Wiadomości spam z BNP Paribas w tle
Chociaż mogłoby się wydawać, że ataki na internautów z wykorzystaniem złośliwego oprogramowania straciły na znaczeniu na rzecz phishingu, to w dalszym ciągu są wykorzystywane przez cyberprzestępców. Z kolei najpopularniejszym źródłem dystrybucji malware jest poczta elektroniczna. Wiadomości spam są wysyłane na masową skalę do użytkowników, których adresy e-mail zostały ujawnione np. w wyniku wycieku danych ze sklepów internetowych, for czy portali społecznościowych. Cyberoszuści chcą w ten sposób dotrzeć ze swoim "przekazem" do jak największej liczby osób, a tym samym zmaksymalizować szansę na infekcję ich urządzeń złośliwym oprogramowaniem. Udana infekcja pozwala cyberprzestępcy na szereg możliwości (w zależności od zastosowanego szkodliwego oprogramowania). Od przechwytywania poufnych danych, przez ingerowanie w działanie urządzenia, po dostęp do bankowości internetowej czy platformy inwestycyjnej, a w konsekwencji pozyskanie znajdujących się na nich środków pieniężnych.
Wiadomość spam od BNP Paribas
W niniejszym artykule za przykład wiadomości spam ze złośliwym oprogramowaniem posłuży wiadomość pochodząca rzekomo z banku BNP Paribas.
Na pierwszy rzut oka wiadomość ta nie wzbudza podejrzeń. Jest profesjonalnie przygotowana, zawarte są w niej logotypy oraz prawdziwe dane na temat banku. Cyberoszuści tak przygotowują fałszywe wiadomości, aby jak najbardziej przypominały te oryginalne. Nieświadomy odbiorca nie weryfikując dokładnie wiadomości może być przekonany, że rzeczywiście pochodzi od rzeczonego banku. Tym bardziej, jeśli okaże się nim być klient banku BNP Paribas. Jednak jak mówi przysłowie — diabeł tkwi w szczegółach. Sprawdźmy więc najważniejsze elementy tej wiadomości.
Temat wiadomości to BNP Paribas - wyciąg bankowy. Jest to standardowa treść, nie ma w niej nic niepokojącego.
Nadawcą omawianej wiadomości jest BNP Paribas Bank Polska. Tutaj również nie ma nic co wzbudzałoby podejrzenia, gdyż jest to oficjalna nazwa banku. Oczywiście wyświetlaną nazwę nadawcy wiadomości można w prosty sposób modyfikować. Cyberoszuści w zależności pod jaką osobę lub instytucję się podszywają, stosują odpowiednią nazwę nadawcy wiadomości, które rozsyłają.
Adres e-mail powinien już wzbudzić podejrzenia, bowiem domena beep.pl w żaden sposób nie jest powiązana z bankiem BNP Paribas. Tym bardziej adres, gdzie w nazwie zawarte jest słowo hotel ciężko powiązać z instytucją bankową. Tutaj powinniśmy już założyć, że wiadomość nie pochodzi od wspomnianego banku i jest próbą oszustwa. Należy jednak zwrócić uwagę, że większość klientów czy systemów pocztowych domyślnie nie wyświetla pełnych adresów e-mail nadawcy wiadomości, a wyłącznie jego nazwę. Oszuści wykorzystują ten fakt, mając nadzieję, że większość odbiorców wiadomości spam nie weryfikuje adresów e-mail, z których one pochodzą.
Warto zwrócić uwagę na dane pracownika, który rzekomo jest nadawcą wiadomości, gdyż taka osoba rzeczywiście pracuje w omawianym banku (dane te są publicznie dostępne). Jest to często stosowany zabieg przez oszustów, gdzie wykorzystują dane konkretnej osoby powiązanej z firmą czy instytucją, pod którą się podszywają. Wszystko po to, aby uwiarygodnić się w oczach odbiorców swoich wiadomości spam.
Na koniec załącznik, który został dołączony do wiadomości. Sama nazwa nie jest podejrzana, ale rozszerzenie pliku już tak. Chociaż w nazwie zawarty jest skrót pdf co może oznaczać, że mamy do czynienia z dokumentem PDF i takiego się spodziewamy (większość danych jak wyciągi bankowe, czy potwierdzenia przelewu są zapisywane w formacie plików PDF) to rozszerzeniem pliku jest .img. Jest to plik obrazu dysk, który jest używany np. do przechowywania surowych obrazów dysków optycznych, jak płyty CD/DVD i danych się na nich znajdujących. Podobnie jak pliki archiwum danych (np. formaty .zip, .rar, czy .tar) mogą przechowywać np. dokumenty PDF, pliki audio czy wideo.
Podejrzany załącznik wiadomości spam
Rzekomo w załączniku zawarty jest wyciąg bankowy - informacja na temat przelewu bankowego z dnia 19 października 2022. Oczekujemy więc, że ostatecznie uzyskamy np. dokument PDF z danymi na temat wspomnianego przelewu. Po pobraniu załączony plik zostaje zapisany w wybranym folderze na komputerze.
Sugerując się ikoną oraz rozszerzeniem pliku można stwierdzić, że jest to wspomniany już plik obrazu dysku.
Po wypakowaniu zawartości okazuje się, że na pierwszy rzut oka jest to dokument PDF. Wskazuje na to ikona. Jednak rozszerzenie pliku tego nie potwierdza, ponieważ mamy do czynienia z plikiem w formacie .exe, czyli plikiem wykonywalnym w systemie operacyjnym Windows. Wszelkie programy i aplikacje przeznaczone na ten system zapisywane są właśnie w tym formacie. Warto w tym miejscu nadmienić, że domyślnie w systemie Windows rozszerzenia plików są ukryte. W tym przypadku zostosowany przez oszustów zabieg podmiany ikony mógłby się powieść. Ponadto w nazwie pliku zostały wykorzystane nadmiarowe białe znaki (spacja) występujące po pdf. Przez co przy widocznym rozszerzeniu pliku, w omawianym przykładzie jest ono przesunięte maksymalnie w prawo. Prawdopodobnie ma to na celu próbę ukrycia prawdziwego formatu pliku.
Nieświadomy użytkownik spodziewałby się dokumentu PDF z wyciągiem bankowym. Uruchomienie pliku WYCIAG_BANKOWY_5791_4Z39PP_000_M_0214-2022_WZE_2022-10-01_pdf .exe powoduje jednak infekcję urządzenia złośliwym oprogramowaniem Agent Tesla. To malware typu RAT (narzędzie zdalnego dostępu). Twórcy kreują go jako legalny program pozwalający na zdalne sterowanie komputerem. Jednak przez cyberoszustów Agent Tesla wykorzystywany jest do przejęcia kontroli nad zainfekowanym urządzeniem. Za jego pomocą mogą przechwytywać poufne dane — poprzez zrzuty ekranu, pozyskiwać dane ze schowka czy rejestrując naciskane przez użytkownika klawisze. Pozyskane dane mogą zostać użyte do kradzieży tożsamości i tym samym wykorzystane w różnych oszustwach lub do pozyskania środków pieniężnych znajdujących się np. na przejętych kontach bankowych.
Wszelkie wiadomości spam, które zawierają podejrzane dane i mogą stanowić zagrożenie można zgłosić poprzez formularz ZGŁOŚ INCYDENT.
Jak ustrzec się przed zagrożeniem.
Jak nie dopuścić do infekcji komputera złośliwym oprogramowaniem pochodzącym z wiadomości e-mail? Stosując się do kilku poniższych wytycznych możesz skutecznie ustrzec się przed zagrożeniem.
- Weryfikuj nadawcę wiadomości, przede wszystkim adres e-mail. Jeśli jest on niepowiązany z firmą czy instytucją, od której otrzymałeś wiadomość to możesz założyć, że jest to próba oszustwa.
- Jeśli nie masz pewności co do nadawcy wiadomości albo nie oczekujesz na wiadomość od danego podmiotu upewnij się, że nie jest to próba oszustwa. Skontaktuj się z daną instytucją poprzez oficjalne kanały komunikacji i zapytaj o otrzymaną wiadomość.
- Jeśli załączony do wiadomości plik wydaje się być podejrzany (dziwna nazwa lub nieodpowiednie rozszerzenie) nie pobieraj go. Chociaż samo pobranie pliku, którym może okazać się złośliwe oprogramowanie nie stanowi zagrożenia, to już próba jego instalacji może spowodować infekcję komputera.