Niecałe dwa tygodnie temu informowaliśmy w Dzienniku Internautów o nawiązaniu współpracy pomiędzy Allegro a InPostem. Może to właśnie ta współpraca zwróciła uwagę cyberprzestępców, teraz jesteśmy bowiem świadkami zmasowanej kampanii spamowej wykorzystującej wizerunek drugiej z wymienionych firm - ostrzegają analitycy G DATA SecurityLabs.

Poniżej zamieszczamy fałszywą wiadomość o czekającej na odbiór paczce, która dotarła do redakcyjnej skrzynki pocztowej:

Czym fałszywy e-mail różni się od oryginalnego?

W obu przypadkach wiadomość nosi tytuł „Paczkomaty InPost - PACZKA CZEKA NA ODBIÓR”, ta sfałszowana jest jednak wysyłana z adresu dostawy@inpost.pl, podczas gdy w usłudze Paczkomaty oferowanej przez firmę InPost adres nadawcy ma postać info@paczkomaty.pl.

Warto także zwrócić uwagę na numer paczki - oryginalny składa się z 24 cyfr, w sfałszowanym powiadomieniu zetkniemy się z błędnym 23-cyfrowym formatem. Esencją powiadomień od InPostu jest jednak 6-cyfrowy kod umożliwiający odebranie przesyłki w paczkomacie. Przestępcy postanowili go wykorzystać jako przynętę - z treści oszukańczej wiadomości wynika, że istotny dla klienta kod znajduje się w załączniku (sic!). Warto pamiętać, że InPost przesyła go zawsze w treści e-maila.

Co zawiera załącznik?

W naszym przypadku załącznik nosił nazwę List_Przewozowy_14_11_2014_INPOST.doc - efekt jego skanowania za pomocą usługi VirusTotal można zobaczyć poniżej. Zagrożenie jest wykrywane przez 12 antywirusów spośród 53 dostępnych.

Umieszczone w tym pliku makro umożliwia pobranie złośliwego programu pod nazwą orrcxa9av.exe, który jest hostowany na przejętej przez cyberprzestępców, nieużywanej już stronie jednej z gminnych spółek zajmujących się gospodarką komunalną. Program ten prawdopodobnie służy do wykradania danych logowania do różnych serwisów, w tym bankowych.

Nie jest to oczywiście pierwszy tego typu atak, nie należy też oczekiwać, że twórcy szkodliwego oprogramowania zaprzestaną podobnych działań - podszywanie się pod znane marki jest ich ulubionym trickiem. Pod koniec października informowaliśmy w Dzienniku Internautów o fałszywych e-fakturach od firmy Play, wcześniej podobne przesyłki otrzymywali klienci Vectry i UPC. Warto też wspomnieć o podejrzanych e-mailach rzekomo od Poczty Polskiej, a także o powiadomieniach dotyczących wpisania do Krajowego Rejestru Długów.

Według ekspertów z G DATA za najnowszą kampanią spamową mogą stać te same osoby, co w ostatnim z wymienionych przypadków. Świadczą o tym dane dotyczące autora załączanego pliku oraz wykorzystywana do uwiarygodnienia treści personalizacja samego e-maila.

Jak nie zostać ofiarą?

• Sprawdzaj dokładnie otrzymywane wiadomości. Warto przeczytać uważnie cały tekst łącznie z drobnym drukiem. Wyszukanie informacji na temat nadawcy też może okazać się pomocne. Wszelkie odstępstwa od standardów, do których przyzwyczaił Cię dany usługodawca, powinny zwiększyć Twoją czujność.
• Zamknij luki bezpieczeństwa. System operacyjny i programy, z których korzystasz, powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji. Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami, powinno zostać definitywnie odinstalowane.
• Zainstaluj dobre oprogramowanie zabezpieczające. Nie ograniczaj się jedynie do programu antywirusowego - warto korzystać także z filtrów antyspamowych, firewalla i skanera chroniącego w czasie rzeczywistym przed zagrożeniami online.

Czytaj także: Przesyłka kurierska z wirusem - jak zawczasu rozpoznać zagrożenienie