hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
5 sierpnia 2021

Phishingi na Office365, DPD i Pocztę Polską

Analizując nawet najprostsze maile phishingowe można trafić na ciekawe rzeczy (i zareagować, zanim wykorzystają je przestępcy). Tym razem zaczynając od prostackiego phishingu wpadliśmy na serię domen, gotowych do wykorzystania w kampanii podszycia pod Pocztę Polską.

Zaczęło się od maila:

Schemat, znany, używany wielokrotnie, na wygasające hasło. Prosty, wręcz prostacki:

  • Newrest.eu to adres globalnego lidera w zakresie cateringu, m.in. na pokładach samolotów
  • Funani Mkhwanazi (w zasadzie Hilda Funani Mkhwanazi) istnieje, ale jest… wicedyrektorką departamentu badań w Urzędzie Miasta w Johanessburgu
  • Żadne z powyższych nie ma nic wspólnego z naszym działem IT 🙂
  • Zostawienie na dole stopki Newrestu zupełnie psuje podstęp

No i podkreślone na czerwono, żeby KONIECZNIE użyć tego samego hasła!

Co się dzieje po kliknięciu? Niestety strona przygotowana specjalnie dla naszej koleżanki szybko zniknęła, ale dokładne przyjrzenie się witrynie doprowadziło nas do przekierowania na oficjalną stronę Office 365. 2+2 = phishing na konta Office. Po nakarmieniu CyberTarczy stroną docelową (treść ukryta na stronie uczciwej kwiaciarni w stolicy Peru, Limie)  doszliśmy jednak do wniosku, że przyjrzymy się jej jeszcze dokładniej. Spojrzeliśmy, czy coś ciekawego mieści się pod tym samym adresem IP i… bingo!

Poczta Polska i DPD, czyli znane też nie tylko nam od dłuższego wyłudzenia danych karty płatniczej pod pozorem odbioru zaległej/zatrzymanej przesyłki. W efekcie jeden phishing pomógł nam zablokować kilkanaście witryn gotowych do phishingowych kampanii. Również tych na wydawać by się mogło nietykalnej domenie Amazon AWS. Faktycznie, zablokowanie ogólnoświatowej chmury mogłoby się zakończyć źle dla wielu uczciwych użytkowników. Dlatego – cóż – mamy swoje sposoby.

15 kwietnia 2025
Oszuści podszywają się pod Orange Polska!
Dowiedz się więcej
14 kwietnia 2025
Fałszywy BNP Paribas, fałszywy Netflix
Dowiedz się więcej
10 kwietnia 2025
Groźny phishing na e-zdrowie – jakie mogą być konsekwencje?
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance