Takiego ataku w Polsce jeszcze nie było. Przestępcy wyjątkowo się postarali
Nowy atak cyberprzestępców został przygotowany z niezwykłą starannością. Prawie - tylko jeden ich błąd sprawił, że maile pochodzące rzekomo od Ergo Hestia nie zainfekowały komputerów Polaków.
Zwykle ataki oszustów można rozpoznać już po nazwie nadawcy. Fałszywy mail lub link różni się szczegółem - np. końcówką jest "com.pl", gdy powinno być samo ".pl". Często różnica jest bardzo trudno dostrzegalna. Tak było w przypadku podszywania się pod LOT - w podstawionym linku pod literą “o” znajdowała się malutka, ledwie widoczna kropka. Dlatego nowy atak opisywany przez portal Zaufana Trzecia Strona był wyjątkowo groźny.
Oszuści informowali o nadwyżce - wystarczyło wypełnić formularz, podając w nim swój numer konta, by odzyskać pieniądze. Oczywiście plik w teorii miał być zainfekowany. Ale ofiary mogły uwierzyć w wiadomość, bowiem ta faktycznie wyszła z serwerów pocztowych ERGO Hestia.
"Przestępcy uzyskali dostęp do konta co najmniej jednego użytkownika (we wszystkich próbkach widzieliśmy ten sam adres) na serwerach pocztowych ERGO Hestia i użyli go by rozesłać złośliwe oprogramowanie do swoich ofiar (...) Przestępcy uzyskali dostęp do firmowego konta pocztowego (warto zauważyć, że nie było to konto pracownika ERGO Hestia, lecz współpracownika – agenta, przez co zapewne było słabiej chronione) i stworzyli wiarygodnie wyglądającą wiadomość (lub ukradli jej wzorzec z konta ofiary)" - tłumaczy serwis ZTS.
Odbiorców maila uratował system antywirusowy na serwerach ERGO Hestia, który sam wykasował złośliwy kod. A najprawdopodobniej mieliśmy do czynienia z nowym wariantem bankowego konia trojańskiego. Czyli wirusem, który wykrada dostęp do logowania do banku.
Szkody mogły być olbrzymie, bo mail trafił do kilkudziesięciu tysięcy Polaków. Co więcej, maile doręczane były nad ranem, tak by dział IT nie mógł przerwać akcji. Niestety portal Zaufana Trzecia Strona nie wyklucza, że niektóre maile mogły jednak zawierać złośliwe oprogramowanie.
"To pierwszy obserwowany przez nas przypadek, gdy prawdziwe konto firmowe w Polsce użyte jest do masowego rozesłania złośliwego oprogramowania do ofiar" - podsumowuje ZTS.