Według informacji, które podają różne portale komputerowe, już wkrótce Google będzie blokowało załączniki Java Script przesyłane „drogą niezaszyfrowaną”. Z punktu widzenia naszego bezpieczeństwa oczywiście jest to bardzo dobra decyzja, jednak póki co ów „ficzer” nie odrzuca załączników JS.

DLatego użytkownicy mogą jeszcze otrzymywać przez pewien czas takie fałszywe wiadomości.

DOSTARCZENIE ZAMÓWIENIA DO SKLEPU – ZAŁĄCZONY PARAGON ELEKTRONICZNY

Witaj

Informujemy, iż Pana/ Pani zamówienie 272459789 zostało dostarczone do sklepu.

Prosimy pamiętać, iż jego odbioru można dokonać z pomocą któregokolwiek pracownika sklepu , prezentując dowód osobisty oraz numer zamówienia.

Informujemy, iż zamówienie będzie oczekiwało na odbiór przez 15 dni roboczych.

Od tego momentu załączamy paragon w formie elektronicznej. Pamiętaj, że jest on niezbędny w przypadku wymiany lub zwrotu. Możesz przedstawić go na ekranie urządzenia mobilnego lub wydrukować.

Dodatkowe informacje dostępne są w naszym Regulaminie zakupów.

NR ZAMÓWIENIA: 272459789

DATA ZAMÓWIENIA: 08.02.17

SPOSÓB WYSYŁKI: Odbiór w sklepie. 2-3 dni roboczych.

METODA PŁATNOŚCI: MasterCard

Chęć kliknięcia w załącznik może być szczególnie wielka nie tylko dla klientów sklepów ZARA, którzy w ostatnim czasie zamówili towar drogą elektroniczną i spodziewają się odbioru w najbliższym punkcie. Dużą pokusą dla wszystkich pozostałych osób, które zamawiały "na dniach" coś z asortymentu sklepu na swój adres zamieszkania może być okazja "zweryfikowania" załącznika . W końcu pomyłki się zdarzają, a ta mogłaby być jedną z nich, gdyby nie to, że:

- W załączniku znajduje się bardzo podejrzany plik „ZARA - Paragon Elektroniczny 272459789 PDF.js” z rozszerzeniem „JS”. Spieszymy z wytłumaczeniem tym mniej technicznym użytkownikom, że jest to downloader, czyli wirus napisany w języku Java Script, który służy do pobierania innego szkodliwego oprogramowania na komputer ofiary.

- Na pierwszy rzut oka adres nadawcy „noreply (@) zara.com” jest świetnie zamaskowany. Dopiero wnikliwa analiza nagłówka wiadomości mówi, że tak naprawdę maila wysłano z adresu IP w Republice Mołdawii.

- Pole „reply-to” mówi nam, że odpowiedź będzie kierowana na prawdziwy adres: „noreply (@) zara.com”. Kolejny punkt dla oszusta.

- Tekst wiadomości został opracowany poprawnie, tj. zawiera polskie znaki, został napisany przez osobę, która dobrze zna język polski (nie wygląda to na google translator), nawet link do regulaminu i do formularza kontaktowego firmy ZARA są prawdziwe.

W ostatnich miesiącach pod postacią załączonych plików Java Script ukrywają się przede wszystkim zagrożenia typu ransomware, czyli wirusy, które szyfrują pliki i żądają okupu za ich odzyskanie.

Wczoraj informowaliśmy o bardzo podobnym przypadku. Technicznie rzec ujmując, różnica pomiędzy dzisiejszym a wczorajszym spamem polega tylko na wykorzystaniu innych adresów IP do wysyłania wiadomości. Jednak w obu przypadkach te spamerskie kampanie kończą się tym samym – zaszyfrowaniem plików ofiary lub zainstalowaniem bankowego trojana.

W jaki sposób się chronić?

Skuteczna ochrona to przede wszystkim dobrej klasy program antywirusowy. A jeżeli ze względu na ostatnie doniesienia nie macie do aplikacji bezpieczeństwa zaufania, to każdej infekcji, która wykorzystuje dowloadery JS możecie uniknąć wyłączając proces wscript.exe odpowiedzialny za uruchamianie m.in. kodu Java Script w Windows. Wystarczy, że przejdziecie do poniższego klucza i ustawicie jego wartość "Enabled" na "0":
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\ Dodaj: Enabled i ustaw na "0"
Dodaj: kliknij PPM, wybierz "Nowy" -> "wartość ciągu", wpisz "Enabled" i ustaw na "0".
AUTOR:

Adrian Ścibor

Podziel się

Komentarze

xxx ndz., 12-02-2017 - 12:29

moja mama dostała dzisiaj taki e-mail i prosiła mnie żebym sprawdziła, czy ktoś nie zamówił czegoś z jej konta… no i kliknęłam w paragon elektroniczny. od razu usunełam to z komputera jednak nie wiem co dalej z tym zrobić - dodam, że mam macbook'a w związku z czym nie mogę zrobić tej sztuczki podanej w artykule dla Windowsa. proszę o pomoc!

Adrian Ścibor ndz., 12-02-2017 - 12:44

@#1 Powyższa metoda zarezerwowana jest tylko dla Windows.

xxx ndz., 12-02-2017 - 12:46

@#2 co mogę zrobić w takiej sytuacji jeżeli otworzyłam ten plik na macbooku? ściągnełam avast for Mac i skanuję system, jednak nie wiem czy jest to wystarczajace w tej sytuacji?

Adrian Ścibor ndz., 12-02-2017 - 12:49

@#3 Masz szczęście, że masz Maka. Ten wirus zarezerwowany jest dla Windows. Na przyszłość trzeba nauczyć się weryfikować spam lub częściej czytać AVLab - nie tylko w zakresie informacyjnym, ale także edukacyjnym. Na przykład: https://avlab.pl/jak-rozpoznac-spam-i-jak-sie-przed-nim-bronic-szczegol… podane tam wskazówki nie wszystkie mogą być zrozumiałe, ale część na pewno.