Podszyli się pod DHL i…

26 lipca 2018
EmailLabs

Dzień jak każdy – standardowy wtorek. Godziny przedpołudniowe w pracy są zazwyczaj momentem, w którym przy drugiej kawie odbiera się e-maile.

Wśród różnych korespondencji i wiadomości typu newsletter pojawia się ta, która przykuwa moje oko — wiadomość od DHL o tym, że podjęto próbę dostarczenia paczek.

To nic dziwnego?

Akurat w ubiegłym tygodniu zamówiłam kilka paczek, większość miała zostać dostarczona właśnie przez tę firmę kurierską — zarówno mniejsze, jak i większe rzeczy. Zamówienia zostały jednak doręczone planowo, dnia poprzedniego. Dlatego wiadomość bardzo mnie zaskoczyła. Pomyślałam, mógł się wydarzyć błąd w systemie lub zapomniałam o którymś z zamówień.

Temat: Parcel Held At Our Facility (Arrival Notice)

Temat po angielsku? To dosyć nietypowe. Jednak w przypadku dużych międzynarodowych korporacji każdy może się pomylić — tym bardziej automatyczny system wysyłania powiadomień e-mail. Odczytuje więc treść i opuszczam e-mail po chwili, ponieważ zaczął wzbudzać moje podejrzenia za sprawą następującej treści:

“Próbowaliśmy dostarczyć kilka dokumentów, które zostały załączone poniżej, kilka razy, ale nie udało nam się znaleźć właściwego adresu dostawy.”

Wtedy miałam pewność — tak to jest atak phishingowy.

Sama identyfikacja graficzna także wzbudziła moje wątpliwości. Zauważyłam, że e-mail jest fałszywy, ale czy ktoś inny nie dał się czasem nabrać?

 

Typowy phishing — tyko nikt się nie postarał. Zbyt banalny tekst, zbyt słabe wykonanie. To zdecydowanie nie mogło się udać. Jednak wciąż tysiące osób bezmyślnie otwiera załączniki i nie widzi w tym nic złego.

Ale kto to wysłał?

Hakerzy podszywali się pod główną domenę DHL w celu zainfekowania komputera ofiary. E-mail posiadał kilka załączników o różnych rozszerzeniach plików, których pobranie mogło grozić zablokowaniu lub kradzieży danych z komputera.

Sprawdziłam także e-mail z poprzedniego tygodnia w sprawie doręczenia mojej paczki.

Ten poprawny dotarł do mnie także z tej samej domeny, ale cały adres nadawcy był jednak inny i jednoznacznie wskazujący, że to polski DHL przywiezie moją paczkę.

Co ważniejsze wiadomość została utrzymana w innej kolorystyce oraz w całości została napisana po polsku. Nie zawierała w e-mailu żadnych potwierdzeń nadania czy innych informacji o doręczeniu. Wszystkie najważniejsze informacje zostały zawarte w treści.

Co było w mailu?

Wspomniałam także o podejrzanych załącznikach. Rozszerzenie pliku *.ace  skutecznie mógł wskazać, że z tą kompresją jest coś nie tak. Rzeczywiście jest obecnie bardzo mało używana, a do przesyłu plików raczej używa się obecnie rozszerzenie pliku *.zip. Po przeskanowaniu pliku za pomocą specjalnego programu udało się ustalić, że plik zawiera szkodliwego wirusa pod wieloma nazwami.

Zawsze, kiedy otrzymasz wiadomość e-mail z podejrzanym załącznikiem, możesz skorzystać z darmowych opcji skanowania wiadomości, aby mieć pewność, że Ty sam nie dasz nabrać się na phishing.

Podejrzany e-mail wraz z załącznikami należy przesłać na adres: scan@virustotal.com z tematem SCAN.

Po chwili na Twoją skrzynkę pocztową przyjdzie zwrotne powiadomienie z raportem wirusów lub innych potencjalnych zagrożeń.

Pamiętaj, że nie tylko zabezpieczenie przesyłek jest istotne w zachowaniu bezpieczeństwa korespondencji. Jeżeli chcesz dowiedzieć się więcej na temat bezpieczeństwa, koniecznie przeczytaj nasz e-book, w którym piszemy o tym, jak nie paść ofiarą oszustwa, w jaki sposób weryfikować korespondencję przychodzącą i oczywiście, jak zabezpieczyć swój system wysyłkowy przez szkodliwymi działaniami oszustów.

To nie jedyny przypadek związany z DHL

Od kilku tygodni w skrzynkach e-mailowych posiadających firmowe domeny zaobserwowano pojawiające się wiadomości transakcyjne wysyłane przez DHL. Jednak przypatrując się już samemu adresatowi nadawcy, można zauważyć, że to nie firma kurierska jest nadawcą wiadomości, a ktoś podszywający się pod nazwę.

Tak, to jest phishing — w tym przypadku jestem całkowicie nieudolny i źle przygotowany.

Co zdradza, że ta wiadomość jest fałszywa?
  • podejrzany adres nadawcy
  • brak poprawności językowej
  • brak polskich znaków
  • domena w linku nie zgadza się z domeną dotychczas używaną przez DHLa
  •  brak spójności wizualnej

Sprawdzanie tych elementów powinno stać się nawykiem, który uchroni nas przed prawdziwymi kłopotami spowodowanymi otworzeniem załącznika lub linku z zainfekowaną treścią.

Jeśli chcesz wiedzieć więcej na temat tego, jak zabezpieczyć się przed phishingiem koniecznie sprawdź nasz e-book: >>> Pobierz ebook Bezpieczeństwo za darmo