Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wirus w przesyłce kurierskiej - prosto od cyberprzestępców

Tagi:

Znane firmy i marki stanowią ulubione cele oszustów. Ponieważ znacznie łatwiej jest przyciągnąć uwagę wykorzystując popularną nazwę, oszuści mają w ten sposób większą szansę na „złapanie” naiwnego użytkownika. 

W tym artykule przeanalizujemy phishingowe i szkodliwe e-maile wysyłane przez oszustów, które rzekomo pochodzą od międzynarodowych firm kurierskich. Najpopularniejsze wśród nich to DHL (Niemcy), FedEx oraz United Parcel Service (Stany Zjednoczone) i TNT (Holandia). Wszystkie te firmy działają na skalę międzynarodową, posiadają miliony klientów oraz oddziały w miastach na całym świecie. Świadczą podobne usługi, dlatego oszuści wykorzystują te same metody i techniki w swoich oszukańczych wiadomościach.       

Phisherzy posiadają następujące cele:

  1. Kradzież poufnych danych (dane dotyczące kart bankowych, loginy i hasła z kont osobistych), głównie za pomocą fałszywych stron internetowych podszywających się pod oficjalne witryny. W wyniku ataku phishingowego użytkownicy przekazują oszustom swoje dane osobiste, wypełniając pola na fałszywych stronach lub wysyłając je za pośrednictwem wiadomości e-mail.
  2. Instalowanie szkodliwych programów na komputerach użytkowników. Programy te są wykorzystywane nie tylko do monitorowania aktywności online użytkowników i kradzieży informacji osobistych, ale również do tworzenia botnetów służących do rozprzestrzeniania spamu i przeprowadzania ataków DDoS.

Nagłówki oszukańczych wiadomości

Pole Od

W celu zmylenia odbiorców oszuści mogą zmienić części adresu nadawcy. Często starają się, aby przypominał oficjalny adres firmy kurierskiej.

W oszukańczych wiadomościach można wyróżnić kilka grup adresów e-mail:

1. Adresy e-mail, które są bardzo podobne do prawdziwych publicznych adresów firm. Zwykle jako nazwa nadawcy wykorzystywana jest nazwa firmy (DHL INC, TNT COURIER SERVICE, Fedex itd.). Nazwa skrzynki pocztowej często zawiera takie słowa jak: info, service, noreply, mail, support [informacja, usługa, wiadomość generowana automatycznie, wiadomość, pomoc], które są typowe dla adresów e-mail, z których wysyła się oficjalne powiadomienia. Nazwa domeny serwera często posiada rzeczywistą lub bardzo wiarygodnie brzmiącą domenę firmy.  

 FraudShipment_1_auto.jpg

2. Adresy nieprzypominające rzeczywistych adresów firm. Nazwa nadawcy nadal nawiązuje do nazwy firmy (FedEx, DHL Service, FedEx.com), ale nazwa domeny zwykle należy do darmowego serwisu pocztowego lub całkowicie innej firmy. Adres e-mail może należeć do rzeczywistego użytkownika (pobrany z publicznych źródeł lub ze skradzionych skrzynek e-mail) lub może być automatycznie wygenerowany. W ostatnim przypadku zwykle ma postać losowej sekwencji liter, słów i liczb.  

 FraudShipment_2_auto.jpg

3. Adresy przypominające adresy e-mail pracowników firm. Nazwa nadawcy może zawierać imię i nazwisko rzekomego pracownika lub nazwę firmy, lub stanowisko (kurier, menadżer itd.). Nazwa skrzynki pocztowej zwykle zawiera to samo imię i nazwisko w polu nazwy nadawcy, ponieważ wszelkie różnice w danych mogą wzbudzić podejrzenia odbiorcy, że ma do czynienia z oszukańczą wiadomością. Jako nazwa domeny może być wykorzystana rzeczywista domena firmy lub inne domeny niezwiązane z firmami kurierskimi.   

FraudShipment_3.jpg 

4. Adresy, które tylko wskazują adres nadawcy bez nazwy.

 FraudShipment_4_auto.jpg

Przy analizowaniu adresów nadawców należy pamiętać, że oszuści nie muszą włamywać się do serwerów firmowych, aby wykorzystać rzeczywistą domenę firmy w polu Od. Mogą po prostu wstawić tam daną nazwę domeny serwera.

Pole Temat

Temat oszukańczej wiadomości powinien przykuć uwagę odbiorców i zachęcić ich do otworzenia wiadomości, a jednocześnie musi być wiarygodny. Dlatego też oszuści wybierają powszechne frazy, typowe dla oficjalnych powiadomień pochodzących od firm kurierskich. Po wysłaniu paczki lub dokumentu klienci często martwią się, czy ich przesyłka dotrze do celu, i próbują śledzić jej status, czytając wszelkie powiadomienia pochodzące od firmy kurierskiej.   

Najpopularniejsze tematy:

1. Tematy związane z dostawą/wysyłką (powiadomienia o wysyłce, status dostawy, potwierdzenie wysyłki, dokumenty wysyłkowe, informacje dotyczące dostawy itd.).

Przykłady:

 FraudShipment_5_auto.jpg

2. Tematy związane ze śledzeniem wysyłki, informacje o zamówieniu i faktury (numer wysyłki, śledzenie wysyłki itd.).

Przykłady:

 FraudShipment_6_auto.jpg

3. Tematy związane z powiadomieniami o wiadomościach i kontach (tworzenie i potwierdzanie kont, nowe wiadomości itd.).

 FraudShipment_7_auto.jpg

Wygląd e-maila

Oszuści przywiązują dużą wagę do wyglądu e-maila. Ich głównym celem jest sprawienie, aby wiadomość była możliwie najbardziej wiarygodna. W końcu jeśli będzie wyglądała podejrzanie, potencjalna ofiara i tak skasuje ją mimo atrakcyjnego tematu i wiarygodnego adresu nadawcy. Przeanalizujmy podstawowe techniki wykorzystywane przez oszustów, aby ich e-maile wyglądały na prawdziwe.    

Projekt graficzny

Wszystkie duże firmy międzynarodowe mają własny styl korporacyjny, na który składają się logotypy, graficzne znaki towarowe, czcionki firmowe, hasła oraz wzory kolorów. Można je zobaczyć na oficjalnej stronie internetowej, w wysyłkach i reklamach. Oszuści wykorzystują przynajmniej niektóre z tych elementów podczas projektowania oszukańczych e-maili, aby przydać im więcej wiarygodności. Zwykle phisherzy koncentrują się na logo, ponieważ jest to niepowtarzalny element wyróżniający daną firmę i stanowią błyskawiczny znak rozpoznawczy.       

Przykłady logo firmy DHL wykorzystywanego w oszukańczych e-mailach:

FraudShipment_8_auto.jpg 

Przyjrzyjmy się bliżej tym przykładom. Na pierwszy rzut oka widać, że drugi przykład bardzo różni się od oficjalnego logo firmy. Inną oznaką oszustwa jest różnica w rozmiarze fałszywego i oryginalnego logo, co widać na czwartym przykładzie, gdzie logo zajmuje niemal jedną trzecią wiadomości. Oszuści chcą prawdopodobnie przyciągnąć uwagę odbiory dużym, jaskrawym obrazkiem, a nie samą treścią. To wyjaśnia również, dlaczego odsyłacze phishingowe mają większą czcionkę: użytkownicy powinni zareagować na wiadomość natychmiast, nie czytając tekstu małym drukiem. 

W pierwszym przykładzie oszuści próbują skopiować wygląd oficjalnej strony (bardzo popularna metoda). Jednak logo znajduje się po prawej stronie zamiast po lewej. Ponadto jest umieszczone na różnokolorowym tle, a nie na jednolitym. Logo w trzecim przykładzie najbardziej przypomina oryginalne logo DHL: oszuści próbowali podrobić jego rozmiar i wygląd. W rzeczywistości nie jest trudno stworzyć logo do fałszywego powiadomienia: w sieci dostępnych jest wiele wersji oryginalnego obrazu w kilku formatach, w tym grafiki wektorowej. Oprócz logo oszuści stosują zakres kolorów wybrany przez firmę dla swoich oficjalnych dokumentów i korespondencji. Na przykład, dla DHL jest to połączenie żółtego i czerwonego.    

Rozkład tekstu

W większości oficjalnych e-maili można znaleźć wiele stałych fraz, zwłaszcza w standardowych powiadomieniach generowanych i wysyłanych w sposób automatyczny. Wiadomości te często zawierają dane kontaktowe oraz odsyłacze do oficjalnych zasobów nadawcy. Dlatego, aby tekst fałszywego e-maila przypominał oryginalne powiadomienie od firmy kurierskiej, oszuści stosują następujące sztuczki: 

1. Standardowe frazy typowe dla oficjalnych wysyłek masowych: Please do not reply to this email, This is automatically generated email, please do not reply, All rights reserved, Diese Versendung ist automatisch, Bitte beantworten Sie diese nicht, This communication contains proprietary information and may be confidential. Questo e' un email automatico, Si prega di non rispondere, etc. [Proszę nie odpowiadać na tę wiadomość, Ta wiadomość została wygenerowana automatycznie, proszę na nią nie odpowiadać, Wszelkie prawa zastrzeżone, Ta korespondencja zawiera zastrzeżone informacje i może mieć charakter poufny].

FraudShipment_9_auto.jpg

2. Odsyłacze do oficjalnej strony firmy. Nie wszystkie odsyłacze zawarte w oszukańczej wiadomości stanowią phishing – spamerzy mogą również umieszczać odsyłacze, które rzeczywiście prowadzą do oficjalnych zasobów. W ten sposób chcą, aby ich e-maile wyglądały na legalne i mogły obejść filtry spamowe.  

 FraudShipment_10_auto.jpg

3. Dane kontaktowe nadawcy. Oszuści często umieszczają informacje kontaktowe nadawcy lub firmy (imię, nazwisko, stanowisko, adres biura). Dane te mogą być prawdziwe lub fikcyjne.

 FraudShipment_11_auto.jpg

Treść wiadomości e-mail

Podczas wysyłania fałszywych e-maili oszuści muszą nie tylko przekonać odbiorców, że otrzymali prawdziwą wiadomość. Kolejnym krokiem jest nakłonienie potencjalnej ofiary, żeby zrobiła to, czego żąda od niej oszust, np. dostarczyła informacje osobiste lub zainstalowała szkodliwy plik. Tutaj ważną rolę odgrywa psychologia, a głównym narzędziem jest treść e-maila.     

W fałszywych powiadomieniach wysyłanych rzekomo przez firmy kurierskie często stosowane są następujące chwyty:

1. Powiadomienia o różnych problemach (np. nieudana próba dostawy, brak informacji, zły adres, brak odbiorcy pod adresem dostawy). Frazy te są najczęściej związane z dostawą, ponieważ firmy, których dotyczą wiadomości, działają w branży usług. Dlatego też firma logistyczna ostrzegająca o problemie z dostawą nie wzbudzi żadnych podejrzeń, szczególnie gdy e-mail zawiera szczegóły dotyczące sytuacji.   

 FraudShipment_12_auto.jpg

2. Żądanie, aby odbiorca coś zrobił, w przeciwnym razie poniesie konsekwencje. Na przykład, “odbierz paczkę w ciągu 5 dni, w przeciwnym razie zostanie zwrócona do nadawcy”.

Oszuści podają terminy, w ciągu których należy podjąć jakieś działanie, aby nakłonić odbiorców do natychmiastowej reakcji. Phisherzy mają nadzieję, że użytkownicy będą tak zaniepokojeni możliwością utraty paczki lub zapłacenia dodatkowych kosztów, że bez wahania podadzą swoje dane osobiste lub otworzą podejrzany załącznik.    

 FraudShipment_13_auto.jpg

3. Frazy dotyczące treści załącznika lub odsyłacza (faktury, szczegółowe informacje, dokumenty). 

Jest mało prawdopodobne, że użytkownicy otworzą załączniki lub klikną odsyłacze z nieznanego źródła. To dlatego oszuści imitują oficjalne strony internetowe i ukrywają szkodliwe oprogramowanie pod postacią dokumentu zawierającego informacje o paczce. Ponadto, jeśli z tekstu powiadomienia wynika, że załącznik zawiera na przykład dokument dotyczący wysyłki, szkodliwe archiwum będzie posiadało odpowiednią nazwę, np. "consignment.zip." Dotyczy to również odsyłaczy do stron phishingowych – oszuści umieszczają w nazwach swoich odsyłaczy odpowiednią frazę z tekstu, np. „informacje dotyczące wysyłki”.  

Ta prosta sztuczka ma przekonać odbiorców, że dany załącznik lub odsyłacz jest prawdziwy.

FraudShipment_14_auto.jpg 

4. Frazy wskazujące na konieczność zrobienia czegoś (kliknij odsyłacz, otwórz załącznik, wydrukuj plik itd.).

Gdy oszuści przekonają odbiorców, że ich e-mail jest prawdziwy, kolejnym krokiem jest poinstruowanie ofiar, jak mają rozwiązać swój problem. Spełnienie tych poleceń stanowi ostateczny cel oszukańczego e-maila. Tutaj istotne znacznie ma nie tylko to, aby oszuści poinformowali odbiorców, co mają zrobić, ale również żeby ci ostatni dobrze zrozumieli wiadomość. W celu uniknięcia niewłaściwego zrozumienia wiadomości często podawane są dokładne instrukcje, co należy zrobić.

FraudShipment_15_auto.jpg 

W jaki sposób można zmienić tekst

Oszukanie użytkownika nie jest jedyną rzeczą, jaką muszą zrobić oszuści. Muszą również obejść filtry spamowe i dostarczyć e-mail do skrzynek pocztowych potencjalnych ofiar. Jedną z najpopularniejszych i najdłużej stosowanych metod obchodzenia filtrów jest zmienianie fragmentów tekstu w e-mailu. Współczesne programy służące do wysyłania spamu zapewniają dużo możliwości generowania różnych zmian w tekście. Tekst wiadomości, który różni się od innych e-maili, sprawia, że taka wiadomość jest niepowtarzalna, podczas gdy różne informacje osobiste podane w jednej wysyłce (takie jak numer wysyłki, forma adresu, daty) pomagają przekonać odbiorców, że e-mail jest kierowany właśnie do nich. Ponadto, oszuści mogą przez wiele miesięcy wysyłać wiadomości w tym samym stylu – muszą tylko zmienić niektóre elementy w tekście.    

Oszukańcze powiadomienia od firm kurierskich mogą zawierać następujące zmiany:

  1. Informacje o zamówieniu/wysyłce (w tym numer umożliwiający śledzenie wysyłki, daty dostawy itd.)
  2. Dane kontaktowe, nazwa nadawcy oraz firmy. Niektóre masowe wysyłki podają adres e-mail lub numer telefonu przedstawiciela firmy w celu kontaktu zwrotnego. Dane te zmieniają się w zależności od e-maila. Ponadto, różnić mogą się nazwiska przedstawicieli firm, a nawet same nazwy firm. 
  3. Nazwa załącznika. Zwykle nawiązuje do szkodliwych załączników, których nazwy różnią się w wiadomościach w ramach jednej masowej wysyłki, mimo że kryje się pod nimi ten sam szkodliwy program. 
  4. Odsyłacze. W wiadomościach phishingowych i zawierających szkodliwe załączniki oszuści często zmieniają adresy odsyłaczy, maskując je przy użyciu różnych serwisów skracających adresy URL. Większość z tych odsyłaczy zostaje szybko zablokowana przez współczesne programy antywirusowe.  
  5. Frazy określające numery i daty. Mogą odnosić się do terminów (dni i godzin), kwot pieniężnych oraz dat (dni i miesiące).
  6. Powitanie. Spamerzy ogólnie wykorzystują adres e-mail i/lub nazwisko odbiorcy. Czasami stosują zamiast tego ogólne zwroty (Drogi kliencie itd.).    
  7. Inne fragmenty tekstu. Niektóre słowa zostają zastąpione innymi frazami o podobnym znaczeniu, tak aby ogólny sens zdania nie zmienił się.

Przeanalizujmy niektóre przykłady zmian w tekście oszukańczych wiadomości.

FraudShipment_16_auto.jpg

Poniżej znajdują się e-maile z innej masowej wysyłki.

FraudShipment_17_auto.jpg

 

Fałszywe strony

Aby ukraść informacje osobiste użytkowników, oszuści tworzą phishingowe strony HTML, które częściowo lub całkowicie imitują oficjalną stronę firmy. Jeżeli ofiary oszustwa podadzą na takiej stronie swoje informacje osobiste (dane dotyczące banku, nazwa użytkownika i hasło), dane te natychmiast wpadną w ręce oszustów.  

Aby zamaskować odsyłacze prowadzące do stron phishingowych, oszuści często wykorzystują popularne darmowe serwisy skracania adresów URL. Większość takich serwisów oferuje klientom możliwość przejrzenia statystyk dotyczących krótkiego odsyłacza, które dostarczają oszustom dane dotyczące liczby kliknięć dowolnych odsyłaczy. Strony phishingowe mogą znajdować się w specjalnie zarejestrowanych domenach, które zwykle charakteryzują się krótkim okresem życia, jak również w zhakowanych domenach, których właściciel może nawet nie być świadomy, że strona jest wykorzystywana do oszukańczych celów.         

Przeanalizujmy fałszywy e-mail wysłany w imieniu firmy FedEx, w którym nadawca prosi odbiorcę o uaktualnienie swoich informacji dotyczących konta. Treść wiadomości zawiera odsyłacz do oficjalnej strony firmy, jednak rzeczywisty adres, na który użytkownik zostaje przekierowany, nie ma nic wspólnego z legalną stroną i jest zlokalizowany w darmowym serwisie umożliwiającym skracanie adresów. Staje się to oczywiste po najechaniu na odsyłacz.   

 FraudShipment_18.jpg

Po kliknięciu odsyłacza użytkownicy zostają przeniesieni na oszukańczą stronę imitującą oficjalną stronę firmy FedEx, na której zostają poproszeni o podanie swojego loginu i hasła w celu uzyskania dostępu do swojego konta. Gdy użytkownicy wypełnią pola i klikną „Zaloguj się”, wprowadzone informacje zostaną wysłane oszustom, którzy dzięki nim będą mogli uzyskać dostęp do kont swoich ofiar. Zakładki menu oraz inne odsyłacze na stronie phishingowej często są nieaktywne, dlatego kliknięcie ich nie spowoduje przeniesienia użytkowników na odpowiednią stronę. Jednak w niektórych przypadkach phisherzy imitują wszystkie odsyłacze na stronie, tak aby użytkownicy nie mieli żadnych wątpliwości co do jej autentyczności. Czasem rozkład oszukańczej strony imituje oficjalną stronę, jednak nie stanowi jej wiernej kopii. Jeśli przyjrzeć się bliżej szczegółom, zauważymy kilka różnic między wyglądem prawdziwej i podrabianej strony. Jednak większość użytkowników nie zwraca uwagi na takie drobiazgi, co pomaga oszustom kraść informacje osobiste.    

 FraudShipment_19_auto.jpg

Poniżej znajduje się kolejny przykład e-maila wysłanego w imieniu firmy kurierskiej FedEx. Tym razem zawiera szkodliwy odsyłacz. Wiadomość informuje odbiorców, że dostawa nie jest możliwa z powodu brakujących informacji. Użytkownicy muszą więc kliknąć określony odsyłacz w celu weryfikacji.   

 FraudShipment_20_auto.jpg

Odsyłacz prowadzi do oszukańczej strony, na której potencjalne ofiary są zachęcane do pobrania programu, który rzekomo sprawdzi, czy naprawdę dostaną paczkę. Oczywiście program okazuje się znanym trojanem Zeus, który pomaga oszustom uzyskać dostęp do komputera i wszystkich znajdujących się na nim informacji osobistych. 

 FraudShipment_21_auto.jpg

Oszuści mogą nie tylko umieszczać odsyłacz phishingowy w treści e-maila, ale również dołączyć phishingową stroną HTML, której celem jest kradzież danych osobistych. Jednak takie wykorzystanie załączników HTML jako stron phishingowych jest nietypowe dla oszukańczych wysyłek wysyłanych w imieniu firm kurierskich.

Oszukańcze e-maile w różnych językach

Aby zwiększyć liczbę odbiorców i klientów, spamerzy opanowują nowe języki. Oprócz tradycyjnego angielskiego i niemieckiego obecny ruch spamowy zawiera e-maile w języku hebrajskim, albańskim i innych językach. Można na przykład trafić na fałszywe powiadomienia od międzynarodowych firm kurierskich napisane w języku włoskim oraz holenderskim. Wiadomości te nie posiadają żadnych cech szczególnych, które odróżniają je od wiadomości angielsko czy niemieckojęzycznych – aby oszukać użytkowników, oszuści uciekają się do tych samych trików.   

Na przykład, poniższe włoskojęzyczne fałszywe powiadomienie od firmy FedEx poleca użytkownikom, aby potwierdzili swoją tożsamość, klikając oszukańczy odsyłacz.  

 FraudShipment_22_auto.jpg

Z kolei inna masowa wysyłka w języku włoskim zawierała szkodliwe archiwum kryjące trojana Zeus/Zbot wykorzystywanego do kradzieży danych osobistych. Oszukańczy e-mail „twierdził”, że zostały uaktualnione profile użytkownika na stronie internetowej, a bardziej szczegółowe informacje na ten temat znajdują się w archiwum. 

 FraudShipment_23_auto.jpg

Inne fałszywe powiadomienie napisane w języku holenderskim w imieniu TNT informuje odbiorców, że zostały dla nich utworzone nowe konta, a szczegółowe informacje znajdują się w załączniku. Załączone do e-maila archiwum zawierało szkodnika o nazwie Backdoor.Win32.Andromeda - szkodliwy plik, który pozwala oszustom kontrolować zainfekowany komputer bez wiedzy użytkownika.     

FraudShipment_24_auto.jpg 

Szkodliwe oprogramowanie w oszukańczych e-mailach

Spam to jeden z najpopularniejszych sposobów rozprzestrzeniania szkodliwego oprogramowania i infekowania komputerów. Osoby atakujące wykorzystują różne sztuczki, aby nakłonić ofiary do zainstalowania szkodliwego oprogramowania na swoich komputerach. Ruch e-mail składa się z różnych wiadomości prywatnych, takich jak zaproszenia na ślub, propozycje randek czy inne podobne wiadomości. Jednak fałszywe powiadomienia od znanych firm świadczących różne usługi pozostają najpopularniejszą sztuczką cyberprzestępców. Międzynarodowe firmy kurierskie są również wykorzystywane przez spamerów jako przykrywka dla szkodliwego spamu.

Szkodliwe oprogramowanie rozprzestrzeniane w fałszywych powiadomieniach pochodzących od firm kurierskich można podzielić na następujące grupy:

  1. Programy trojańskie, których celem jest wykonywanie nieautoryzowanych operacji w celu usuwania, blokowania, modyfikowania lub kopiowania danych, zakłócania działania komputera lub sieci. Trojany rozprzestrzeniane w spamie obejmują: backdoory, trojany downloadery, trojany proxy, trojany PSW, trojany szpiegujące, trojany bankowe i inne.   
  2. Robaki, szkodliwe programy zdolne do nieautoryzowanego rozprzestrzeniania się na komputerach lub w sieciach komputerowych. Takie kopie rozprzestrzeniają się następnie dalej.

Co jest niebezpiecznego w szkodliwych programach?

  1. Mogą kraść nazwy użytkownika i hasła z kont użytkowników, jak również informacje finansowe i inne, na które polują osoby atakujące.
  2. Mogą tworzyć botnety służące do rozprzestrzeniania spamu, przeprowadzania ataków DDoS oraz innej aktywności przestępczej.
  3. Mogą zapewniać oszustom kontrolę nad komputerami ofiar, w tym możliwość uruchamiania, usuwania lub instalowania plików lub programów.

Obecne szkodliwe programy integrują szeroki zakres „oszukańczej” funkcjonalności. Ponadto, niektóre z nich potrafią pobierać inne szkodliwe oprogramowanie, zapewniając dodatkowe możliwości. Może to być kradzież nazw użytkownika i haseł wprowadzanych do przeglądarki lub przejmowanie zdalnej kontroli nad całym komputerem.

Szkodliwe obiekty w oszukańczych powiadomieniach mogą być osadzane bezpośrednio w e-mailu lub pobierane z odsyłacza dostarczanego w treści wiadomości. Najniebezpieczniejsze w tym jest to, że szkodliwe oprogramowanie może zostać uruchomione i zainstalowane bez wiedzy użytkowników lub przez nich samych. Zwykle szkodliwe pliki ZIP (rzadziej RAR) załączone do oszukańczych e-maili, posiadają rozszerzenie pliku wykonywalnego .exe.

Jak rozpoznać wiadomości phishingowe

Poniżej prezentujemy krótki poradnik, dzięki któremu każdy nauczy się rozpoznawać sfałszowane wiadomości e-mail.

  1. Adres nadawcy. Jeśli adres nadawcy zawiera losową sekwencję liter, słów czy liczb, lub domena nie ma nic wspólnego z oficjalnym adresem firmy, takie e-maile należy uznać za oszukańcze i usunąć bez otwierania.   
  2. Błędy gramatyczne i literówki. Niewłaściwa kolejność słów, zła interpunkcja, błędy gramatyczne oraz literówki również mogą sugerować, że wiadomość stanowi oszustwo. 
  3. Układ graficzny. Oszuści robią, co mogą, aby ich e-mail przypominał oryginał. W tym celu próbują imitować styl korporacyjny firm przy użyciu określonych elementów takich jak układ kolorów czy logo. Na fałszywe e-maile wskazują niedokładności oraz widoczne błędy w układzie graficznym.    
  4. Treść wiadomości e-mail. Jeśli odbiorca e-maila jest proszony pod różnymi pretekstami o natychmiastowe potwierdzenie informacji osobistych, pobranie pliku lub odsyłacza – zwłaszcza pod groźbą sankcji za niezrobienie tego – taki e-mail może być częścią oszustwa.     
  5. Odsyłacze z różnymi adresami. Jeśli link podany w treści e-maila nie odpowiada adresowi rzeczywistego odsyłacza, do którego użytkownik zostaje przekierowany, taki mail jest z pewnością oszukańczy. Jeśli przeglądasz pocztę z przeglądarki, rzeczywisty odsyłacz można zwykle zobaczyć w lewym dolnym rogu okna przeglądarki. Jeżeli korzystasz z klienta pocztowego, rzeczywisty odsyłacz może zostać wyświetlony w oknie wyskakującym po najechaniu kursorem na odsyłacz w tekście. Oszukańcze odsyłacze mogą być również dołączone do frazy tekstowej w e-mailu.       
  6. Załączone archiwa. Zwykle archiwa ZIP i RAR są wykorzystywane przez cyberprzestępców w celu ukrywania szkodliwych plików wykonywalnych EXE. Dlatego nie należy otwierać takich archiwów ani uruchamiać załączonych plików.
  7. Brak informacji kontaktowych umożliwiających wysłanie odpowiedzi. Legalne e-maile zawsze zawierają informacje kontaktowe w celu wysłania odpowiedzi – dotyczące firmy lub konkretnego nadawcy. 
  8. Forma adresu. Oszukańcze e-maile nie zawsze zwracają się do odbiorcy używając jego imienia i nazwiska; czasami stosowna jest uniwersalna forma zwracania się do odbiorcy („klient” itd.).