Ciekawy sposób ataku na użytkowników Interia.pl

[Grandalf]

Od mniej więcej miesiąca otrzymujemy bardzo ciekawe próbki e-maili, jakie są kierowane do osób posiadających skrzynki pocztowe na Interia.pl. Atak jest pod wieloma kątami inny niż zwykle. Przeczytajcie, poszukajcie, może wspólnie uda się nam wyjaśnić tę zagadkę.

​

Szanowny Użytkowniku

Kontaktujemy się z Tobą, ponieważ otrzymaliśmy informację o dużej ilości wiadomości spam wysłanych z Twojego adresu e-mail w przedziale czasowym 27-30.01.2019 roku na adresy skrzynek pocztowych innej firmy, działającej w branży usług pocztowych. Informacje te nie znajdują potwierdzenia w zapisie aktywności na twoim koncie, niestety proceder podszywania się pod czyjś adres e-mail w celu ukrycia własnej tożsamości jest praktycznie normą wśród przestępców. Twoje konto jest nadal bezpieczne a my, jak zawsze w takiej sytuacji, zaprzeczyliśmy temu, że wiadomości zostały wysłane przez użytkownika naszego serwisu. Tego rodzaju zajścia jednak, zwłaszcza te niezgłoszone do nas, szkodzą reputacji skrzynki pocztowej a prawdziwe wiadomości wysyłane z adresów e-mail dotkniętych tym problemem często nie docierają do adresata. Usuwane są już na etapie wstępnej selekcji jako spam. W związku z coraz częstszymi wypadkami tego typu oraz w trosce o bezpieczeństwo i jakość naszych usług wprowadzamy nowe zabezpieczenie zwane DMARC. System DMARC jest najnowszym międzynarodowym standardem ochrony tożsamości adresów e-mail, stworzonym właśnie na wypadek prób jej przejęcia. Token z funkcją DMARC praktycznie uniemożliwia takie działania- wiadomość wysłana z innej skrzynki niż Twoja nigdzie nie dotrze, jeśli będzie “udawała”, że pochodzi z Twojego konta. Rozwiązanie zostanie wprowadzone w połowie bieżącego roku, ale już teraz uruchomiliśmy program pilotażowy dla usługi i zachęcamy dotkniętych problemem „mail spoofing”, aby wzięli w nim udział. Jeśli chcesz dowiedzieć się więcej lub wziąć udział w pilotażowym programie, przejdź do strony pomocy

Zaloguj lub Zarejestruj się aby zobaczyć!

, lub do strony usługi

Zaloguj lub Zarejestruj się aby zobaczyć!

i postępuj zgodnie ze wskazówkami. Cały proces aktywacji zabezpieczenia dla Twojego konta potrwa około minuty. W razie jakichkolwiek pytań prosimy o kontakt z Biurem Obsługi Klienta firma.pomoc@interia.pl.
Pozdrawiamy,
Zespół Poczty Interii

​

​

Wiadomości wysyłane są do użytkowników Interii z różnych adresów e-mail, ale generalnie mają tą samą treść, choć za każdą falą ataku przekierowują na inne domeny (bo poprzednie są blokowane). W podesłanych do nas próbkach wyszczególnić można takie adresy e-mail:

firma.pomoc@interia.pl
system.ochrony@interia.pl
ochrona.danych@interia.pl
biuro.obslugi@interia.pl

I takie domeny:

interia-token.pl
interia-zabezpieczenia.pl

Wiadomości wysyłane są z węzłów TOR-a.

Poziom wyższy niż zwykle
Za kampanią stoi ktoś, kto zdaje się być całkiem dobrze przygotowany (nareszcie!). Treść e-maila jest dobrze przygotowana, zarówno pod kątem warstwy językowej jak i “technicznej” — chcemy Ci pomóc, są takie a takie technologie, które umożliwią Ci zabezpieczenie konta, kliknij tutaj aby z nich skorzystać.

Co więcej, domeny, pod które odsyłani są użytkownicy są dobrze dopasowane, a treść e-maila się zmienia (dopasowanie “dat w których nastąpił incydent”). Ktoś wkłada w ten atak trochę wysiłku i nie robi go “na odwal się”.

Na czym polega atak?
Kiedy osoba przejdzie na podlinkowaną stronę, ta korzysta z kolorystyki i “szablonów” Interii. Wygląda wiarygodnie. I prosi — jak można się domyślić, o login i hasło do skrzynki e-mail. Po jego podaniu, ofiara otrzymuje kolejnego e-maila od atakującego:

TOKEN ZOSTAŁ AKTYWOWANY
NUMER TWOJEGO TOKENA TO: ….
Dziękujemy za Twoją pomoc. Zabezpieczenie zostało utworzone. Możesz już bezpiecznie korzystać ze swojego konta i adresu poczty, bez ryzyka jego przejęcia lub zablokowania.
Pobierz swój token klikając przycisk w prawym górnym rogu przeglądarki lub zanotuj go. Zachowaj jego numer tylko dla siebie. W niedalekiej przyszłości pozwoli on na odblokowanie konta, nawet gdy utracisz dostęp do wszystkich innych metod autoryzacji. Aby uzyskać pomoc lub aby dodać kolejny adres e-mail do usługi, skontaktuj się z nami pod adresem: smart.token@interia.pl. Odpowiemy najpóźniej w ciągu 48 godzin od przyjęcia zgłoszenia. Dziękujemy za udział w programie. Zespół systemu SmartToken.

I tu historia się kończy. Jedna z osób, która “dała się nabrać”, nie odnotowała, żeby na jej koncie stało się coś złego lub ktoś inny się do niego zalogował/zmienił hasło. Być może atakujący zajmowali się wtedy innymi ofiarami. Problem w tym, że ofiar chyba nie mają zbyt wiele, bo o ile o większości kampanii jesteśmy przez Was informowani w dziesiątkach jak nie setkach wiadomości, w sprawie tego procederu dostaliśmy zaledwie kilka e-maili. To sugeruje bardzo wąską grupę docelową dla tych wiadomości.

Pomożesz?
Nie wiemy co łączy “ofiary” i dlaczego ktoś potrzebuje mieć dostęp do ich skrzynek na Interii. Nie są nam również znane analogiczne ataki na użytkowników innych polskich dostawców skrzynek e-mail. Co nie znaczy, że ich nie ma. Rzućcie zatem okiem na swoje skrzynki odbiorcze i przeszukajcie je pod kątem słowa “DMARC” — jeśli namierzycie wiadomość podobną do tej powyżej, dajcie nam znać na adres e-mail redakcja [bocian] niebezpiecznik.pl.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!