środa, 22 kwietnia 2015

Nieodebrana paczka – email zawierający link do strony z wirusem

Jak działa socjotechnika phishingu na podstawie własnych doświadczeń.

Otrzymałem emaila od “84259 Poczta Polska [admin1@pol-poczta.org]” o następującej treści:

Informacja!

Twoja paczka nie została doręczona w wyznaczonym czasie w dniu 17 kwiecien 2015, ponieważ nikt nie otworzył drzwi. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczące twojego zamówienia na naszej stronie internetowej. Musisz wydrukować informacje dotyczące przesyłki i zgłosić się do najbliższego biura firmy.

Odbierz dane dotyczące twojej przesyłki

Uwaga!

Jeżeli paczka nie zostanie odebrana w okresie 30 dniu, zostanie naliczona opłata z tytułu przechowywania. W celu otrzymania dodatkowej informacji dotyczącej przechowywania i pobierania opłat, odwiedź naszą witrynę.

Z powazaniem,
Poczta Polska


ph1
Nie zdziwiło mnie to bo właśnie zakupiłem coś na aukcji internetowej. Kliknąłem więc na wskazany link i wyświetliła się poniższa strona,
ph2
która okazała się oszukaną stroną Poczty Polskiej. Dla porównania niżej pokazuję stronę oryginalną.
ph3
Jak widać w adresie fałszywej strony nie ma nazwy domeny, a tylko IP serwera 194.58.39.61.
Fałszywa strona zawierała link do załącznika formularza dokumentu odbioru paczki. Dla nadania wiarygodności zawierała ona również kalkulator captcha chroniący przed spambotami. Dopiero po potwierdzeniu, że nie jesteśmy robotem (przepisaniu wygenerowanych znaków) można było ściągnąć załącznik.
Po ściągnięciu załącznika

ph4
i rozpakowaniu go okazało się, że to nie plik wydruku, a złośliwa aplikacja o intrygującej nazwie: “pdf informacja o działki.exe”, która ma nam wmówić, że jest plikiem pdf.

ph5
Sprawdziłem jeszcze adres IP serwera fałszywej strony na portalu WhoIs i dowiedziałem się że oszuści mają zlokalizowany serwer w Rosji. Dopuszczam też możliwość sfałszowania adresu IP.
ph6
Wniosek:
Metoda phisingu na maila jest stale aktualna, dlatego też należy zachować szczególną ostrożność w otwieraniu wszelkich załączników.


6 komentarzy:

  1. Ale się cieszę, że tu trafiłam, bo już miałam iść na pocztę zapytać o co chodzi. Mam nadzieję, że ta niby kara to tylko takie ''gadanie''.

    OdpowiedzUsuń
  2. Ufff, właśnie takie "cudeńko" dostałam. Dziękuję za informację.

    OdpowiedzUsuń
  3. Do mnie też trafiła taka wiadomość. Bardzo dobrze, że ktoś opublikowała wcześniej info o tym wirusie. Dzięki.

    OdpowiedzUsuń
  4. Dzięki za ostrzeżenie. Właśnie dostałam takiego maila.

    OdpowiedzUsuń
  5. Bardzo fajnie napisane. Brawo dla autora.

    OdpowiedzUsuń