Bezpieczeństwo, Dobre praktyki

Podszyli się pod DHL i…

Zespół EmailLabs, 26 lipca 2018

Dzień jak każdy – standardowy wtorek. Godziny przedpołudniowe w pracy są zazwyczaj momentem, w którym przy drugiej kawie odbiera się emaile.

Wśród różnych korespondencji i wiadomości typu newsletter pojawia się ta, która przykuwa moje oko — wiadomość od DHL o tym, że podjęto próbę dostarczenia paczek.

To nic dziwnego?

Akurat w ubiegłym tygodniu zamówiłam kilka paczek, większość miała zostać dostarczona właśnie przez tę firmę kurierską — zarówno mniejsze, jak i większe rzeczy. Zamówienia zostały jednak doręczone planowo, dnia poprzedniego. Dlatego wiadomość bardzo mnie zaskoczyła. Pomyślałam, mógł się wydarzyć błąd w systemie lub zapomniałam o którymś z zamówień.

Temat: Parcel Held At Our Facility (Arrival Notice)

Temat po angielsku? To dosyć nietypowe. Jednak w przypadku dużych międzynarodowych korporacji każdy może się pomylić — tym bardziej automatyczny system wysyłania powiadomień email. Odczytuje więc treść i opuszczam email po chwili, ponieważ zaczął wzbudzać moje podejrzenia za sprawą następującej treści:

“Próbowaliśmy dostarczyć kilka dokumentów, które zostały załączone poniżej, kilka razy, ale nie udało nam się znaleźć właściwego adresu dostawy.”

Wtedy miałam pewność — tak to jest atak phishingowy.

Sama identyfikacja graficzna także wzbudziła moje wątpliwości. Zauważyłam, że email jest fałszywy, ale czy ktoś inny nie dał się czasem nabrać?

Typowy phishing — tyko nikt się nie postarał. Zbyt banalny tekst, zbyt słabe wykonanie. To zdecydowanie nie mogło się udać. Jednak wciąż tysiące osób bezmyślnie otwiera załączniki i nie widzi w tym nic złego.

Ale kto to wysłał?

Hakerzy podszywali się pod główną domenę DHL w celu zainfekowania komputera ofiary. Email posiadał kilka załączników o różnych rozszerzeniach plików, których pobranie mogło grozić zablokowaniu lub kradzieży danych z komputera.

Sprawdziłam także email z poprzedniego tygodnia w sprawie doręczenia mojej paczki.

Ten poprawny dotarł do mnie także z tej samej domeny, ale cały adres nadawcy był jednak inny i jednoznacznie wskazujący, że to polski DHL przywiezie moją paczkę.

Co ważniejsze wiadomość została utrzymana w innej kolorystyce oraz w całości została napisana po polsku. Nie zawierała w emailu żadnych potwierdzeń nadania czy innych informacji o doręczeniu. Wszystkie najważniejsze informacje zostały zawarte w treści.

Co było w mailu?

Wspomniałam także o podejrzanych załącznikach. Rozszerzenie pliku *.ace  skutecznie mógł wskazać, że z tą kompresją jest coś nie tak. Rzeczywiście jest obecnie bardzo mało używana, a do przesyłu plików raczej używa się obecnie rozszerzenie pliku *.zip. Po przeskanowaniu pliku za pomocą specjalnego programu udało się ustalić, że plik zawiera szkodliwego wirusa pod wieloma nazwami.

Zawsze, kiedy otrzymasz wiadomość email z podejrzanym załącznikiem, możesz skorzystać z darmowych opcji skanowania wiadomości, aby mieć pewność, że Ty sam nie dasz nabrać się na phishing.

Podejrzany email wraz z załącznikami należy przesłać na adres: scan@virustotal.com z tematem SCAN.

Po chwili na Twoją skrzynkę pocztową przyjdzie zwrotne powiadomienie z raportem wirusów lub innych potencjalnych zagrożeń.

Pamiętaj, że nie tylko zabezpieczenie przesyłek jest istotne w zachowaniu bezpieczeństwa korespondencji. Jeżeli chcesz dowiedzieć się więcej na temat bezpieczeństwa, koniecznie przeczytaj nasz e-book, w którym piszemy o tym, jak nie paść ofiarą oszustwa, w jaki sposób weryfikować korespondencję przychodzącą i oczywiście, jak zabezpieczyć swój system wysyłkowy przez szkodliwymi działaniami oszustów.

To nie jedyny przypadek związany z DHL

Od kilku tygodni w skrzynkach emailowych posiadających firmowe domeny zaobserwowano pojawiające się wiadomości transakcyjne wysyłane przez DHL. Jednak przypatrując się już samemu adresatowi nadawcy, można zauważyć, że to nie firma kurierska jest nadawcą wiadomości, a ktoś podszywający się pod nazwę.

Tak, to jest phishing — w tym przypadku jestem całkowicie nieudolny i źle przygotowany.

Co zdradza, że ta wiadomość jest fałszywa?
  • podejrzany adres nadawcy
  • brak poprawności językowej
  • brak polskich znaków
  • domena w linku nie zgadza się z domeną dotychczas używaną przez DHLa
  •  brak spójności wizualnej

Sprawdzanie tych elementów powinno stać się nawykiem, który uchroni nas przed prawdziwymi kłopotami spowodowanymi otworzeniem załącznika lub linku z zainfekowaną treścią.

Najczęściej czytane

Utwórz konto w EmailLabs już dziś

Wysyłaj do 24 000 wiadomości e-mail miesięcznie zawsze za darmo