Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem Allegro, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.
Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila.
ANALIZA FAŁSZYWEJ WIADOMOŚCI
1. Adres nadawcy wiadomości o tytule „Paczkomaty InPost – PACZKA CZEKA NA ODBIÓR” to dostawy@inpost.pl jasno sugerujący odbiorcy od kogo pochodzi czytana wiadomość. Jednak w usłudze Paczkomaty oferowanej przez firmę InPost powiadomienia wysyłane są z adresu: info@paczkomaty.pl.
2. Brak nadawcy przesyłki w treści powiadomienia, literówki oraz błędny numer samej paczki dyskwalifikują wiadomość n a starcie. Oryginalny numer paczek firmy InPost posiada 24 cyfry. W tej odsłonie działań hakerów spotykamy się z błędnym 23 cyfrowym formatem, który zostanie wyłapany jedynie przez najbardziej drobiazgowych odbiorców maila. Większe szanse mają użytkownicy zwracający uwagę na poprawność języka użytego w korespondencji.
3. Kod odbioru czyli 6 cyfrowy ciąg pozwalający nam na odebranie przesyłki w paczkomacie jest dla klienta esencją wiadomości dotyczącej odbioru kupionych w internecie przedmiotów. Dlatego tez przestępcy postanowili wykorzystać go jako przynętę. Kod jak dowiadujemy się z treści maila jest podany w załączniku (sic!). Przypominamy, że firma InPost przesyła kody zawsze w treści samego maila. Sam załącznik to plik Word z aktywnymi makrami dzięki, którym możliwe jest pobranie złośliwego oprogramowania na atakowany komputer. Złośliwy plik ukrywający się pod nazwą orrcxa9av.exe jest w tej chwili analizowany i zostanie możliwie najszybciej dodany do baz sygnatur G DATA Software. Szkodliwy plik hostowany jest na przejętej, starej i nie używanej już stronie jednej z gminnych spółek zajmujących się gospodarką komunalną. Z pierwszych informacji wynika, że to minimalnie zmodyfikowany wariant już wcześniej stosowanego złośliwego oprogramowania wykradającego dane logowania do różnych serwisów w tym bankowych.
Eksperci G DATA SecurityLabs radzą kasować takie wiadomości bez ich otwierania. Nigdy nie otwierajmy załączników zawartych w takich wiadomościach, a także nie klikajmy w linki w nich zawarte.
(RED/G DATA)