30.07.2014 | 12:16

Adam Haertle

Fałszywe wiadomości pt. „Oplaty Allegro za 7/2014”

Dzisiaj od godziny 9 rano na konta wielu internautów trafiają fałszywe wiadomości „od Allegro”, wskazujące na zaległości w płatnościach. Wiadomość pod tytułem „Oplaty Allegro za 7/2014” wygląda tak:

Spam udający Allegro

Spam udający Allegro

Kwota w kilku otrzymanych przez nas próbkach wynosiła -23,50, -27,50 oraz -29,50. Numer konta powtarza się w każdej z analizowanych wiadomości i prawdopodobnie jest przypisany do konta jakiegoś Allegrowicza (posiada prawidłową sumę kontrolną oraz należy do tego samego oddziału co oryginalny rachunek Allegro, zgadza się również pierwszych kilka cyfr). Wiadomość łatwo rozpoznać, ponieważ nie zawiera polskich znaków, poza tym jednak dość wiernie odwzorowuje oryginalne komunikaty wysyłane przez Allegro.

Do wiadomości dołączony jest plik

wiadomosc_faktura.formularz przekazu.pdf.zip

zawierający dla odmiany plik z rozszerzeniem „pif”

wiadomosc_faktura.formularz przekazu.pdf.pif

o bardzo niskim współczynniku wykrywalności na VirusTotal (5/54). W pliku zapewne znajduje się klient botnetu lub jego downloader, pytanie tylko, czy numer konta w treści wiadomości to kolejny kanał generowania przychodów, czy zwykła zmyłka?

Za podesłanie informacji dziękujemy Tomkowi oraz Grzegorzowi.

Powrót

Komentarze

  • 2014.07.30 12:26 Stkop

    My dostajemy mnóstwo maili „od firm kurierskich” również z informacją o fakturze i dołączonym plikiem ZIP. Wszystkie te wiadomości z domeną właściwą dla danego kuriera… zastanawiamy się jak to możliwe… oczywiście wszystkie hurtem traktujemy jako wiadomości fałszywe.

    Informacja o zaległości i dość autentycznie wyglądające wiadomości mają głównie skłonić do otworzenia załącznika, gdyż psychologicznie sądzimy, że w załączeniu znajdziemy więcej szczegółów odnośnie bulwersującej nas i nieprawdziwej zaległości.

    Odpowiedz
  • 2014.07.30 12:26 Slawek

    Wysyłane są już również tego typu wiadomości od „T-mobile”. Kwoty to około 190,00 zł.

    Odpowiedz
  • 2014.07.30 12:31 QBA_96

    Kolejna generacja Tinby + Zeusa :)

    Odpowiedz
  • 2014.07.30 13:44 reishen

    Konto bankowe „należy” do użytkownika http://allegro.pl/show_user.php?uid=2533390 – mariok12, który jest na Allegro od ponad 10 lat…

    HTH.

    Odpowiedz
  • 2014.07.31 03:08 Not

    @Stkop
    Przyjrzyj się nagłówkom maila a nie tylko polu „From” które widzisz w programie pocztowym i zatrudnij postmastera.

    Return-path:
    Envelope-to: !HIDE!
    Delivery-date: Wed, 30 Jul 2014 14:53:33 +0200
    Received: from rtr.npa.pl ([91.188.97.250]) by !HIDE! with esmtp
    (envelope-from ) id !HIDE! for
    !HIDE!; Wed, 30 Jul 2014 !HIDE! +0000
    Received: from [67.134.175.193] (helo=!HIDE!.sgwpchcg.ua) by rtr.npa.pl
    with esmtpa (Exim 4.69) (envelope-from ) id !HIDE! for
    !HIDE!; Wed, 30 Jul 2014 !HIDE! +0100
    From: T-Mobile faktura
    To:
    Subject: T-Mobile: Twoją miesięczną f@kturę
    Date: Wed, 30 Jul 2014 !HIDE! +0100
    MIME-Version: 1.0
    X-Priority: 3
    Message-ID:

    Jak widać mamy polski „akcent” ;)

    Odpowiedz
  • 2014.07.31 20:18 Paweł

    Ciekawe…

    Odpowiedz
  • 2014.08.04 13:48 h

    Ktos moze juz analizowal gdzie lezy c&c ?

    Odpowiedz

Zostaw odpowiedź do Paweł

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Fałszywe wiadomości pt. „Oplaty Allegro za 7/2014”

Komentarze