Fałszywe maile do klientów InPost. Uwaga na atak hakerów!
Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem Allegro, a jednym z największych operatorów pocztowych w kraju, firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.
Pracownicy firmy antywirusowej G DATA przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.
Porównanie fałszywej i oryginalnej wiadomości
Adres nadawcy wiadomości o tytule „Paczkomaty InPost - PACZKA CZEKA NA ODBIÓR” to dostawy@inpost.pl jasno sugerujący odbiorcy, od kogo pochodzi czytana wiadomość. Jednak w usłudze Paczkomaty oferowanej przez firmę InPost powiadomienia wysyłane są z adresu info@paczkomaty.pl. Zawsze należy zatem sprawdzać nadawcę otrzymywanych wiadomości. Wszelkie odstępstwa od standardów do których przyzwyczaił cię twój bank, usługodawca lub inna firma z którą współpracujesz powinien zwiększyć twoją czujność!
Brak nadawcy przesyłki w treści powiadomienia, literówki oraz błędny numer samej paczki dyskwalifikują wiadomość na starcie. Oryginalny numer paczek firmy InPost posiada 24 cyfry. W tej odsłonie działań hakerów spotykamy się z błędnym 23 cyfrowym formatem, który zostanie wyłapany jedynie przez najbardziej drobiazgowych odbiorców maila. Większe szanse mają użytkownicy zwracający uwagę na poprawność języka użytego w korespondencji.
Kod odbioru czyli 6 cyfrowy ciąg pozwalający nam na odebranie przesyłki w paczkomacie jest dla klienta esencją wiadomości dotyczącej odbioru kupionych w internecie przedmiotów. Dlatego tez przestępcy postanowili wykorzystać go jako przynętę. Kod, jak dowiadujemy się z treści maila, jest podany w załączniku (sic!). Przypominamy, że firma InPost przesyła kody zawsze w treści samego maila. Sam załącznik to plik Word z aktywnymi makrami dzięki, którym możliwe jest pobranie złośliwego oprogramowania na atakowany komputer. Złośliwy plik ukrywający się pod nazwą orrcxa9av.exe jest w tej chwili analizowany. Szkodnik hostowany jest na przejętej, starej i nie używanej już stronie jednej z gminnych spółek zajmujących się gospodarką komunalną. Z pierwszych informacji wynika, że to minimalnie zmodyfikowany wariant już wcześniej stosowanego złośliwego oprogramowania wykradającego dane logowania do różnych serwisów w tym bankowych.
Podobnie jak w kampanii, w której przestępcy podszywali się pod Krajowy Rejestr Dłużników, tak i teraz posługują się oni bazą mailingową wraz z dodatkowymi informacjami o adresatach. W przypadku kampanii KRD były to pełne nazwy firm wraz z numerami NIP. W przypadku InPostu mamy do czynienia z bazą wraz z imionami i nazwiskami właścicieli adresów wykradzioną specjalnie do opisywanej kampanii przestępczej. Bazy takie najczęściej wykradane są z forów internetowych, słabiej zabezpieczonych sklepów itp., by następnie wykorzystać je w dalszych działaniach.
Ostatni punkt porównania fałszywej i oryginalnej wiadomości to uznanie pomysłowości cyberprzestępców, która zdaję się nie mieć granic. Pomimo mocno spersonalizowanej bazy, osoby stojące za atakiem nie były w stanie przewidzieć lokalizacji atakowanych użytkowników. Sprytnie pozbyli się więc mapki lokalizującej Paczkomat, zastępując ją informacją o pogodzie w okolicach urządzenia i okraszając odnośnikiem do teledysku komentującego warunki atmosferyczne.
Co robić, by nie zostać ofiarą hakerów:
- Sprawdzaj dokładnie otrzymywane wiadomości. Powinieneś przeczytać uważnie cały tekst łącznie z drobnym drukiem. Wyszukanie informacji na temat nadawcy też może okazać się pomocne.
- Zamknij luki bezpieczeństwa. System operacyjny i programy z których korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami powinno zostać definitywnie odinstalowane.
- Bądź chroniony przez oprogramowanie zabezpieczające. Dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online.