- WIADOMOŚCI
Fałszywe maile od Ptak Warsaw Expo. Mamy potwierdzenie incydentu
Autor. Pixabay.com. Licencja: https://pixabay.com/service/license-summary/
Cyberprzestępcy próbują wyłudzić dane logowania do platformy Microsoft 365, wysyłając fałszywe faktury. Udało się nam ustalić, że najprawdopodobniej doszło do przejęcia skrzynki mailowej w domenie „warsawexpo.eu”.
Na skrzynki mailowe trafiają wiadomości nakłaniające do zapoznania się z treścią załączonego dokumentu. Przychodziły z jednej ze skrzynek w domenie „warsawexpo.pl”.
W załączniku znajduje się plik w formacie PDF, który zawiera wyłącznie link do strony w domenie „sites.google.com”. Następnie użytkownik jest przekierowywany do fałszywej witryny, która zachęca do zapoznania się z dokumentem (poprzez naciśnięcie „ACCESS DOCUMENT”). Plik ma być rzekomo „chroniony poprzez szyfrowanie end-to-end”, co prawdopodobnie ma uwiarygodnić próby oszustów.
Autor. Wiadomość phishingowa / CyberDefence24
Autor. Strona phishingowa / CyberDefence24
Wyłudzanie danych logowania
Po kliknięciu „ACCESS DOCUMENT” zostajemy przekierowani do strony łudząco przypominającej panel logowania do usług Microsoft 365. Wcześniej naszym oczom ukazuje się ekran ładowania Outlooka – praktycznie identyczny do tego, którego używa prawdziwa aplikacja.
Wpisanie tam danych logowania do naszego konta może skutkować przejęciem go przez cyberprzestępców. Absolutnie nie powinniśmy tego robić.
Autor. Strona phishingowa / CyberDefence24
Komentarz i nagłówki e-mail
„Obecnie prowadzimy działania związane z analizą incydentu. Wstępne ustalenia wskazują, że mamy do czynienia z próbą cyberataku” – przekazało nam Ptak Expo Warsaw w odpowiedzi na zgłoszenie.
Do czasu zakończenia analizy prosimy o zachowanie szczególnej ostrożności. Prosimy nie otwierać podejrzanych wiadomości, nie klikać zawartych w nich linków ani nie otwierać załączników. W przypadku otrzymania kolejnych podejrzanych wiadomości prosimy o ich zgłaszanie.
Ptak Expo
Przeanalizowaliśmy nagłówki maila. Testy SPF, DKIM oraz DMARC (mechanizmów wykorzystywanych do zwiększenia poziomu bezpieczeństwa poczty e-mailowej i ochrony przed podszywaniem – przyp. red.) wskazały wartość „pass”.
Adres IP z którego wysłano wiadomości znajdował się na liście dozwolonych przez rekord SPF w domenie warsawexpo.eu (poprzez jedną z domen Microsoftu). Wiele wskazuje na to, że doszło do wysyłki złośliwych maili z przejętego konta z domeny Ptak Expo Warsaw.
Jak się chronić?
Niezmiennie rekomendujemy korzystanie z dwuetapowego uwierzytelniania i korzystanie z silnych haseł.
Wszelkie podejrzane wiadomości powinniśmy zgłaszać do CERT Polska. Poinformowaliśmy wspomniany CSIRT poziomu krajowego o phishingu.



Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].