Fałszywe e-maile także od Naszej-Klasy

Wygląda na to, że spamerzy i cyberprzestępcy doceniają polski rynek internetowy, podobnie jak zagraniczni giganci. Wczoraj gdy informowaliśmy o atakach na użytkowników Fotka.pl, zwróciliście nam w komentarzach uwagę na spam podszywający się pod Naszą-Klasę. Jeden z Czytelników przesłał nam przykład oszukańczego e-maila.

Podobnie jak w przypadku ataku na użytkowników Fotki, e-maile do "klasowiczów" udają powiadomienie o otrzymaniu wiadomości prywatnej w serwisie. Na tym podobieństwa się nie kończą – w temacie wiadomości jest drobna literówka (brak kropki nad "ż") a jej kodowanie nie przystaje do polskich realiów.

fot. - Nasza-klasa.pl - fałszywa wiadomość

W wiadomości znajduje się obrazek z logotypem Naszej-Klasy oraz fragment kuszącej wiadomości w języku angielskim (Hello! Love You) lub polskim (Nie potrafię żyć bez Ciebie). Do tego jest link, który wygląda jakby prowadził do profilu użytkownika popularnego serwisu. W rzeczywistości może on prowadzić do różnych stron w domenach takich jak en-us42.net lub dns38.net.

Strony do których prowadzi link sprawdzaliśmy kilkoma narzędziami do skanowania linków (LinkScaner, McAfee SiteAdvisor, Dr. Web). Żadne z nich nie mogło połączyc się ze stroną. Jedynie SiteAdvisor rozpoznał adres jako reklamowany w spamie, ale trudno w tej chwili powiedzieć jakie zagrożenia mogły się wiązać z otworzeniem linka.

Powiedz znajomym!

Z pewnością warto uczulić znajomych na podobne wiadomości. W przypadku serwisu Nasza-Klasa ma to szczególne znaczenie, bo korzysta z niego wielu mniej doświadczonych internautów. Niektórzy z nich zaczęli wręcz korzystać z internetu po to, aby mieć dostęp do tego właśnie serwisu. Jeśli mamy takich znajomych – warto im powiedzieć o zagrożeniu. W pewnym sensie dotyczy ono nas wszystkich, bo im więcej zainfekowanych komputerów na świecie, tym więcej spamu w skrzynkach.

Dziękujemy wszystkim czytelnikom, którzy podesłali przykłady spamu i zwrócili uwagę na problem w komentarzach.

AKTUALIZACJA

Jeden z czytelników, któremu udało sie otworzyć podejrzaną stronę donosi, że zachęca ona do pobrania pliku podszywającego się pod instalację Flash Playera. Plik ten zawiera trojana będącego wariantem Agent.NEQ (według VirusTotal).  Scenariusz ataku jest więc bardzo podobny jak w przypadku ataku na użytkowników Fotka.pl.