CERT Orange Polska ostrzega o ataku phishingowym, w którym przestępcy próbują zwabić ofiary do przekazania danych logowania do konta home.pl. Wysyłana wiadomość e-mail sugeruje konieczność odnowienia domeny, ale w praktyce nie ma związku z jej stanem faktycznym.
CERT Orange Polska opisuje atak phishingowy, w którym oszuści podszywają się pod administrację home.pl i wysyłają wiadomości, w których wzywają do odnowienia domeny. W treści brakuje polskich znaków diakrytycznych, a adres e-mail nadawcy jest tak długi, że trzeba się postarać, by uznać go za autentyczny, ale nie zmienia to faktu, że phishing jest na swój sposób nietypowy - pojawiają się w nim bowiem istotne "błędy".
Jak się okazuje, w przypadku CERT Orange wiadomość dotyczy dokładnie adresu "cert.orange.pl" - a to subdomena, której z założenia samej w sobie odnawiać nie trzeba. Po drugie, operator podaje, że główna strona akurat nie jest zarejestrowana w home.pl, więc jeśli odbiorca ma świadomość, gdzie rejestrował domenę, szybko zwróci uwagę, że coś tu jest nie tak (choć nie można oczywiście wykluczyć sytuacji, w której sugestia oszustów wpisze się w stan faktyczny strony potencjalnej ofiary).
Na koniec wreszcie - link załączony w treści jest podzielony na dwie części. Kliknięcie tej drugiej przenosi na spreparowaną stronę logowania, gdzie wyłudzany jest login i hasło do serwisu obsługi domen. CERT Orange Polska podaje, że gdy ten sam adres uruchomiono z niemieckiego IP, mechanizm przekierowania skierował użytkownika na fałszywą witrynę innego, niemieckiego operatora domen. Cały proces jest więc na tym etapie zaskakująco dopracowany i "zautomatyzowany".
Dalsza część artykułu pod materiałem wideo
Co ciekawe, kliknięcie pierwszej części linku w treści e-maila faktycznie przekierowuje na autentyczną stronę logowania do home.pl. CERT Orange Polska dodaje jeszcze jako ciekawostkę, że wcześniej ten sam phishing wysyłany był w zubożonej formie, w której oszuści "zapomnieli" dodać do treści spreparowaną część linku. W efekcie teoretycznie szkodliwa wiadomość przez pewien czas kierowała wyłącznie do autentycznego panelu logowania home.pl i wówczas nie stanowiła zagrożenia dla odbiorców.
Obecnie jest inaczej. Jak zwykle przypominamy więc podstawowe zasady bezpieczeństwa w sieci i apelujemy, by nie klikać machinalnie linków załączanych do wiadomości e-mail, podobnie jak pobierać załączonych plików, które mogą być zawirusowane. W opisywanym przypadku do zidentyfikowania próby oszustwa wystarczy dobrze przyjrzeć się adresowi nadawcy oraz samej treści, która jest niedopracowana. Taką wiadomość najlepiej jest od razu zignorować, oznaczyć jako spam lub usunąć.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
