Архив новостей

Фишинг посылкой

В конце прошлой недели фишинговой атаке подверглась компания United Parcel Service of America — американский почтовый сервис с устойчиво-хорошей репутацией.

Юзеры получали письма, следующего содержания:

Здравствуйте! Мы не смогли доставить вашу посылку, отправленную 14 мая во время, поскольку адрес получателя был указан неверно. Пожалуйста, распечатайте копию счета, приложенную к письму и заберите вашу посылку в нашем офисе.
Ваш United Parcel Service of America

Первым вызывает подозрение отсутствие в письме логотипов и копирайтов UPS, а также сколько-либо точных данных, как то имя отправителя посылки, или имя ее получателя.

Вторым — адреса, с которых приходили письма:

  • From: «United Parcel Service of America» <enunciationlaf@sanpablosa.cl>
  • From: «United Parcel Service of America» <zswby@hotmail.com>
  • From: «United Parcel Service of America» <ldbsgw@brallc.com>
  • From: «United Parcel Service of America» <eiqajgt@bluemoonfarmbb.com>
  • И другие столь же разнообразные адреса никакого отношения к UPS не имеющие.

Теперь обратимся к вложению. Вместо текстового документа или электронной таблицы (а в каком еще виде должен прийти пользователю счёт?) мы видим ZIP-архив. Что самое замечательное, антивирус его тоже видит, и называет Trojan.Win32.Inject.abnx.

Сегодня же внимание фишеров привлек немецкий почтовый сервис DHL. Немецкие фишеры разослали немецким пользователям сообщения следующего содержания:

Дорогие клиенты DHL, в нашей системе возникли проблемы, в связи с чем вы должны уточнить свои данные. Если вы не уточните их в течении 5 рабочих дней мы будем вынуждены закрыть вам доступ.

Как и в случае с UPS, нет логотипов подвергшейся фишинговой атаке компании, да и адреса в поле «От» не вызывают никаких ассоциаций с DHL, и большинство из них находится на freenet.de. Правда, в этом случае вложений в письмах не наблюдается, а наблюдаются ссылки (тоже, кстати, о DHL ничем не напоминающие).

Заглянувший на предложенный по одной из ссылок сайт пользователь получит страшное предупреждение:

По другой ссылке — попадёт на сайт коротких URL с большим количеством всплывающих со всех сторон окошек.

В общем, мы снова возвращаясь к теме «юзер, будь осторожен!» Если вы не посылали никаких посылок через UPS (тем более — 14 мая), может, не стоит скачивать все подряд архивы, а потом удивляться, почему же компьютер так медленно работает?

Да и ходить по ссылкам, говорящим, что они немецкая почта, но находящимся в домене .tf весьма опрометчиво. И уж тем более оставлять где попало свои данные.

А еще, пожалуй, стоит установить антивирус и держать его включенным и актуальным, на случай если вдруг прям невозможно, как хочется скачать неизвестное вложение или зайти на подозрительный сайт.

Фишинг посылкой

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике