Ktoś podszywa się pod sklep ZARA.com, a Gmail nie blokuje szkodliwego załącznika

10 lutego, 2017
zara_spam2

Według informacji, które podają różne portale komputerowe, już wkrótce Google będzie blokowało załączniki Java Script przesyłane „drogą niezaszyfrowaną”. Z punktu widzenia naszego bezpieczeństwa oczywiście jest to bardzo dobra decyzja, jednak póki co ów „ficzer” nie odrzuca załączników JS.

zara spam
DLatego użytkownicy mogą jeszcze otrzymywać przez pewien czas takie fałszywe wiadomości.

DOSTARCZENIE ZAMÓWIENIA DO SKLEPU – ZAŁĄCZONY PARAGON ELEKTRONICZNY

Witaj

Informujemy, iż Pana/ Pani zamówienie 272459789 zostało dostarczone do sklepu.

Prosimy pamiętać, iż jego odbioru można dokonać z pomocą któregokolwiek pracownika sklepu , prezentując dowód osobisty oraz numer zamówienia.

Informujemy, iż zamówienie będzie oczekiwało na odbiór przez 15 dni roboczych.

Od tego momentu załączamy paragon w formie elektronicznej. Pamiętaj, że jest on niezbędny w przypadku wymiany lub zwrotu. Możesz przedstawić go na ekranie urządzenia mobilnego lub wydrukować.

Dodatkowe informacje dostępne są w naszym Regulaminie zakupów.

NR ZAMÓWIENIA: 272459789

DATA ZAMÓWIENIA: 08.02.17

SPOSÓB WYSYŁKI: Odbiór w sklepie. 2-3 dni roboczych.

METODA PŁATNOŚCI: MasterCard

Chęć kliknięcia w załącznik może być szczególnie wielka nie tylko dla klientów sklepów ZARA, którzy w ostatnim czasie zamówili towar drogą elektroniczną i spodziewają się odbioru w najbliższym punkcie. Dużą pokusą dla wszystkich pozostałych osób, które zamawiały „na dniach” coś z asortymentu sklepu na swój adres zamieszkania może być okazja „zweryfikowania” załącznika . W końcu pomyłki się zdarzają, a ta mogłaby być jedną z nich, gdyby nie to, że:

– W załączniku znajduje się bardzo podejrzany plik „ZARA – Paragon Elektroniczny 272459789 PDF.js” z rozszerzeniem „JS”. Spieszymy z wytłumaczeniem tym mniej technicznym użytkownikom, że jest to downloader, czyli wirus napisany w języku Java Script, który służy do pobierania innego szkodliwego oprogramowania na komputer ofiary.

– Na pierwszy rzut oka adres nadawcy „noreply (@) zara.com” jest świetnie zamaskowany. Dopiero wnikliwa analiza nagłówka wiadomości mówi, że tak naprawdę maila wysłano z adresu IP w Republice Mołdawii.

– Pole „reply-to” mówi nam, że odpowiedź będzie kierowana na prawdziwy adres: „noreply (@) zara.com”. Kolejny punkt dla oszusta.

– Tekst wiadomości został opracowany poprawnie, tj. zawiera polskie znaki, został napisany przez osobę, która dobrze zna język polski (nie wygląda to na google translator), nawet link do regulaminu i do formularza kontaktowego firmy ZARA są prawdziwe.

W ostatnich miesiącach pod postacią załączonych plików Java Script ukrywają się przede wszystkim zagrożenia typu ransomware, czyli wirusy, które szyfrują pliki i żądają okupu za ich odzyskanie.

Wczoraj informowaliśmy o bardzo podobnym przypadku. Technicznie rzec ujmując, różnica pomiędzy dzisiejszym a wczorajszym spamem polega tylko na wykorzystaniu innych adresów IP do wysyłania wiadomości. Jednak w obu przypadkach te spamerskie kampanie kończą się tym samym – zaszyfrowaniem plików ofiary lub zainstalowaniem bankowego trojana.

W jaki sposób się chronić?

Skuteczna ochrona to przede wszystkim dobrej klasy program antywirusowy. A jeżeli ze względu na ostatnie doniesienia nie macie do aplikacji bezpieczeństwa zaufania, to każdej infekcji, która wykorzystuje dowloadery JS możecie uniknąć wyłączając proces wscript.exe odpowiedzialny za uruchamianie m.in. kodu Java Script w Windows. Wystarczy, że przejdziecie do poniższego klucza i ustawicie jego wartość „Enabled” na „0„:
HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettings Dodaj: Enabled i ustaw na "0"
WSH
Dodaj: kliknij PPM, wybierz „Nowy” -> „wartość ciągu”, wpisz „Enabled” i ustaw na „0”.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]