Phishing pod pozorem faktur od PGE!
Nasze systemy wyłapały dziś maile phishingowe, podszywające się pod faktury za usługi PGE.
Świadomi internauci, a przede wszystkim ci, którzy dostają rachunki z PGE, łatwo się zorientują, że z prawdziwą fakturą od dostawcy prądu nie ma to wiele wspólnego. Są jednak wciąż tacy użytkownicy – opowiadał o nich Adam Haertle podczas swojej prezentacji na konferencji Secure – którzy nawet nie mając usług w firmie X i tak klikną, bo: „Może to ważne, a poza tym to tylko 4,2 PLN”.
Jeśli klikną raz, w link „zapłać online”, zobaczą kolejny widok, który powinien wzbudzić w nich przynajmniej konsternację:
Rachunek za prąd to jedno, ryzyko jego wyłączenia to rzecz poważna – szczególnie przed weekendem – ale skąd tu nagle… srebrne bransoletki?
Kolejny krok to już standardowo miejsce na wpisanie danych:
i na koniec pusta witryna – oszuści nawet nie kłopoczą się, by napisać, że „twoja płatność przebiegła pomyślnie”.
Co ciekawe, po kilku godzinach link z maila o fakturze zaczął prowadzić na stronę, dotyczącą nieco innych usług:
Przekierowującą po wpisaniu „dyżurnych” poświadczeń logowania do witryny, mającej na celu dodatkową weryfikację tożsamości. Co ciekawe – do weryfikacji niezbędne jest… podanie danych karty płatniczej.
Użyta w ataku domena to hxxps://galabovivesti.info/. To witryna oparta na najpopularniejszym na świecie CMSie WordPress. Po zmianie wp-content w pasku adresu na wp-admin dostajemy się do… rosyjskojęzycznego panelu logowania.
Oczywiście pod warunkiem wejścia spoza sieci Orange Polska, bo u nas zajęła się nią CyberTarcza.
Uważajcie na siebie. Przede wszystkim, gdy przychodzą faktury. Patrzcie na pasek adresu, szukajcie czegokolwiek co wygląda inaczej, niż zwykle, do czego można się przyczepić. Jeśli macie wątpliwości – dzwońcie do domniemanego nadawcy dokumentu. A nam będzie bardzo miło jeśli maila – w formie załącznika – przyślecie na cert.opl@orange.com.
Spokojnego weekendu.