[AKTUALIZACJA] Polacy otrzymali złośliwe e-maile od “Profil Zaufany”
Przestępcy, którzy dwa tygodnie temu podszywali się pod ZUS i firmę Kruk dwie godziny temu rozpoczęli wysyłkę złośliwych e-maili z adresu “profilzaufanty@gov.pl” o temacie “Faktura 2018.10.30”. Kliknięcie w link powoduje pobranie pliku .exe, a jeśli ktoś go z rozpędu otworzy, to także infekcję komputera.
Znów wysyłka z @gov.pl
Oto treść wiadomości:
[1] Received: from WIN-OQJUIMC71B6 ([104.148.109.251] ) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 30 Oct 2018 08:43:48 -0700
[2] Received: from WIN-OQJUIMC71B6 ([74.118.139.40] ) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 30 Oct 2018 01:52:04 -0700
From: “Profil Zaufany” profilzaufanty@gov.pl
Subject: Faktura 2018.10.30www.pz.gov.pl
Wymagana weryfikacja Profilu Zaufanego
Twój profil zaufany zostal utworzony. Wzór podpisu elektronicznego do sprawdzenia tu WZOR PODPISUMasz na to 24 godziny.
Wiadomosc zostala wygenerowana automatycznie.
Prosimy na nia nie odpowiadac.Zachecamy do kontaktu z centrum pomocy, gdzie mozna zglosic pytanie, uwage lub problem z dzialaniem uslugi Profil Zaufany: pz-pomoc@coi.gov.pl
Š Wszystkie prawa zastrzezone.
Jak widać, przestępcy znów podszywają się pod adres w domenie funkcjonalnej gov.pl (stąd brak rekordu SPF i lądowania tej wiadomości w spamie).
Znów też przestępcy, podobnie jak dwa tygodnie temu w przypadku Kruka i ZUS-u, nie dołączają załącznika bezpośrednio, a linkują do niego przez “złamany” obrazek. Zwrot “WZÓR PODPISU” jest podlinkowany pod:
https://fs12n5.sendspace[.] com/dl/e467eaf739c30f077c610473746c08d3
/5bd8151e5c82fb18/33hwkg/Profil Zaufany.PDF.exe
https://www.sendspace[.] com/file/33hwkg
i powoduje pobranie pliku o podwójnym rozszerzeniu o nazwie:
Profil Zaufany.PDF.exe
Pomyślicie, że to naiwne i będzie to prawda. Ale mimo to, jesteśmy pewni, że ofiar nie będzie brakowało. Choć tym razem atakujący podszyli się pod raczej małorozpoznawaną przez statystycznego Polaka usługę (serio, ile osób, nawet z Was, droga ponadprzeciętnie techniczna grupo Czytelników Niebezpiecznika ma Profil Zaufany?).
ZUS-u można się bać. Windykatorów z Kruka też. Ale profilu zaufanego? Wydaje nam się, że nawet literówka jaką w adresie e-mail nadawcy popełnili atakujący i przypadkowe “ocieplenie” wizerunku Profilu Zaufanego marką napoju gazowanego tu raczej nie pomoże 😉 Tak czy inaczej, ciekawi jesteśmy jak taka decyzja przełoży się na liczbę ofiar.
Złośliwy plik
Plik ten jest rozpoznawany jako złośliwy ale nie przez wszystkie ze znanych antywirusów, niestety. Ale standardowy, wbudowany w Windowsa sobie radzi. A jest darmowy. I dobry. Korzystajcie więc z niego.
Po starcie program próbuje uzyskać połączenie z siecią Tor.
Osobom, które go uruchomiły sugerujemy jak najszybsze wyłączenie komputera i udanie się do specjalisty w celu odinstalowania trojana.
Co ciekawe, większość próbek jakie otrzymaliśmy pochodzi albo od kancelarii prawnych albo innych okołoprawniczych organizacji.
IOC
MD5 199e00c812adf5fc983c8601df9166b0
SHA-1 2fca5e856ae00c69f6dfdefb1b2b3ffcac97a322
Aktualizacja 31.10.2018, 10:13
Profil Zaufany rozesłał do niektórych użytkowników taką wiadomość:
Szanowni Państwo,
w ostatnim czasie część z Państwa (użytkowników Profilu Zaufanego) mogła otrzymać złośliwą wiadomość na skrzynkę email, z prośbą o weryfikację Profilu Zaufanego z adresu profilzaufanty@gov.pl, najprawdopodobniej o temacie „Faktura 2018.10.30.”.Fałszywe wiadomości nie zostały wysłane przez system Profil Zaufany, a przez internetowych oszustów.
Prosimy o nie reagowanie na tego typu podejrzane maile oraz o zachowanie szczególnej ostrożności.Kliknięcie w podany w wiadomości link powoduje pobranie pliku z rozszerzeniem „.exe”. Jego otwarcie może spowodować zainfekowanie komputera.
Przypominamy, że Profil Zaufany nie wymaga dodatkowej weryfikacji loginu.Pytania związane z tym bądź podobnymi zdarzeniami, prosimy zgłaszać do naszego Service Desku. Numer telefonu: + 48 (42) 253 54 50 czynny od poniedziałku do piątku w godzinach 7:00 – 18:00.
*Jednocześnie informujemy, że obowiązek informacyjny z art. 13 rozporządzenia 2016/679 (RODO) został wobec Państwa dopełniony przy rejestracji konta Profilu Zaufanego.
Obecne działanie ma na celu zapewnienie bezpieczeństwa użytkowników systemu i jest realizowane ze względu na niezbędność do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO).
Bardzo dobra reakcja. Takie ostrzeżenia zawsze warto wzbogacić o kilka krótkich porad na co uważać. Aby ludzie na przyszłość wiedzieli, jak odróżnić korespondencję oryginalną od fałszywej i zachowania poprawne od złych.
A sam Profil Zaufany, na marginesie, nie jest taki zaufany… nie szyfruje wiadomości e-mail
źródło: niebezpiecznik.pl
Więcej informacji:
Uwaga na SMS-y proszące o dopłatę 1 PLN
Najnowsza kampania e-mailowych oszustów „Paczka czeka”
Nowa kampania oszustów – wiadomość „Zadłużenie” od firmy Kruk
Uwaga na nowy przekręt na OLX: kod rabatowy od sprzedającego
Nowa aktualizacja Windows 10 może przekierować połączenia na komputer![[AKTUALIZACJA] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN](https://plikcenter.pl/Producent_IT/wp-content/plugins/wordpress-23-related-posts-plugin/static/thumbs/9.jpg)
[AKTUALIZACJA] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN
Uwaga na sprytny atak z RODO i Acrobat Readerem w tle
Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci
Mała waga, duża moc: test laptopa Asus ZenBook 13
Policja rozbiła grupę oszukującą na BLIKa