Nietypowy atak na Polaków czekających na zwrot podatku z US

dodał 18 kwietnia 2018 o 06:30 w kategorii Socjo  z tagami:
Nietypowy atak na Polaków czekających na zwrot podatku z US

Od paru dni trwa nietypowa kampania atakująca skrzynki emailowe Polaków, używająca pretekstu zwrotu podatku w celu wyłudzenia od ofiary danych osobowych, hasła do poczty i danych karty kredytowej.

Co ciekawe, jako pierwsze o ataku poinformowało Ministerstwo Finansów – trzeba tu pochylić z szacunkiem czoła, bo bardzo rzadko zdarza się, że o nowej kampanii dowiadujemy się ze strony urzędu, a nie urząd od nas. Choć część próbek udało się nam już kilka dni temu namierzyć, to brakowało pełnego, aktywnego ataku od emaila do końca procesu wyłudzenia. Na szczęście przestępca nadal atakuje, a nasi Czytelnicy nie zawodzą i możemy Wam dzisiaj opisać przebieg całego ataku.

►►►►►► FORMULARZ ZWROTU PIENIEDZY ►►►►►►►►►

Taki właśnie temat nosi najnowszy wariant emaila od przestępców. W poprzedniej wersji było to „►►►► FORMULARZ ZWROTU” – najwyraźniej skuteczność była niewystarczająca i trzeba było dodać więcej strzałek. Wiadomość wygląda tak:

Język wiadomości jest daleki od doskonałego (dobry odbiór!), lecz z wiadomości od Czytelników widzimy, że nie wszystkich to od razu zraża. Co więcej, link z emaila prowadzi do prawdziwej strony Ministerstwa Finansów – pułapka znajduje się dopiero w załączniku.

Plik o nazwie „DYREKCJA GENERALNA FINANSA PUBLICZNA.pdf” wygląda z kolei tak:

Podoba nam się Mateusz Morawiecki w roli „zastępcy rozjemcy podatkowego”, cokolwiek ten zwrot oznacza. Najwyraźniej autor kampanii ma problem z językiem polskim. Co ciekawe, na zrzucie ekranu opublikowanym na stronie Ministerstwa Finansów obcięto linijkę z nazwiskiem premiera.

Kolejny etap ataku czeka pod linkiem „kliknij tutaj”, który w tym akurat dokumencie prowadzi do strony pod adresem:

https://bftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/

Użyty w emailu link korzysta z przekierowania w serwisie goo.gl, dzięki czemu możemy zobaczyć, że w ciągu ostatnich 2 dni kliknięto w niego ok. 200 razy. Poniżej statystyki z ostatniej doby:

Witryna docelowa stworzona jest w darmowym serwisie i jest głównie zbiorem obrazków udających stronę Ministerstwa Finansów oraz formularzem służącym do kradzieży danych:

Przestępcy na pierwszym etapie proszą o podanie imienia, nazwiska, daty urodzenia, adresu i numeru telefonu. Po wysłaniu formularza trafiamy na stronę:

https://aftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/

gdzie dla odmiany jesteśmy proszeni o podanie danych karty kredytowej.

Na koniec oszuści jakby nigdy nic przenoszą swoje ofiary na stronę Ministerstwa Finansów. Co ciekawe, w obu formularzach jest sporo widocznych i nieco ukrytych znaków wskazujących, że autorzy ataku mogą być francuskojęzyczni:

  • „Champ(s) obligatoire(s)” zamiast „pola obowiązkowe,
  • „Prénom” i „Nom” zamiast „Imię” i „Nazwisko”,
  • „nouvelle-image” w kodzie strony.

Co więcej, w trakcie analizy znaleźliśmy ślady analogicznego ataku, przeprowadzonego w tym samym czasie, jednak wycelowanego w osoby francuskojęzyczne.

Co ciekawe, wersja francuskojęzyczna nie zawiera błędów językowych. Co więcej, obserwowana przez nas kampania skierowana do Francuzów próbuje także wykradać hasło do poczty elektronicznej – o czym w swoim komunikacie, opisującym wcześniejszą wersję polskiej kampanii, wspomina Ministerstwo Finansów.

W trakcie analizy opisywanych ataków poznaliśmy jeden z adresów poczty elektronicznej wykorzystywanych przez przestępców – „[email protected]”. Ten sam adres był już w lutym tego roku użyty w bardzo podobnie opracowanym phishingu na klientów firmy Orange:

Niezbadaną zagadką pozostaje jednak dla nas pytanie dlaczego francuskojęzyczny przestępca postanowił zaatakować – i to dość nieudolnie – polskojęzyczne ofiary.

Kilka wskaźników infekcji

Adresy email:

[email protected]
[email protected]

Skróty załączników PDF:

54dc950d80ff79a69be64705ddc1a50f065e5ba6
b7024e687870db447993fe0d15705ac76b341694
f5ac9d3bf9fe059e71e85b1bc221765a74eb9313

Adresy stron phishingowych:

https://bftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/
https://aftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/
https://e2f0ece317fba6ca903cf6ebf4cbe484.weebly.com/
http://rembdgfipgouv-001-site1.btempurl.com/e2f0ece317fba6ca903cf6ebf4cbe484/redirection4dba.html

Dziękujemy Czytelnikom i Anonimowym Analitykom, którzy przyczynili się do zbadania tego incydentu.