hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
1 lipca 2021 00:00

Nieprawdziwe PKO i dziwny blog

Michał Rosiak

O domenach i złośliwych/fałszywych treściach, które wpadają do naszych systemów bezpieczeństwa, można by napisać książkę. Dostęp do niektórych uniemożliwiamy już na etapie analizy automatycznej, część trafia do operatorów Security Operations Center, są też takie, z którymi – przynajmniej na początku – nie wiadomo, co zrobić.

Weźmy na przykład domenę hxxps://www.ipko-biznes-log[.]com/. Już sama składnia dość otwarcie sugeruje, że z usługą iPKO nie ma to wiele wspólnego. Rzut okiem na wpis WhoIs tylko to potwierdza:

  • Rejestracja w serwisie NameCheap
  • Dane rejestrującego ukryte ze względów prywatności
  • Adres: Kalkofnsvegur 2, Reykjavik, Islandia (pod tym adresem znajdują się biura na wynajem)

O ile fakt rejestracji domeny kilka dni wcześniej nie musi niepokoić, to powyższe trzy już raczej tak. Przy okazji – jeśli chcielibyście znaleźć inne phishingowe domeny, wystarczy zerknąć na WhoIs pod pozycją Similar Domains.

Dobra, wiemy (czy raczej nie wiemy, możemy się tylko domyślać) kto za tym stoi – spójrzmy zatem może co tam w ogóle jest:

W jednym rogu enigmatyczne „blog biznesowy”, w treści gdzieniegdzie słowo „iPKO”. Brak logotypu marki, ale faktycznie treści o charakterze finansowym. Gdy jednak próbujemy gdziekolwiek kliknąć, okazuje się, że linków… nie ma! Tzn. kilka działa, ale kierują tylko do poszczególnych bloków strony głównej. Wejść w artykuły się nie da, ale okazuje się, że można zajrzeć w regulamin.

Nie dość, że generyczny, to jeszcze bez żadnych nazw, napisany ciurkiem i z tym dziwnym wstępem po… czesku. Okazuje się, że to nie jedyny dysonans językowy, ciekawie robi się, gdy wejdziemy w źródło strony:

Przypadek? Raczej lenistwo. Chyba nawet nie próba skierowania zainteresowanych na niewłaściwe tory. Po prostu twórca witryny korzystał z rosyjskojęzycznych szablonów CSS i albo o tym zapomniał, albo nie chciało mu się zmieniać. Nie byłoby to nic zaskakującego, bowiem za sporą część ostatnich kampanii, celowanych w polskich internautów, odpowiedzialni są właśnie przestępcy ze wschodu. W przypadku opisywanej strony na razie nie wiadomo, co miałoby być zagrożeniem. Jednak fakt, iż zaobserwowaliśmy sporą liczbę podobnych domen, świadczy o tym, że warto uważać. Oszuści rzadko kiedy robią cokolwiek po próżnicy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

18 listopada 2025
Skąd biorą się subskrypcje niechcianych usług
Dowiedz się więcej
12 listopada 2025
Poradnik Cyberbezpieczeństwa w małej firmie – 5 prostych kroków, które naprawdę działają
Dowiedz się więcej
7 listopada 2025
Ty chcesz sprzedać auto, a przestępcy podszywają się pod „zespół bezpieczeństwa Otomoto”
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance