hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
22 października 2020

Przestępcy straszą… policją!

Kolejny dzień – kolejna socjotechniczna sztuczka przestępców. Tym razem do naszej CERTowej skrzynki trafił mail z Komendy Głównej Policji. Co więcej, podpisany przez nie byle kogo – samego komendanta (czy też, wg. nomenklatury użytej w wiadomości) „Inspektora Głównego Policji”.

Zaproszenie do aresztowania

My możemy sobie zażartować, bo dla wprawnego oka pachnie to na milę phishingiem. Jesteśmy jednak w stanie wyobrazić sobie ludzi, których taka wiadomość naprawdę bardzo zestresuje.

 

Na pierwszy rzut oka wygląda poważnie. Adres w domenie @policja.pl (swoją drogą jesteśmy bardzo zaskoczeni, że adres w tak kluczowej domenie da się zespoofować). Niektóry z Was mogłoby już na początku zadziwić konto notices@ – jeśli już, to z konta o angielskiej nazwie oczekiwalibyśmy maili w takimż języku.

„Dobry dzień” to też nie jest zwrot, używany w naszym języku, a połączenie pytania o zdrowie i bezpieczeństwo z „zaproszeniem” (i potencjalnym aresztowaniem) – nie wiemy jak u Was, ale u nas budzi spory dysonans. No i ciężko nam wyobrazić sobie organy ścigania informujące tak po prostu o zbliżającym się aresztowaniu…

A w załączniku RAT

Jak się domyślacie, kluczem jest załączony dokument. A w nim oczywiście nie ma żadne go zaproszenia. Po otwarciu pliku ISO (co ciekawe w naszym przypadku noszącego nazwę PKO.iso) i kliknięciu w zawarty w nim plik exe zainstalujemy na naszym komputerze trojana zdalnego dostępu (Remote Access Trojan, RAT) Remcos. Jego sposobowi działania szczegółowo przyglądaliśmy się już niemal półtora roku temu.

Analizowany przez nas egzemplarz usiłował zaciągnąć kolejny malware z Discorda (hxxps://cdn.discordapp.com/attachments/753120711077396523/766198991351447582/Xqqjbbb). To kolejny przypadek, gdy przestępcy sięgają po ogólnodostępne serwisy o wysokiej renomie, by hostować tam złośliwe treści. Akurat stamtąd malware zniknął zanim położyliśmy na nim nasze ręce i analizatory, ale inna odnaleziona próbka pomogła odnaleźć serwer C&C pod adresem storyofpadi.ddns.net.

Uważajcie na siebie. A jeśli dostaniecie mail, sprawiający wrażenie podszywania się pod policję, po prostu spytajcie domniemanego nadawcy. No i nie zaszkodzi jeśli wyślecie go nam, na cert.opl@orange.com. Pomożecie wtedy innym internautom.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

2 kwietnia 2025
Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła?
Dowiedz się więcej
28 marca 2025
Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.
Dowiedz się więcej
20 marca 2025
Celebryci w sieci oszustw: Facebook obiecuje, scamerzy zarabiają
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance