Jeden z Czytelników Dziennika Internautów przekazał na adres redakcji otrzymaną wcześniej wiadomość, która łudząco przypomina powiadomienie o przesyłce kurierskiej wysyłane przez Pocztę Polską. Po sprawdzeniu na stronach Poczty okazuje się, że nie ma takiego numeru przesyłki. Natomiast jest w mailu podejrzany załącznik - spakowany ZIP-em dokument PDF. Nie otwierałem go, ale wygląda mi na jakiegoś wirusa - napisał Czytelnik.

Przeskanowaliśmy podejrzany załącznik, korzystając z usługi VirusTotal. Czytelnik ma rację - w chwili pisania tego tekstu dołączony do e-maila plik jest wykrywany jako złośliwy przez 12 antywirusów (na 52 dostępne). Wniosek nasuwa się sam: lepiej go nie otwierać. To samo doradza zresztą Poczta Polska w opublikowanym dziś ostrzeżeniu. Można się z niego dowiedzieć, że fałszywe powiadomienia o przesyłce kurierskiej zawierają numer składający się z 19 cyfr (o jedną mniej niż w przypadku autentycznych wiadomości).

Żeby uwiarygodnić oszustwo, nadawcy posługują się sfałszowanym adresem informacja@poczta-polska.pl, co na pierwszy rzut oka nie wzbudza podejrzeń. Wystarczy jednak obejrzeć nagłówki e-maili, by przekonać się, że nie są one wysyłane z serwerów Poczty Polskiej. Pod względem językowym wiadomości zostały przygotowane dosyć niedbale (brakuje polskich liter). Treść przykładowego powiadomienia można zobaczyć poniżej:

Nie jest to ani pierwszy, ani najbardziej wyrafinowany atak zaobserwowany w ostatnim czasie. Jak zwykle w podobnych przypadkach, zalecamy jednak ostrożność.

Aktualizacja

Jak podają eksperci z firmy ESET, rozpowszechniane w powyższy sposób zagrożenie, oznaczone przez nich jako Win32/PSW.Papras.CK, dodaje wpis do rejestru, który powoduje automatyczne uruchamianie się szkodnika przy każdym starcie systemu Windows. Papras regularnie kontaktuje się ze zdalnym serwerem w oczekiwaniu na polecenia: pobrania określonego pliku, uruchomienia pliku, przesłania zebranych danych albo aktualizacji do najnowszej wersji. Zagrożenie gromadzi m.in. informacje o systemie operacyjnym i jego użytkowniku, a także ciasteczka z popularnych przeglądarek internetowych oraz dane logowania do skrzynek mailowych.

Czytaj także: Użytkownicy Allegro i Booking.com znów zagrożeni