Wiecie, to oznacza skrót "TGIF"? Jest on często wypowiadany w dniu poprzedzającym weekend, a oznacza „Thank God it’s Friday”, czyli „Dzięku Bogu już piątek”.

Większość osób, które gdzieś pracują, z utęsknieniem czeka na ten dzień tygodnia, jednak podczas gdy wiele biur można zamknąć na weekend, to cyberprzestępcy właśnie wtedy zwiększają swoją aktywność. Dzięki temu mogą pozostać niezauważeni przez jakiś czas, przynajmniej do nadchodzącego poniedziałkowego poranka.

Społeczność IT ciężko pracuje, aby znajdować i zamykać szkodliwe witryny jak najszybciej, ale jednak... dla wielu weekend to weekend.

To co się stało w ubiegły piątek może być dobrym przykładem weekendowej aktywności szkodliwych użytkowników. Otrzymaliśmy następujący e-mail na jeden z naszych firmowych adresów:

E-mail wykorzystuje pewne techniki inżynierii społecznej w celu zastraszenia odbiorcy – informuje potencjalną ofiarę o możliwej utracie jej adresu e-mail.

Gdy ofiara kliknie odnośnik (oczywiście, nie zalecamy wykonywania takich działań), na ekranie pojawia się komunikat:

Po kliknięciu przycisku „OK” pojawia się komunikat, który wygląda bardzo podobnie do okienka wyskakującego klienta pocztowego firmy Microsoft. Jak widać, atak został dość solidnie przygotowany – cyberprzestępcy użyli w kilku kluczowych miejscach nazwy firmy znajdującej się w domenie atakowanego adresu e-mail – w tym przypadku naszej firmy. Wszystko w celu zwiększenia wiarygodności fałszywki.

Kiedy wpiszemy hasło (po raz kolejny – zdecydowanie nie zalecamy podawania jakichkolwiek danych na tego typu stronach), na ekranie pojawia się komunikat:

Ponownie - w kilku miejscach pojawia się nazwa firmy pobrana z domeny atakowanego adresu e-mail. Cyberprzestępcy pokusili się nawet o umieszczenie stopki z prawami autorskimi.

Treść e-maila wykorzystanego w ataku może wydawać się niezbyt przekonująca dla użytkownika domowego. To wyłudzenie wydaje się być jednak kierowane do użytkowników biznesowych - styl informacji przedstawionej powyżej bardzo dobrze naśladuje środowiska korporacyjne.

Uważni użytkownicy mogą dostrzec następujące szczegóły, które pozwalają wywnioskować, że mamy do czynienia ze sfałszowaną wiadomością e-mail:

• E-mail nadawcy jest niedopasowany do nazwy domeny;
• Przywitanie „Hello User” (pol. „Witaj użytkowniku”) raczej nie jest powszechnie stosowane w wiadomościach skierowanych do personelu;
• Wszystkie klikalne odnośniki w e-mailu kierują do tej samej lokalizacji;
• Treść wiadomości zawiera błędy, np. „massage” (pol. „masaż”) zamiast „message” (pol. „wiadomość”)

Dodaliśmy szkodliwą witrynę do naszej czarnej listy anty-phishingowej, zatem użytkownicy produktów Kaspersky Lab są w pełni chronieni przed tym atakiem.