Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

TGIF(P) – Thank God it’s Friday (Phishing)

Michael Molsner
Kaspersky Lab Expert
Dodany 4 września 2015, 10:01 CEST
Tagi:

Wiecie, to oznacza skrót "TGIF"? Jest on często wypowiadany w dniu poprzedzającym weekend, a oznacza „Thank God it’s Friday”, czyli „Dzięku Bogu już piątek”.

Większość osób, które gdzieś pracują, z utęsknieniem czeka na ten dzień tygodnia, jednak podczas gdy wiele biur można zamknąć na weekend, to cyberprzestępcy właśnie wtedy zwiększają swoją aktywność. Dzięki temu mogą pozostać niezauważeni przez jakiś czas, przynajmniej do nadchodzącego poniedziałkowego poranka.

Społeczność IT ciężko pracuje, aby znajdować i zamykać szkodliwe witryny jak najszybciej, ale jednak... dla wielu weekend to weekend.

To co się stało w ubiegły piątek może być dobrym przykładem weekendowej aktywności szkodliwych użytkowników. Otrzymaliśmy następujący e-mail na jeden z naszych firmowych adresów:

tgf-01_auto.png 

E-mail wykorzystuje pewne techniki inżynierii społecznej w celu zastraszenia odbiorcy – informuje potencjalną ofiarę o możliwej utracie jej adresu e-mail.

Gdy ofiara kliknie odnośnik (oczywiście, nie zalecamy wykonywania takich działań), na ekranie pojawia się komunikat:

tgf-02_auto.png

Po kliknięciu przycisku „OK” pojawia się komunikat, który wygląda bardzo podobnie do okienka wyskakującego klienta pocztowego firmy Microsoft. Jak widać, atak został dość solidnie przygotowany – cyberprzestępcy użyli w kilku kluczowych miejscach nazwy firmy znajdującej się w domenie atakowanego adresu e-mail – w tym przypadku naszej firmy. Wszystko w celu zwiększenia wiarygodności fałszywki.

tgf-03_auto.png 

Kiedy wpiszemy hasło (po raz kolejny – zdecydowanie nie zalecamy podawania jakichkolwiek danych na tego typu stronach), na ekranie pojawia się komunikat:

tgf-04_auto.png

Ponownie - w kilku miejscach pojawia się nazwa firmy pobrana z domeny atakowanego adresu e-mail. Cyberprzestępcy pokusili się nawet o umieszczenie stopki z prawami autorskimi.

Treść e-maila wykorzystanego w ataku może wydawać się niezbyt przekonująca dla użytkownika domowego. To wyłudzenie wydaje się być jednak kierowane do użytkowników biznesowych - styl informacji przedstawionej powyżej bardzo dobrze naśladuje środowiska korporacyjne.

Uważni użytkownicy mogą dostrzec następujące szczegóły, które pozwalają wywnioskować, że mamy do czynienia ze sfałszowaną wiadomością e-mail:

  • E-mail nadawcy jest niedopasowany do nazwy domeny;
  • Przywitanie „Hello User” (pol. „Witaj użytkowniku”) raczej nie jest powszechnie stosowane w wiadomościach skierowanych do personelu;
  • Wszystkie klikalne odnośniki w e-mailu kierują do tej samej lokalizacji;
  • Treść wiadomości zawiera błędy, np. „massage” (pol. „masaż”) zamiast „message” (pol. „wiadomość”)

Dodaliśmy szkodliwą witrynę do naszej czarnej listy anty-phishingowej, zatem użytkownicy produktów Kaspersky Lab są w pełni chronieni przed tym atakiem.