W ostatnich tygodniach przez polski Internet przewija się olbrzymia fala nowych kampanii mailowych rozsyłających złośliwe oprogramowanie. Schemat działania cyberprzestępców jest bardzo podobny. W wiadomości e-mail fałszują nadawcę wiadomości – mail wygląda jakby był wysłany z określonej firmy – co ma uwiarygodnić treść wiadomości i skłonić ofiarę do otwarcia załącznika.
W załączniku znajduje się złośliwe oprogramowanie, które po uruchomieniu oddaje kontrolę nad systemem i komputerem – cyberprzestępcom. Sugerujemy nie otwieranie załączników, nie klikanie w załączniki i usuwanie ich ze skrzynki pocztowej. W miarę możliwości programów pocztowych także oznaczanie ich jako niebezpieczne/spam. Pamiętajcie: firmy, pod które podszywają się cyberprzestępcy nie mają nic wspólnego z tymi mailami. Niestety zasada działania poczty elektronicznej umożliwia dowolne ustawienie nagłówka OD, co w takiej sytuacji mocno uwiarygadnia złośliwe przesyłki.
Bardziej zaawansowani użytkownicy mogą przesyłać złośliwe oprogramowanie do takich serwisów jak np. virustotal.com, który przeskanuje niebezpieczną przesyłkę w kilkudziesięciu silnikach antywirusowych i roześle próbkę do firm antywirusowych, dzięki czemu, będą one w stanie szybciej przygotować odpowiednie elektroniczne szczepionki.
Odnośnik do serwisu virustotal z dzisiejszej kampanii podszywającej się pod firmę UPC. Możecie zauważyć, że w czasie rozsyłania kampanii – tylko dwa produkty antywirusowe wykryły zagrożenie. Dlatego przypominam to co podkreślamy od lat – przede wszystkim należy myśleć i nie otwierać wszystkich załączników i stron, do których być może cyberprzestępcy nas kierują.
Podczas ostatnich kilku dni otrzymaliśmy zapytania o kampanię podszywającą się pod znany serwis związany z rezerwacjami hotelowymi. Atak ten był o tyle dobrze przygotowany, że w mailach zawarte były dane firm, do których przesłano wiadomość oraz tekst o zapłacie kwoty za rezerwację. Wiele przestraszonych osób odruchowo otwierało załącznik .zip i następnie uruchamiało plik zawierający wirusa. Warto zajrzeć na stronę firmy, od której otrzymaliście podejrzaną wiadomość. Często firmy publikują ostrzeżenia o tego typu atakach.
W ostatnich tygodniach cyberprzestępcy podszywali się między innymi pod: Allegro, KRD, Orange, T-Mobile, booking.com, UPC, Vectra, Netia. Zainfekowane e-maile są przygotowane perfekcyjnie po polsku i ze znajomością polskich realiów – w większości przypadków cyberprzestępcy podszywają się pod polskie firmy. Sugeruje to, iż mogą oni pochodzić z Polski. Jednak czy za wszystkie kampanie odpowiada jedna i ta sama grupa/osoba – miejmy nadzieję, że na to pytanie otrzymamy odpowiedź w najbliższej przyszłości :]
Dodatkowe informacje: z3s.pl niebezpiecznik.pl
Przykładowa kampania z dziś podesłana nam przez czytelnika (dzięki Macieju i reszto czytelników!). Plik przesyłany w załączniku to: obraz Nr dokument 5270433266.xml.zip, który po rozpakowaniu zamienia się w obraz Nr dokument 9038764193.xml.exe.
Przykład podszywający się pod firmę UPC:
From: UPC <efaktura@ebok.upc.pl>
Sent: Monday, June 23, 2014 12:18 PM
To: xxxxxx
Subject: elektroniczna fakturaNumer Identyfikacujny: 121060748
nr 0771319248/OPR/06/2014
Faktura numer 5955293918file w formacie *.xml
UPC Polska Sp. z o.o.
Przykład podszywający się pod firmę Booking.com:
Nadawca: BOOKING <powiadomienia@booking.com>
Adresat: xxx <xxx@xxxx>Witaj
Ta wiadomosc zostala napisana automatycznie aby przypomniec Ci o zaleglej Fakturze.
W dniu 12.06.2014 dokonano rezerwacji pokoju Hotelowego, w Hotelu DoubleTree Hotel & Conference Centre Warsaw
Adres: Skalnicowa 21
Wawer
Warszawa, 04-797, Polska
Telefon: +48222780003Panstwa rezerwacja 3 noce, 1 pokoj
Zameldowanie piatek, 13 czerwca 2014 (od 14:00)
Wymeldowanie poniedzialek, 16 czerwca 2014 (do 11:00)
Numer rezerwacji 391721104
kod PIN 9473Dane Zamawiajacego:
xxx
xxx
xxxPokoj typu Deluxe PLN 1440
VAT (8%) jest wliczony PLN 115,20
Ogolna suma PLN 1555,20Rezerwacja zostala potwierdzona i zagwarantowana karta kredytowa.
Przypisana do Twojego Firmowego konta Booking.Com.
Oznacza to ze jesli do konca dnia 18.06.2014 nie dokonasz platnosci na poczet Hotelu, srodki zostana pobrane z Twojej karty platniczej.W wysokosci 100 procent oplaty za pierwsza noc.
Wszelkie oplaty zwiazane z odwolaniem lub zmiana rezerwacji zaleza od obiektu i sa pobierane przez obiekt.Wiecej Szczegolow na temat Rezerwacji oraz jej odwolania znajdziesz w fakturze dolaczonej zalaczniku wiadomosci.
Prawa autorskie © 1996-2014 Booking.com. Wszelkie prawa zastrzezone.
Ten e-mail zostal wyslany przez Booking.com, Herengracht 597, 1017 CE Amsterdam, Holandia
Przykład podszywający się pod firmę Orange:
Date: Mon, 2 Jun 2014 13:35:36 +0200
From: mms@mms.orange.pl
To: xxxl
Subject: MMS ze zdjęciem wiadomośćnumer telefonu: 507922031
wiadomość:
DSC02862356_obraz.jpg.zip
Przykład podszywający się pod firmę Netia:
From: „Netia” <rachunek@netiaonline.pl>
To: xxx
Subject: faktura 13.06.2014Numer konta Abonenta: 667576708
Faktura VAT nr 5038644691/06/14Po zalogowaniu się do serwisu Netia On-line, przy wykorzystaniu numeru konta Abonenta i PIN-u, możesz zdefiniować swoją indywidualną Nazwę użytkownika i Hasło, aby logowanie było jeszcze łatwiejsze.
Netia SA
Elektroniczne_Faktura_6278698250.PDF.zip
Przykład podszywający się pod firmę KRD:
From: informacja@krd.pl
Sent: Friday, May 30, 2014 9:25 PM
To: xxx
Cc: informacja@krd.pl
Subject: Twoja Firma zostala dodana do Krajowego Rejestru DlugowWitaj
Ta wiadomosc zostala wyslana do Ciebie automatycznie przez system raportowania Krajowego Rejestru Dlugow.
W dniu 30.05.2014 Twoja firma zostala wciagnieta na liste dluznikow KRD.
Szczegolowy Raport KRD w tej sprawie znajdziesz pod adresem: http://www krd-raport pl tf
Z powazaniem System Windykacji Krajowego Rejestru Dlugow
Przykład podszywający się pod firmę Vectra:
From: e-faktura@vectra.pl
Sent: Tuesday, June 17, 2014 1:58 PM
To: xxx
Subject: e-faktura 17/06/2014nr.ewid 09338223
Vectra S.A.
BIURO OBSLUGI KLIENTA
39 komentarzy do
23 czerwca, 2014 o godzinie 19:06
From: UPC [mailto:efaktura@ebok.upc.pl]
Sent: Monday, June 23, 2014 12:40 PM
To: xxxxxxxxxxxxxxxx
Subject: elektroniczna faktura
Numer Identyfikacujny: 998586684
nr 0373173958/OPR/06/2014
Faktura numer 3524842469
file w formacie *.xml
UPC Polska Sp. z o.o.
23 czerwca, 2014 o godzinie 22:00
Ktoś analizował co robi złośliwy EXE? Rozsyła spam, część botnetu, etc.?
23 czerwca, 2014 o godzinie 22:59
Maciej, tak. Zależy :) Najczęściej Andromeda, czasem DarkComet. Do tego Andromeda pobiera najczęściej różne inne robaczki.
26 czerwca, 2014 o godzinie 12:55
Dałem się dziś złapać na ten mail, jakie mogą być skutki i co teraz zrobić, orientujecie się ?
26 czerwca, 2014 o godzinie 22:28
Wszędzie w internecie piszą o tych atakach, a nigdzie nie ma informacji, co zrobić jak już ktoś dał się złapać. Jak sprawdzić czy ma się komputer zainfekowany tym dziadostwem? Czym go najlepiej przeskanować?
28 czerwca, 2014 o godzinie 22:02
Nie wyobrażam sobie aby nie mieć oprogramowania antywirusowego w firmowej sieci. Z tego co mówił mi informatyk zabezpieczenia jakie ma GData pozwalają wykryć fałszywe maile i je zablokować.
1 lipca, 2014 o godzinie 18:00
Aktualnie większość systemów antywirusowych wykrywa to zagrożenie, więc instalacja nawet darmowej wersji oprogramowania może wykryć tego typu problem. Należy jednak pamiętać, że po zainfekowaniu złośliwym oprogramowaniem systemu operacyjnego, cyberprzestępcy mają całkowitą kontrolę nad komputerem – oznacza to, że mogą uniemożliwiać instalację oprogramowania antywirusowego lub aktualizować wersję wirusa tak by była niewykrywalna.
Należy także pamiętać, że trojan może wykradać dane uwierzytelniające (loginy i hasła) do serwisów internetowych. Dobrze byłoby z innych komputerów niż zainfekowany komputer, zmienić sobie hasła w serwisach internetowych, wyczyścić komputer i dopiero wtedy zacząć logować się na nowo.
5 lipca, 2014 o godzinie 01:44
Witajcie.
Dostałem dziś także maila z wirusem od DHL!!! EFAKTURY@DHL.COM, z takiego adresu rozsyłany jest spakowany wirus pod postacią pliku EXE. Szczęśliwie, w porę zorientowałem się co jest na rzeczy.
6 lipca, 2014 o godzinie 08:16
Potwierdzam dziś otrzymałem efakturę z DHL z załacznimime w formacie ZIP.
efaktury@dhl.com.pl
8 lipca, 2014 o godzinie 11:58
Także dziś otrzymałam mail z adresu faktura@dhl.com.pl
8 lipca, 2014 o godzinie 23:05
Dostałam dzisiaj takiego maila z fakturą z DHL spakowaną zip. Otworzyłam plik ZIP ale nie uruchomiłam pliku który był spakowany. Czy mój komputer w takim przypadku jest zainfekowany?
9 lipca, 2014 o godzinie 00:13
Jeśli cyberprzestępcy nie zmodyfikowali sposobu ataku to Pani komputer nie powinien być zainfekowany.
9 lipca, 2014 o godzinie 10:43
A ja otworzyłam taką przesyłkę od dhl, niestety rozpakowałam, nie miałam wcześniej programu antywirusowego, dopiero dzisiaj przeskanowałam komputer. Teraz wywaliłam wszystkie ślady po mailu, zmieniłam hasło do bankowości internetowej. Czy coś mogę jeszcze zrobić? Czy coś mi jeszcze grozi?
12 lipca, 2014 o godzinie 11:43
a dzisiaj nowa od Orange :-)
18 lipca, 2014 o godzinie 08:43
Potwierdzam złośliwe oprogramowanie w mailu otrzymanym rzekomo od efaktura@dhl.com.pl, wiadomość nie posiadała żadnej treści poza tym, że faktura elektroniczna ma taką samą moc prawną jak papierowa. Plik jest to spakowany zipem eFaktura_DHL Express 2873664091.XML.exe, na szczęście moja Avira w pore mnie ostrzegła przed zagrożeniem. Ciekawe co w tej sytuacji robią firmy pod które podszywają sie oszuści.
21 lipca, 2014 o godzinie 20:24
Też dostałem: eFaktura_DHL Express 9900238972.XML.zip
Skoro widać rozszerzenie ZIP, a wewnątrz EXE, to kto takie coś otwiera? :) dodam, że avast po przeskanowaniu pliku zip nic nie wykrył :D
21 lipca, 2014 o godzinie 20:41
Zazwyczaj ludzie, którzy nie mają wiedzy co to jest .exe czyli „normalni” ludzie :]
6 maja, 2015 o godzinie 11:58
Wczoraj otrzymałam taka oto wiadomość: „Witam, w zwaizku z nasza rozmowa telefoniczna przesylam zalegla faktura do oplacenia w terminie 7 dni od momentu wystawienia czyli od dnia dzisiejszego.plik posiada haslo (faktura).Pozdrawiam Mariola Kowalska ksiegowosci.”
Temat wiadomośći brzmiał :
„Re: Fv-2015.05.04”
Nie otwarłam załącznika bo zorientowałam sie w porę, w sumie tylko dzieki temu, że w tej wiadomości była fragment dotyczący rozmowy telefonicznej, która to rzekomo miała miejsce, a tak nie było. Mam firmę kupuje towar przez internet i faktycznie mogłam się nabrać na to. Ostrzegam więc przed tego typu wiadomościami.
14 maja, 2015 o godzinie 09:08
Witam,
mama dostała maila podszywającego się pod DHL – był link z załącznikiem (http://scar.krzysztofmrela.pl/xH8N5QE0ztX/DHL_Report_1704940195.zip) tutaj jest link pod którym ukrywało się archiwum zip z plikiem wykonywalnym. Niestety kliknięte – robić formata, czy Avast jest to w stanie skutecznie wytępić (coś znalazł).
14 maja, 2015 o godzinie 09:15
OK – sam sobie odpowiadam na pytanie –
https://www.virustotal.com/en/file/ee8d2624bd06f3af545b64496bd77c749dced92ff16ba0d05337359eab75579b/analysis/1431587429/
tam znajduje się raport po przeskanowaniu tego syfu. Zaraza.
18 maja, 2015 o godzinie 12:32
Witam,
dzis dostałam maila od DHL dotyczący śledzenia przesyłki, przez nieuwagę kliknęłam, mam zainstalowanego kasperskyego, ze wystarczy nim przeskanować kompa czy od nowa wgrywać system. przywróciłam system sprzed kilku dni ale to nic nie dalo dalej mi wykrywa tą aplikację tylko i mimo podanej ścieżki dostępu nie mogę jej tam znaleźć. Na razie odłączyłam kompa od internetu i czekam na wasze pomysły.
18 maja, 2015 o godzinie 12:33
13 maja maja dostałam jedną i dzis dostałam na trzy na rózne adresy mailowe zawirusowaną wiadomość rzekomo od DHlu – każda przyszła z innego adresu mailowego, wygląda jak od dhlu i każda kusi otwierzeniem/zapisaneniem zalącznika z rozszerzeniem ZIP. Ostrzegam!!! najlepiej od razu usuwać!!
18 maja, 2015 o godzinie 12:35
Współczuję Beata!! domyślam się jak wiele jest takich osób…
26 maja, 2015 o godzinie 13:06
Pytanie – czy wirus uruchamia się zaraz po otwarciu zzipowanego pliku?
I po jakim czasie mieliście zablokowane pliki na kompie?
26 maja, 2015 o godzinie 13:07
Pytanie – czy wirus uruchamia się zaraz po otwarciu zzipowanego pliku?
I po jakim czasie mieliście zablokowane pliki na kompie?
10 czerwca, 2015 o godzinie 17:14
Nie otwierajcie tego maila z DHL, wirus nie daje się usunąć. zablokował mi konto w mbank, ten wirus sciąga na kompa inne różne wirusy i nie wykrywa go program antywirusowy
10 czerwca, 2015 o godzinie 18:46
spróbuj Combo fixem, tylko najpierw odinstaluj antywirusa i uważaj, żebys jak będziesz ściągał combofixa nie ściągnął dodatkowej fałszywej przeglądarki typu sweet costam. U mnie na razie spoko wszystko działa bez zarzutów. A wczesniej wysyłało mi powadimienia, że mój system sie dziwnie zachowuje itp. Powodzenia
10 czerwca, 2015 o godzinie 18:47
a i po zadziałaniu combofixa normalnie włącz znowu antywira.
21 lipca, 2015 o godzinie 15:38
Witam,mam firmę i komputery połączone są sieciowo,ktoś ściągnął wirusa poczta polska ,czy da sie określić który komp i o której
2 października, 2015 o godzinie 10:55
— Treść przekazanej wiadomości —
Temat: Przypomnienie o nieoplaconej fakturze – Orange
Data: Fri, 02 Oct 2015 12:30:12 +0200
Nadawca: Orange
Odpowiedź-Do: zaleglosci@orange.pl
Adresat: info
Witamy,
Przypominamy, ze uplynal termin platnosci e-faktury za uslugi stacjonarne Orange. Zaleglosci z tytulu nieuregulowanych oplat dotycza:
Numer faktury
FWL90599170/001/15
Numer ewidencyjny Klienta
541 290 5991 7053
Kwota do zaplaty
107,15 PLN
Termin platnosci
2015-08-20
Szczególowe rozliczenie kwoty do zaplaty faktury jest dostepne pod linkiem.
Wygodnie i zawsze w terminie e-fakture mozna oplacic korzystajac z Polecenia Zaplaty lub Platnosci Elektronicznej.
Jezeli faktura zostala juz oplacona prosimy o uznanie tej wiadomosci za nieaktualna.
Wiadomosc zostala wygenerowana automatycznie, prosimy na nia nie odpowiadac.
Pozdrawiamy
Orange
3 grudnia, 2015 o godzinie 20:17
Wiatam. ja dostałem dzisiaj coś takiego. i załącznik z jakimś archiwum, ale nie otwieram. i wam też nie radzę… numer przesyłki nie istnieje…
Na przestrogę innym..
Próba doręczenia przesyłki DHL ID:645774320431 3 grudnia 12:42
Od:DHl Express Pokaż historię
Do: kaka6991@wp.pl
Wysłano:3 grudnia 12:42 (8 godzin temu)
Temat:Próba doręczenia przesyłki DHL ID:645774320431
Folder: Odebrane
Skrzynka:
Podpisana:rambler.ru
zwiń szczegóły
Dzień dobry,
Kurier w momencie dostarczenia zamówienia próbował zadzwonić pod numer telefonu podany w fakturze, ale numer nie odpowiadał. W związku z tym zamówienie zostało zwrócone na terminal. Okazało się, że podczas składania zamówienia był podany nieprawidłowy numer telefonu. Proszę wydrukować fakturę załączoną do niniejszego e-maila, i zwrócić się do najbliższego oddziału poczty DHL.
Z wyrazami szacunku,
Beata Petrova
DHL Express (Poland) Sp. z o.o.
Biuro główne
ul. Osmańska 2
02-823 Warszawa
Tel. (022) 565 00 00
1 marca, 2016 o godzinie 15:18
A ja otrzymałem dziś takiego oto maila, przez którego prawie się nie przewróciłem:
Dear Client,
According to the reconciliation of the Department of Finance there are the arrears following your client account totaling in $418,46 .
We attach the last unpaid invoice #86210980 to this letter and kindly ask you pay it off until March 31, 2016.
Please check out the file and do not hesitate to pay off the debt. We look forward to your reasonableness.
Załączony został plik ZIP, a całość przyszła od użytkownika o wdzięcznej nazwie MamieWithing. Na ile procent wirus?
12 marca, 2016 o godzinie 17:52
Joky dostałam podobnego!
Dear Customer!
According to our data you owe our company a sum of $290,64. There are records saying that you have ordered goods in a total amount of $ 290,64 in the third quarter of 2015.
Invoice has been paid only partially. The unpaid invoice #09814152 is enclosed below for your revision.
We are writing to you, hoping for understanding and in anticipation of the early repayment of debt.
Please check out the file and do not hesitate to pay off the debt.
Otherwise we will have to start a legal action against you.
Regards,
Lucy crerar
159 N Davis St, Jacksonville,
FL 03991
Phone nr: 846-055-7160
Z maila crerarLucy01590@kuikencareercoaching.nl
22 marca, 2016 o godzinie 18:23
Do mnie przyszło coś takiego: „Please find attached the statement (S#482293) that matches back to your invoices.
Can you please sign and return.
Best regards,
Hugh Wood
Financial Director – Multinational Group” z adresu WoodHugh2803@nsassociate.com
a wcześniej mail z tematem „you are being accused with bodily injury” wzywający do zapłaty iluś tam $.
Obie wiadomości w załączniku zawierały pliki zip o rozmiarze kilkunastu kB. UWAŻAJCIE co otwieracie!
14 kwietnia, 2016 o godzinie 22:55
Witam!
Niestety przez nieuwagę przy instalacji jakiegoś programu zainstalował mi się na komputerze booking.com. Nie otwierałam go. Nie dało go się odinstalować przez panel sterowania więc usunęłam go ręcznie. Czy to wystarczy?
20 lipca, 2016 o godzinie 13:52
mail od psse.starogardgdanski@pis.gov.pl – pusty – sam załącznik z nazwą firmy spakowany w zip – po pobraniu i przeskanowaniu eset znalazł trojana
25 listopada, 2016 o godzinie 11:38
Witam. A zetknął się ktoś już że wysyłane są e-maile podszywające się pod Wasz adres. Mam firmę, dzwonią do mnie kontrahenci, że dostali ode mnie wiadomość z wirusem. Tylko, że to nie było z mojego adresu tylko jakiegoś innego, który wyświetlał się jak mój. Czy to znaczy, że ja mam wirusa? Skąd powiązanie mojego adresu z adresami moich kontrahentów?
9 lutego, 2017 o godzinie 08:19
Witam. Z DPD przychodzą podobne emaile jak z DHL
16 grudnia, 2017 o godzinie 01:47
relevant website
Fala złośliwego oprogramowania podszywającego się pod firmy zalewa polski Internet | Bothunters.pl blog