Reklama
Reklama
  • WIADOMOŚCI

Fałszywe maile od Ptak Warsaw Expo. Mamy potwierdzenie incydentu

Cyberprzestępcy próbują wyłudzić dane logowania poprzez podszywanie się pod Ptak Warsaw Expo
Cyberprzestępcy próbują wyłudzić dane logowania poprzez podszywanie się pod Ptak Warsaw Expo
Autor. Pixabay.com. Licencja: https://pixabay.com/service/license-summary/

Cyberprzestępcy próbują wyłudzić dane logowania do platformy Microsoft 365, wysyłając fałszywe faktury. Udało się nam ustalić, że najprawdopodobniej doszło do przejęcia skrzynki mailowej w domenie „warsawexpo.eu”.

Na skrzynki mailowe trafiają wiadomości nakłaniające do zapoznania się z treścią załączonego dokumentu. Przychodziły z jednej ze skrzynek w domenie „warsawexpo.pl”.

W załączniku znajduje się plik w formacie PDF, który zawiera wyłącznie link do strony w domenie „sites.google.com”. Następnie użytkownik jest przekierowywany do fałszywej witryny, która zachęca do zapoznania się z dokumentem (poprzez naciśnięcie „ACCESS DOCUMENT”). Plik ma być rzekomo „chroniony poprzez szyfrowanie end-to-end”, co prawdopodobnie ma uwiarygodnić próby oszustów.

Widok po otwarciu pliku. Kliknięcie "VIEW DOCUMENT" przekierowuje użytkownika do strony w domenie "sites.google.com"
Widok po otwarciu pliku. Kliknięcie "VIEW DOCUMENT" przekierowuje użytkownika do strony w domenie "sites.google.com"
Autor. Wiadomość phishingowa / CyberDefence24
Widok po wejściu na phishingową stronę
Widok po wejściu na phishingową stronę
Autor. Strona phishingowa / CyberDefence24

Wyłudzanie danych logowania

Po kliknięciu „ACCESS DOCUMENT” zostajemy przekierowani do strony łudząco przypominającej panel logowania do usług Microsoft 365. Wcześniej naszym oczom ukazuje się ekran ładowania Outlooka – praktycznie identyczny do tego, którego używa prawdziwa aplikacja.

Wpisanie tam danych logowania do naszego konta może skutkować przejęciem go przez cyberprzestępców. Absolutnie nie powinniśmy tego robić.

Fałszywy panel logowania do Microsoft365
Fałszywy panel logowania do Microsoft365
Autor. Strona phishingowa / CyberDefence24
Reklama

Komentarz i nagłówki e-mail

„Obecnie prowadzimy działania związane z analizą incydentu. Wstępne ustalenia wskazują, że mamy do czynienia z próbą cyberataku – przekazało nam Ptak Expo Warsaw w odpowiedzi na zgłoszenie.

Do czasu zakończenia analizy prosimy o zachowanie szczególnej ostrożności. Prosimy nie otwierać podejrzanych wiadomości, nie klikać zawartych w nich linków ani nie otwierać załączników. W przypadku otrzymania kolejnych podejrzanych wiadomości prosimy o ich zgłaszanie.
Ptak Expo

Przeanalizowaliśmy nagłówki maila. Testy SPF, DKIM oraz DMARC (mechanizmów wykorzystywanych do zwiększenia poziomu bezpieczeństwa poczty e-mailowej i ochrony przed podszywaniem – przyp. red.) wskazały wartość „pass”.

Adres IP z którego wysłano wiadomości znajdował się na liście dozwolonych przez rekord SPF w domenie warsawexpo.eu (poprzez jedną z domen Microsoftu). Wiele wskazuje na to, że doszło do wysyłki złośliwych maili z przejętego konta z domeny Ptak Expo Warsaw.

Jak się chronić?

Niezmiennie rekomendujemy korzystanie z dwuetapowego uwierzytelniania i korzystanie z silnych haseł.

Wszelkie podejrzane wiadomości powinniśmy zgłaszać do CERT Polska. Poinformowaliśmy wspomniany CSIRT poziomu krajowego o phishingu.

Reklama

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama