Bezpieczeństwo, Dobre praktyki

Podszyli się pod DHL i…

Zespół EmailLabs, 26 lipca 2018

Podszyli się pod DHL i…

Dzień jak każdy – standardowy wtorek. Godziny przedpołudniowe w pracy są zazwyczaj momentem, w którym przy drugiej kawie odbiera się emaile.

Wśród różnych korespondencji i wiadomości typu newsletter pojawia się ta, która przykuwa moje oko — wiadomość od DHL o tym, że podjęto próbę dostarczenia paczek.

To nic dziwnego?

Akurat w ubiegłym tygodniu zamówiłam kilka paczek, większość miała zostać dostarczona właśnie przez tę firmę kurierską — zarówno mniejsze, jak i większe rzeczy. Zamówienia zostały jednak doręczone planowo, dnia poprzedniego. Dlatego wiadomość bardzo mnie zaskoczyła. Pomyślałam, mógł się wydarzyć błąd w systemie lub zapomniałam o którymś z zamówień.

Temat: Parcel Held At Our Facility (Arrival Notice)

Temat po angielsku? To dosyć nietypowe. Jednak w przypadku dużych międzynarodowych korporacji każdy może się pomylić — tym bardziej automatyczny system wysyłania powiadomień email. Odczytuje więc treść i opuszczam email po chwili, ponieważ zaczął wzbudzać moje podejrzenia za sprawą następującej treści:

“Próbowaliśmy dostarczyć kilka dokumentów, które zostały załączone poniżej, kilka razy, ale nie udało nam się znaleźć właściwego adresu dostawy.”

Wtedy miałam pewność — tak to jest atak phishingowy.

Sama identyfikacja graficzna także wzbudziła moje wątpliwości. Zauważyłam, że email jest fałszywy, ale czy ktoś inny nie dał się czasem nabrać?

Podszyli się pod DHL i…Typowy phishing — tyko nikt się nie postarał. Zbyt banalny tekst, zbyt słabe wykonanie. To zdecydowanie nie mogło się udać. Jednak wciąż tysiące osób bezmyślnie otwiera załączniki i nie widzi w tym nic złego.

Ale kto to wysłał?

Hakerzy podszywali się pod główną domenę DHL w celu zainfekowania komputera ofiary. Email posiadał kilka załączników o różnych rozszerzeniach plików, których pobranie mogło grozić zablokowaniu lub kradzieży danych z komputera.

Podszyli się pod DHL i…

Sprawdziłam także email z poprzedniego tygodnia w sprawie doręczenia mojej paczki.

Ten poprawny dotarł do mnie także z tej samej domeny, ale cały adres nadawcy był jednak inny i jednoznacznie wskazujący, że to polski DHL przywiezie moją paczkę.

Podszyli się pod DHL i…

Co ważniejsze wiadomość została utrzymana w innej kolorystyce oraz w całości została napisana po polsku. Nie zawierała w emailu żadnych potwierdzeń nadania czy innych informacji o doręczeniu. Wszystkie najważniejsze informacje zostały zawarte w treści.

Co było w mailu?

Wspomniałam także o podejrzanych załącznikach. Rozszerzenie pliku *.ace  skutecznie mógł wskazać, że z tą kompresją jest coś nie tak. Rzeczywiście jest obecnie bardzo mało używana, a do przesyłu plików raczej używa się obecnie rozszerzenie pliku *.zip. Po przeskanowaniu pliku za pomocą specjalnego programu udało się ustalić, że plik zawiera szkodliwego wirusa pod wieloma nazwami.

Podszyli się pod DHL i…

Zawsze, kiedy otrzymasz wiadomość email z podejrzanym załącznikiem, możesz skorzystać z darmowych opcji skanowania wiadomości, aby mieć pewność, że Ty sam nie dasz nabrać się na phishing.

Podejrzany email wraz z załącznikami należy przesłać na adres: scan@virustotal.com z tematem SCAN.

Po chwili na Twoją skrzynkę pocztową przyjdzie zwrotne powiadomienie z raportem wirusów lub innych potencjalnych zagrożeń.

Pamiętaj, że nie tylko zabezpieczenie przesyłek jest istotne w zachowaniu bezpieczeństwa korespondencji. Jeżeli chcesz dowiedzieć się więcej na temat bezpieczeństwa, koniecznie przeczytaj nasz e-book, w którym piszemy o tym, jak nie paść ofiarą oszustwa, w jaki sposób weryfikować korespondencję przychodzącą i oczywiście, jak zabezpieczyć swój system wysyłkowy przez szkodliwymi działaniami oszustów.

To nie jedyny przypadek związany z DHL

Od kilku tygodni w skrzynkach emailowych posiadających firmowe domeny zaobserwowano pojawiające się wiadomości transakcyjne wysyłane przez DHL. Jednak przypatrując się już samemu adresatowi nadawcy, można zauważyć, że to nie firma kurierska jest nadawcą wiadomości, a ktoś podszywający się pod nazwę.

Tak, to jest phishing — w tym przypadku jestem całkowicie nieudolny i źle przygotowany.

Podszyli się pod DHL i…

Co zdradza, że ta wiadomość jest fałszywa?
  • podejrzany adres nadawcy
  • brak poprawności językowej
  • brak polskich znaków
  • domena w linku nie zgadza się z domeną dotychczas używaną przez DHLa
  •  brak spójności wizualnej

Sprawdzanie tych elementów powinno stać się nawykiem, który uchroni nas przed prawdziwymi kłopotami spowodowanymi otworzeniem załącznika lub linku z zainfekowaną treścią.

Podszyli się pod DHL i…

Najczęściej czytane