Portal bezpiecznego e-biznesu

Kontakt Twoje konto Szukaj
Aktualności Bezpieczny sklep Zagrożenia w sieci Wzory i generatory pism

Wirus od PKO Bank Polski?

Bezpieczeństwo26 czerwca 2020

Autor: Gabriel Gatner

Wirus od PKO Bank Polski?

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Militaria.pl

Na naszą firmową skrzynkę mailową trafiła dziwna wiadomość pochodząca od PKO BP. Wiadomość zawiera załącznika w formacie .xls – co już wydaje się podejrzane. Jednak największy problem polega na tym, że wiadomość wydaje się pochodzić z prawdziwego adresu banku!

Wirus od PKO Bank Polski?

Poniżej zrzuty zarówno wiadomości fałszywej, jak i prawdziwej.

Fałszywa wiadomość:


Fałszywa wiadomość zawiera załącznik w formacie .xls i być może łatwiej dalibyśmy się oszukać, gdyby nie błąd językowy w ostatnim zdaniu „Proszę nie odpowiadać mu”.

Prawdziwa wiadomość:


Prawdziwa wiadomość zawiera załącznik w formacie .pdf i jest poprawnie napisana.

To co łączy obie wiadomości to adres nadawcy, a mianowicie „potwierdzenie@ipko.pl” To sugeruje, że zarówno prawdziwa, jaki fałszywa wiadomość zostały wysłane z jednego adresu mailowego!


Sprawę zgłosiliśmy do PKO BP. Natomiast zawartość fałszywej wiadomości przekazaliśmy do analizy naszemu partnerowi CERT Orange Polska.

Poniżej wyniki analizy:

Dokładne przyjrzenie się nagłówkom wiadomości (poniżej wybrane) dowodzi, że adres banku został podstawiony przez przestępców. Wiadomość została wysłana przy użyciu serwera pocztowego położonego w Turcji, przy użyciu popularnego oprogramowania do wysyłki maili ze strony WWW (Roundcube Webmail), do szerszej grupy adresatów.

Return-Path:

Delivered-To: biuro@legalniewsieci.pl

Received: from server.asaloto.com.tr (server.asaloto.com.tr [178.211.50.154])

by s2.ohmyhost.pl (Postfix) with ESMTPS id 36A4B641CE3E

for ; Thu, 25 Jun 2020 11:59:01 +0200 (CEST)

Received: from webmail.asaloto.com.tr (localhost [IPv6:::1])

by server.asaloto.com.tr (Postfix) with ESMTPSA id B6CCAC0AFF02;

Thu, 25 Jun 2020 12:49:36 +0300 (+03)

From: potwierdzenie@ipko.pl

To: undisclosed-recipients:;

Subject: Potwierdzenie operacji

User-Agent: Roundcube Webmail/1.4.3

W świetle powyższego analiza załączonego pliku xls była już tylko formalnością. To element nowej kampanii phishingowej, przesyłającej ofiary Netwire RAT. RAT, czyli Remote Access Trojan, to oprogramowanie umożliwiające przestępcy zdalny dostęp do zainfekowanego komputera i instalację dodatkowych złośliwych składników. W ostatnich tygodniach aktywność Netwire’a obserwowana jest w USA, gdzie dołączany jest do maili podszywających się pod tamtejszy urząd skarbowy (IRS). Na urządzeniach ofiar instaluje moduły keyloggera (odczytujące wciśnięte przyciski na klawiaturze) oraz usiłuje wykradać poświadczenia logowania do serwisów internetowych.

Udostępnij artykuł

Gabriel Gatner

Założyciel legalniewsieci.pl, prawnik specjalizujący się w prawie e-commerce.

Komentarze

‹ Poprzedni artykułOszustwo czy nie oszustwo? Oto jest pytanie Następny artykuł ›Oszustwo na Mystery Box
Oszustwo na Mystery Box Kiedy warto zainwestować w Google Ads? Informowanie o cenie – plusy i minusy nowych przepisów
Oszustwo na Mystery Box
Kiedy warto zainwestować w Google Ads?
Informowanie o cenie – plusy i minusy nowych przepisów

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci. Wcale nie spam. Zapisz się do Newslettera.

Kancelaria Prawna Regulamin sklepu internetowego Regulamin strony internetowej Umowa licencji
Bezpieczny sklep O programie Dołącz do programu Porady FAQ
Zagrożenia w sieci Szczegóły Oceń zagrożenie Bezpieczne zakupy
Wzory i generatory pism Niezbędne dokumenty Oferta LexLab

Adwokat Art. 178A KK Katowice

Legalniewsieci.pl © 2024. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się

Wyszukiwarka