Od wielu lat cyberprzestępcy wykorzystują socjotechnikę w atakach pshisngowych, aby nakłonić swoje ofiary do podania danych do logowania. Podszywając się pod popularną czy rozpoznawalną markę budują wizerunek i sprawiają, że wiadomość, sms czy e-mail jest wiarygodny.
O kampaniach phisingowych związanych z Orange jest głośno nie od dziś. Na przestrzeni wielu lat hakerzy udoskonalają swoje sposoby, aby być skuteczniejsi.
Ataki z poprzednich lat wysyłane były pod nazwą ,,Orange Polska.” jednak mail, z którego były wysyłane absolutnie nie nawiązały treścią do Orange – były to adresy mailowe składające się z przypadkowych cyfr, liter i znaków specjalnych.
Strony internetowe, do których przenosiły linki miały jedynie zbliżony layout strony, jednak domena strony, tak jak w przypadku nazwy maila nie nawiązywała do Orange.
Maile, które w tej kampanii otrzymują użytkownicy Orange Polska są dokładną kopią rzeczywistych maili. Co ważne, dane użyte w treści maila – są prawdziwe. Stąd nasuwa się pytanie, czy hakerzy znaleźli lukę w zabezpieczeniach i wykradli dane użytkowników Orange? W mailu hakerzy podają prawdziwy numer klienta, saldo, które jest do zapłaty, a także numer konta. Nawet linki, które są zawarte w mailu – włącznie z tym do zapłaty prowadzą do stron Orange Polska.
Fałszywe maile od prawdziwych odróżnia kilka kwestii. Maile wysyłane są pod nazwą ,,Płatności Orange”, a adres mailowy ma w swojej domenie orange.com – dokładny adres noreply@orange.com. Następną różnicą jest nagłówek maila, który w fałszywej wiadomości jest niepoprawny stylistycznie: Znajdź załączoną fakturę za płatność. Czy zrobiłeś to już? Zignoruj tę wiadomość, a kolejną kwestią jest załącznik – który oczywiście nie zawiera faktury. Jednak sam załącznik może nie wzbudzać podejrzeń. Ważne, jest to, aby sprawdzić w jakim rozszerzeniu załącznik został wysłany. W przypadku nowej kampanii jest to plik z cyframi zapisany jako pdf wraz z rozszerzeniem zip. Przykład: ,,21110498774987·pdf.zip’’. Warto zwrócić tu uwagę na kropkę przed rozszerzeniem pdf – nie jest ona standardowa znajduje się na środku nazwy. Po kliknięciu w link w archiwum zip znajduje się plik VBS – a w nim oprogramowanie REMCOS.
Niebezpieczny załącznik aktualnie wykrywany jest jako złośliwy tylko przez 7 modeli antywirusowych. Po kliknięciu w link i otwarciu rozszerzenia zip, plik VBS i oprogramowanie REMCOS umożliwia hakerowi przejęcie naszego urządzania, co daje możliwości pobrania kolejnych aplikacji, które mogą uzyskać szereg danych z naszych urządzeń, takich jak dane logowania do bankowości elektronicznej.
Przede wszystkim zalecane jest, aby dokładnie czytać maile i weryfikować nadawcę. Jeśli nie jesteśmy pewni, czy wiadomość jest prawdziwa – należy zweryfikować wiadomość e-mail u źródła – dzwoniąc na infolinie usługodawcy.
cert.orange.pl, Uwaga na fałszywe faktury „od Orange”!
Po więcej najświeższych informacji z zakresu bezpieczeństwa informacji oraz cyberbezpieczeństwa zapraszamy do zakładki aktualności.
~Karolina Nowakowska