowe, ale dokumenty od nas, wysyłane z rachunkami za telefon. Nasi klienci wiedzą, że takie maile przychodzą z adresu e-faktura@pl.orange.com (a nie używanego przez przestępców Ornge PL <e-faktura.TP@orange.com> – literówka nieprzypadkowa, jest dziełem przestępców). Na szczęście dzięki wyglądowi wiadomości (z ukrytym w załączniku trojanem vjw0rm) na taki phishing nie złapie się – w co mocno wierzę – nikt, jednak przestępcy, o ile cechuje ich choćby odrobina inteligencji, przy kolejnej kampanii mogą znacząco poprawić przekaz.
Czy te maile są od Orange?
Nie. A dlaczego mają taką domenę nadawcy? Dlatego, że niestety łatwo ją podrobić, o czym piszemy np. tutaj. Jak się przed tym zabezpieczyć? Na kilka sposobów. Przede wszystkim zdrowym rozsądkiem. Jeśli dostajecie maila od nieznajomego, który domaga się od Was pieniędzy, nie otwierajcie załącznika. Najpierw uspokójcie emocje, na spokojnie przeczytajcie wiadomość, a jeśli nie macie pewności – zadzwońcie do domniemanego nadawcy. Jeśli w mailu nie ma telefonu – niemal na sto procent mamy do czynienia z oszustwem. Jeśli jest tam numer kontaktowy – być może dodzwonicie się do faktycznie istniejącej firmy, gdzie powiadomią Was o oszustwie.
Czy Orange ze swojej strony robi coś, by takie maile nie mogły być wysyłane? Tak. Serwery pocztowe domeny @orange.pl mają zaimplementowane mechanizmy SPF (Server Policy Framework) i DKIM (Domain Keys Identified Mail). Jednak w tym cały jest ambaras, by dwoje chciało naraz – informacje dotyczące naszych domen (@neostrada.pl i @orange.pl) muszą być prawidłowo rozpoznawane u Waszych dostawców poczty. Tak jest w przypadku domeny @pl.orange.com, z której przychodzą do Was nasze faktury, tym niemniej i tak niezmiennie zachęcamy Was do sprawdzenia, czy numer klienta i dane są faktycznie Wasze, zanim otworzycie załącznik.
CyberTarcza kontra phishing
Jednego możecie być pewni. Gdy próbki takich zagrożeń trafiają do nas, powiązane z nim adresy IP/domenowe są automatycznie blokowane przez CyberTarczę. Oznacza to, że pozostając w sieci Orange Polska nawet jeśli niefrasobliwie się zainfekujecie, złośliwe oprogramowanie nie będzie w stanie połączyć się ze swoim centrum kontroli, a Wy, wchodząc na stronę CyberTarczy, zobaczycie informację o infekcji.
Jeśli chcecie być na bieżąco z Orange’owymi newsami o bezpieczeństwie w internecie, zaglądajcie na naszą stronę i obserwujcie CERT Orange Polska na Twitterze.
I oczywiście niezmiennie, jak zawsze – uważajcie na siebie.
Spokojnych Świąt.
