Kolejne kampanie phishingowe

Uwaga na serię kolejnych ataków phishingowych pod pozorem faktur za domniemane usługi. Jedna z nich to zwykły mail o treści:

„Witam,
Przesyłam elektroniczną wersję faktury 09758 wystawionej dnia 19.10.2017.
Proszę o potwierdzenie otrzymania faktury.

Wiesław Rxxxxx
tel. (22) xxx xx xx”.

Numery „faktur” i załączonych do maili, noszących te same numery plików XLS, mogą się różnić. W jednej z wersji załącznik nosi nazwę FAKTURA info.xls. W załączniku o numerze podanym w treści mieści się trojan dropper, instalujący malware ISFB. To tzw. banker, znany również pod nazwami dreambot i gozi – oprogramowanie wykradające loginy i hasła do serwisów bankowości elektronicznej.

Druga kampania to maile w języku angielskim, sugerujące konieczność zapłaty za usługi/faktury, sugerujące wejście na witryny (w przypadku otrzymanych przez CERT Orange Polska próbek):

• https://harm****earing.com
• https://fa***ctor.com

Ta kampania to kolejny przypadek, gdy przestępca próbuje oszukać potencjalne ofiary prostym trickiem z adresem e-mail – w polu „Od:” znajduje się adres w formie: Imie.Nazwisko@ <orange.com mail@yo***ne.de> (w miejscu Orange może się znajdować nazwa dowolnej firmy, będącej celem ataku). Autor kampanii liczy na niefrasobliwość potencjalnych ofiar, które widząc znane imię, nazwisko i firmę, nie spojrzą na dalszą część adresu.

Adresy IP, do których prowadzą obie kampanie, zostały zablokowane w sieci Orange Polska.