Komunikat CERT Orange. Sprawdź dokładnie e-mail
CERT Orange Polska ostrzega o ataku phishingowym, w którym przestępcy próbują zwabić ofiary do przekazania danych logowania do konta home.pl. Wysyłana wiadomość e-mail sugeruje konieczność odnowienia domeny, ale w praktyce nie ma związku z jej stanem faktycznym.
CERT Orange Polska opisuje atak phishingowy, w którym oszuści podszywają się pod administrację home.pl i wysyłają wiadomości, w których wzywają do odnowienia domeny. W treści brakuje polskich znaków diakrytycznych, a adres e-mail nadawcy jest tak długi, że trzeba się postarać, by uznać go za autentyczny, ale nie zmienia to faktu, że phishing jest na swój sposób nietypowy - pojawiają się w nim bowiem istotne "błędy".
Jak się okazuje, w przypadku CERT Orange wiadomość dotyczy dokładnie adresu "cert.orange.pl" - a to subdomena, której z założenia samej w sobie odnawiać nie trzeba. Po drugie, operator podaje, że główna strona akurat nie jest zarejestrowana w home.pl, więc jeśli odbiorca ma świadomość, gdzie rejestrował domenę, szybko zwróci uwagę, że coś tu jest nie tak (choć nie można oczywiście wykluczyć sytuacji, w której sugestia oszustów wpisze się w stan faktyczny strony potencjalnej ofiary).
Na koniec wreszcie - link załączony w treści jest podzielony na dwie części. Kliknięcie tej drugiej przenosi na spreparowaną stronę logowania, gdzie wyłudzany jest login i hasło do serwisu obsługi domen. CERT Orange Polska podaje, że gdy ten sam adres uruchomiono z niemieckiego IP, mechanizm przekierowania skierował użytkownika na fałszywą witrynę innego, niemieckiego operatora domen. Cały proces jest więc na tym etapie zaskakująco dopracowany i "zautomatyzowany".
Dalsza część artykułu pod materiałem wideo
Co ciekawe, kliknięcie pierwszej części linku w treści e-maila faktycznie przekierowuje na autentyczną stronę logowania do home.pl. CERT Orange Polska dodaje jeszcze jako ciekawostkę, że wcześniej ten sam phishing wysyłany był w zubożonej formie, w której oszuści "zapomnieli" dodać do treści spreparowaną część linku. W efekcie teoretycznie szkodliwa wiadomość przez pewien czas kierowała wyłącznie do autentycznego panelu logowania home.pl i wówczas nie stanowiła zagrożenia dla odbiorców.
Obecnie jest inaczej. Jak zwykle przypominamy więc podstawowe zasady bezpieczeństwa w sieci i apelujemy, by nie klikać machinalnie linków załączanych do wiadomości e-mail, podobnie jak pobierać załączonych plików, które mogą być zawirusowane. W opisywanym przypadku do zidentyfikowania próby oszustwa wystarczy dobrze przyjrzeć się adresowi nadawcy oraz samej treści, która jest niedopracowana. Taką wiadomość najlepiej jest od razu zignorować, oznaczyć jako spam lub usunąć.
