Phishing na e-Doręczenia. Uważaj na fałszywe maile

Funkcjonujący od początku tego roku system e-Doręczeń wraz z początkiem kwietnia stał się obowiązkowy dla kolejnej grupy osób. Jak informowaliśmy na łamach CyberDefence24, do końca roku trwa okres przejściowy – z początkiem stycznia, z nowej metody będą musieli korzystać przedsiębiorcy wpisani do CEIDG.

Nieodebrana przesyłka na e-Doręczeniach? To podstęp

Cyberprzestępcy prawodpodobnie postanowili wykorzystać atmosferę wokół ostatnich zmian w zakresie podmiotów objętych obowiązkiem posiadania adresu do doręczeń elektronicznych. W ramach nowej kampanii phishingowej, na e-maile rozsyłane są wiadomości zawierające informację, że od ponad tygodnia na skrzynce e-Doręczeń znajduje się przesyłka oczekująca na pobranie.

Odbiorca maila proszony jest o zalogowanie się na stronie, do której link podany jest na końcu wiadomości. Jednocześnie autorzy ostrzegają, że po 7 dniach od przygotowania do pobrania, nieodebrana przesyłka ma być usunięta z systemu – jest to działanie mające na celu przyspieszyć ewentualną reakcję potencjalnej ofiary.

Na pierwszy rzut oka, link zamieszczony w mailu wygląda zwyczajnie: https://konto.biznes.gov.pl/pl/moje-konto/e-doreczenia (przekopiowanie go w pole adresu przekierowuje na prawdziwą stronę rządową), jednakże cyberprzestępcy podmienili faktyczny link na fałszywy. I tak, zamiast rządowego panelu logowania umożliwiającego wybór np. mObywatela, Profilu zaufanego czy e-Dowodu, użytkownik trafia na stronę cyberprzestępców proszącą o podanie adresu e-mail i hasła. Wpisanie danych w odpowiednie pola spowoduje przejęcie danych przez oszustów.

Diabeł tkwi w szczegółach

Jak się nie dać oszukać? Identyfikacja podstępu jest możliwa już na etapie wiadomości e-mail. Zwrócenie uwagi na nagłówki ujawnia, że nadawcą wcale nie jest Poczta Polska, tylko podejrzany adres poczty elektronicznej. Skopiowanie i sprawdzenie linku np. w notatniku ujawni z kolei, że nie prowadzi on do rządowego panelu logowania, tylko na pewien bardzo długi adres.

Krytycznym miejscem podstępu jest podstawiona strona - od razu żąda ona adresu e-mail i hasła. Zalogowanie się w ten sposób do e-Doręczeń jest możliwe tylko wtedy, gdy w prawdziwym panelu wybierze się opcję Profilu Zaufanego. Wpisanie takich samych danych na fałszywej stronie spowoduje uzyskanie ich przez cyberprzestępców - jeżeli nie zostało ustawione uwierzytelnianie dwuskładnikowe lub autoryzacja Push.

Sam fałszywy panel logowania nie zawiera godła Polski, które znajduje się na prawdziwych stronach rządowych, zaś kliknięcie jakiegokolwiek linku (np. Kontakt czy RODO) spowoduje otwarcie nowej karty z tym samym panelem lub przeniesienie na górę strony. Warto również zwrócić uwagę na błędy językowe: Zaloguj się przez adresu e-mail czy Nie pamiętam adres e-mail. Rzekome linki do odzyskania maila czy hasła nie działają.

W przypadku uznania, że wiadomość jest podejrzana, link należy zgłosić do CERT Polska (co też uczyniła nasza redakcja), zaś wiadomość po prostu usunąć. Jest to podstawowe postępowanie zarówno w tym, jak i w każdym przypadku phishingu lub oszustwa z wykorzystaniem strony przygotowanej przez oszustów do wyłudzania jakichkolwiek danych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].