Jak działa socjotechnika phishingu na podstawie własnych doświadczeń.
Otrzymałem emaila od “84259 Poczta Polska [admin1@pol-poczta.org]” o następującej treści:
Informacja!
Twoja paczka nie została doręczona w wyznaczonym czasie w dniu 17 kwiecien 2015, ponieważ nikt nie otworzył drzwi. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczące twojego zamówienia na naszej stronie internetowej. Musisz wydrukować informacje dotyczące przesyłki i zgłosić się do najbliższego biura firmy.
Odbierz dane dotyczące twojej przesyłki
Uwaga!
Jeżeli paczka nie zostanie odebrana w okresie 30 dniu, zostanie naliczona opłata z tytułu przechowywania. W celu otrzymania dodatkowej informacji dotyczącej przechowywania i pobierania opłat, odwiedź naszą witrynę.
Z powazaniem,
Poczta Polska
Informacja!
Twoja paczka nie została doręczona w wyznaczonym czasie w dniu 17 kwiecien 2015, ponieważ nikt nie otworzył drzwi. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczące twojego zamówienia na naszej stronie internetowej. Musisz wydrukować informacje dotyczące przesyłki i zgłosić się do najbliższego biura firmy.
Odbierz dane dotyczące twojej przesyłki
Uwaga!
Jeżeli paczka nie zostanie odebrana w okresie 30 dniu, zostanie naliczona opłata z tytułu przechowywania. W celu otrzymania dodatkowej informacji dotyczącej przechowywania i pobierania opłat, odwiedź naszą witrynę.
Z powazaniem,
Poczta Polska
Nie zdziwiło mnie to bo właśnie zakupiłem coś na aukcji internetowej. Kliknąłem więc na wskazany link i wyświetliła się poniższa strona,
która okazała się oszukaną stroną Poczty Polskiej. Dla porównania niżej pokazuję stronę oryginalną.
Jak widać w adresie fałszywej strony nie ma nazwy domeny, a tylko IP serwera 194.58.39.61.
Fałszywa strona zawierała link do załącznika formularza dokumentu odbioru paczki. Dla nadania wiarygodności zawierała ona również kalkulator captcha chroniący przed spambotami. Dopiero po potwierdzeniu, że nie jesteśmy robotem (przepisaniu wygenerowanych znaków) można było ściągnąć załącznik.
i rozpakowaniu go okazało się, że to nie plik wydruku, a złośliwa aplikacja o intrygującej nazwie: “pdf informacja o działki.exe”, która ma nam wmówić, że jest plikiem pdf.
Sprawdziłem jeszcze adres IP serwera fałszywej strony na portalu WhoIs i dowiedziałem się że oszuści mają zlokalizowany serwer w Rosji. Dopuszczam też możliwość sfałszowania adresu IP.
Wniosek:
Metoda phisingu na maila jest stale aktualna, dlatego też należy zachować szczególną ostrożność w otwieraniu wszelkich załączników.