Natrafiliśmy na bardzo niebezpieczną wiadomość spam, której nadawcą rzekomo jest członek zarządu Polskiej Agencji Inwestycji i Handlu. Wiadomość o temacie Oferta Polskiej Agencji Inwestycyjnej i Handlowej na projekty komercyjne zawiera załącznik w formacie PDF - Przetarg rządu polskiego.pdf. Wykonana przez nas analiza wykazała, że to cyberprzestępcy podszywają się pod PAIH. Cały atak ma na celu kradzież danych dostępowych do skrzynki mailowej pracowników polskich firm. Cyberprzestępcy w ten sposób będą mogli poznać jej całą korespondencję oraz uzyskać dostęp do poufnych danych. Poważnym zagrożeniem jest także to, że przestępcy będą mogli wysyłać maile do innych firm czy instytucji jako firma, której dane wykradli.

Wiadomość spam
spam-1

Po pobraniu i otwarciu załącznika w formacie PDF ujrzymy dokument, który pochodzi rzekomo od Polskiej Agencji Inwestycji i Handlu. Z zawartych w nim informacji wynika, że firma, do której trafiła wiadomość została zaproszona do składania przetargów na projekty komercyjne w 2019 roku (sic!).

Załączniki w formacie PDF mogą być również niebezpieczne. Bardzo często cyberprzestępcy umieszczają w nich linki, które prowadzą do stron, skąd pobierane jest docelowe złośliwe oprogramowanie lub stron wyłudzających poufne dane. Jeśli chcesz dowiedzieć się więcej o niebezpiecznych rozszerzeniach plików, przeczytaj nasz ARTYKUŁ.

Dokument PDF
PDF-1

Dokument PDF informuje, że jednym z warunków przyznania przetargu jest zalogowanie się na portalu poprzez kliknięcie przycisku WCHODZIC. Następnie zostajemy przekierowani do fałszywej strony podszywającej się pod paih.gov.pl.

Fałszywa strona
paih_1-1

Aby złożyć ofertę należy kliknąć przycisk umieszczony na stronie, a następnie wprowadzić dane logowania do poczty elektronicznej.

Fałszywa strona - wyłudzanie danych logowania po poczty elektronicznej:
paih_2-1

Przestępcy stojący za tym oszustwem próbują w ten sposób wyłudzić dane, które pozwolą na dostęp do skrzynki mailowej danej firmy, której pracownik wprowadzi adres email oraz hasło na stronie phishing.

Oszuści mogą w ten sposób uzyskać dostęp do korespondencji firmowej i tym samym przechwycić newralgiczne dane, które tam się znajdują.

Inne strony phishing tej samej grupy

W wyniku analizy ujawniliśmy inne strony, które pozwalają stwierdzić, że przestępcy działają na międzynarodową skalę i tym samym starają się przechwycić pocztę zagranicznych firm, m.in. z Kanady, czy Chin.

other2-2

other1-2

Dla przestępców nie zawsze celem są tylko pieniądze skradzione bezpośrednio z kont ich ofiar, ale i poufne informacje pozyskane w sposób nieuprawniony z przedsiębiorstw. Przypadek ten pokazuje, że należy edukować pracowników, aby przez taki incydent nie zagrozić bezpieczeństwu informacji w firmie.

Wszystkie wykryte przez nas strony powiązane z tym atakiem są blokowane przez nasze rozszerzenie do przeglądarek BrowserWall. Więcej o tym rozwiązaniu możesz przeczytać w TYM ARTYKULE.