Serwery Ergo Hestii wykorzystane do ataku. Przestępca padł ofiarą własnej broni

Serwery Ergo Hestii wykorzystane do ataku. Przestępca padł ofiarą własnej broni

Serwery Ergo Hestii wykorzystane do ataku. Przestępca padł ofiarą własnej broni
Oskar Ziomek
12.06.2018 11:50

W Sieci głośno jest o kolejnym ataku na niczego nieświadomych odbiorców wiadomości e-mail. Przestępca postanowił rozesłać do swoich ofiar wiadomości ze szkodliwym załącznikiem i by zwiększyć swoją wiarygodność, sprytnie użył do tego serwerów pocztowych jednego z polskich ubezpieczycieli – Ergo Hestii. Choć plan i realizacja były bardzo ambitne, przestępca w rzeczywistości padł ofiarą własnej broni, bo atak trudno uznać za skuteczny.

O szczegółach informuje Niebezpiecznik. Próbę ataku uznać należy z pewnością za jedną z lepiej przygotowanych, bo wiarygodnie sporządzono zarówno samą wiadomość, jak i zadbano o wiarygodność. Przestępca do rozesłania wiadomości wykorzystał serwery pocztowe Ergo Hestii, przez co odbiorcy mieli mniej powodów, by przypuszczać, że e-mail mógł zostać spreparowany – zgadzają się nagłówki, a domena wskazuje na wykorzystanie serwerów ubezpieczyciela.

Treść rozsyłanej do użytkowników wiadomości. Źródło: Niebezpiecznik.
Treść rozsyłanej do użytkowników wiadomości. Źródło: Niebezpiecznik.

Sama wiadomość wzywa do podania sposobu, w jaki zwrócony ma zostać przysługujący zwrot nadwyżki. Jak zauważa Niebezpiecznik, całość jest napisana wiarygodnie i składnie, co przy tego typu atakach jest raczej rzadkością. Rzecz jasna nie brakuje tu również załącznika, który w założeniu służyć miał do instalacji szkodliwego oprogramowania. Podejrzeń nie powinien budzić zawarty w nim plik html, ale już jego nazwa (0_warning.htm) wydaje się nietypowa.

Okazuje się bowiem, że mimo ambitnego podejścia do tematu, przed rozpoczęciem ataku i rozsyłania wiadomości, przestępca najprawdopodobniej nie sprawdził sam na sobie, czy wiadomość poprawnie dociera do ofiar. Choć sama treść wyświetlała się właściwie, problemem okazał się załącznik. W spreparowany plik można było rzecz jasna kliknąć, jednak wbrew założeniom, na komputerze ofiary nie instalowało się wówczas szkodliwe oprogramowanie, bo... to zostało wcześniej zablokowane przez antywirus działający na serwerze Ergo Hestii.

Komunikat o blokadzie szkodliwego pliku przez serwer Ergo Hestii. Źródło: Niebezpiecznik.
Komunikat o blokadzie szkodliwego pliku przez serwer Ergo Hestii. Źródło: Niebezpiecznik.

Atak okazał się więc nieskuteczny. Na ten moment wciąż nie wiadomo jednak do końca, w jaki sposób przestępca zdołał wykorzystać serwery. Wszystko wskazuje na to, że musiał wejść w posiadanie komputera jednego z pracowników, a fakt kradzieży (tudzież blokada dostępu do kont) nie zostały zgłoszone na czas. Niebezpiecznik zwraca również uwagę, iż wiadomości nie trafiły wyłącznie do klientów Ergo Hestii, na których adresy przestępca natrafił najprawdopodobniej w skrzynce pocztowej pracownika, którego komputera użył – wykorzystano więc także inną ich bazę.

Cała sprawa, choć ostatecznie okazała się nie być realnym zagrożeniem, zwraca jednak uwagę na zasadność stosowania antywirusa również do poczty wysyłanej przez firmowe serwery. Jak widać, w tym przypadku takie rozwiązanie uchroniło wiele potencjalnych ofiar przed problemami. Niebezpiecznik zwraca jednak dodatkowo uwagę, iż nie można wykluczyć, że szkodliwy plik skutecznie dotarł do kilku pierwszych osób, a dopiero z czasem antywirus zaczął go blokować. Tak czy inaczej – atak na większą skalę został udaremniony.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (5)