hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Ostrożnie z „zaproszeniami do współpracy”

Jednym z pomysłów sieciowych przestępców na ominięcie systemów bezpieczeństwa jest „przepuszczenie” złośliwej strony przez ogólnodostępny serwis o wysokiej reputacji. Jeśli phishingowa strona trafi np. na którąś z publicznych chmur, część systemów automatycznie nie będzie jej brać pod uwagę, nie chcąc zablokować domeny na „białej liście”. Dlaczego część? Dlatego, że np. nasza CyberTarcza pozwala na odcięcie dostępu do konkretnej złośliwej ścieżki, nie zakłócając dostępności do całego serwisu.

Jedną z usług, używanych przez oszustów jest Tłumacz Google. Raz na jakiś czas nasze systemy trafiają na witryny w domenie translate.goog, ale tę, którą opisujemy dzisiaj, cechuje ciekawy sposób działania.

Jeśli wejdziecie na stronę https://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link[.]translate.goog (subdomeny z DGA to jeden z istotnych wyznaczników witryny phishingowej), nie znajdziecie na niej nic. A dokładnie coś takiego:

Jeśli więc trafi do nas taka domena, a nie znamy szczegółówego URLa, powyższe można zinterpretować jako fakt, że kampania przestępców jest już zakończona, a witryny blokować nie trzeba.

Witam wszystkich na Wykopie, aż dziwne, że tak... - RadekKotarski - Wykop.pl

Gdzie tkwi kruczek?

W szczegółowym adresie. Czasami wyłapią go nasze systemy, a czasami – jak teraz – Wojtek Jabczyński, rzecznik Orange Polska, wyśle nam podejrzanego maila, który do niego trafił.

Jak się domyślacie, nie istnieje żaden zespół, a link wcale nie prowadzi do Microsoft Teams. Link Wojtka był prawie identyczny z poniższym – zmieniliśmy tylko maila, na naszego, CERTowego.

hxxps://g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link.translate[.]goog/alldomain.html?_x_tr_hp=bafybeidklx&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#cert.opl@orange.com

Co się stanie, gdy go wpiszemy?

Możecie sobie potestować – oczywiście pod warunkiem, że nie korzystacie z sieci Orange Polska, bo u nas już się nie da.

Pisaliśmy jednak, że ta akcja jest wyjątkowo ciekawa. Dlaczego?

Może phishing na konto w Interii?

A może… 😉

To może w Gazeta.pl?

No dobra. Tu akurat nie. Choć w wyskakującym oknie pojawiło się logo serwisu, oszuści albo nie zadbali o tło do tego serwisu, albo – co wydaje się bardziej prawdopodobne – akurat gazeta.pl nie jest celem kampanii. Skąd logo w oknie? To favicon, obrazek pobrany z faktycznej strony serwisu.

Co robić?

Nie wierzyć, oczywiście. Robić to, co powtarzamy do znudzenia – jeśli logujesz się do jakiegokolwiek serwisu, upewnij się, czy adres w oknie przeglądarki jest prawdziwy! Absolutnie nie ufaj wyskakującym okienkom. A jeśli masz wątpliwości, czy mail jest prawdziwy – wyślij go do nas, na adres cert.opl@orange.com.

No i czytaj uważnie. Jeśli wchodzisz na stronę Orange, czy Microsoft Teams, to dlaczego na górze pojawia się pasek Tłumacza Google?