A czy Ty opłaciłeś już fakturę?

Od kilku lat coraz popularniejszym atakiem wymierzonym w internautów, jest phishing. Więcej informacji na temat tego zagrożenia znajdziecie w jednym z naszych artykułów. Tym razem chcę rzucić więcej światła na szczególną formę phishingu, która opiera się na rozsyłaniu fałszywych powiadomień o fakturach lub nieuregulowanych należnościach. Od dłuższego czasu coraz więcej wiadomości tego typu krąży po sieci… Czy jest to nowy trend w atakach phishingowych?

Czy takie ataki są skuteczne?

Odpowiedź na powyższe pytanie nie jest prosta. Phishing nie jest nowym zjawiskiem i większość internautów wydaje się rozumieć problem fałszywej korespondencji i prób wyłudzenia danych. Niestety statystyki pokazują, że to wciąż lukratywny interes dla atakującego. Ataków jest coraz więcej i są bardziej wyrafinowane, w związku z czym niekiedy ciężko jest poznać czy ma się do czynienia z prawdziwą wiadomością, czy fałszywym komunikatem.

Bardzo ciekawe informacje na temat phishingu zaprezentowano całkiem niedawno na jednym z zagranicznych blogów[1]. Dane te pochodzą z badań przeprowadzonych przez IBM X-Force, a także firmę Symantec.

  • Liczba wiadomości spamowych wzrosła w 2016 roku czterokrotnie
  • 1 na 131 wiadomości e-mail zawiera szkodliwe oprogramowanie
  • Najczęściej spotykanym rodzajem phishingu jest fałszywa faktura
  • Z danych uważanych za wrażliwe, atakujący najczęściej próbują pozyskać Apple ID

Jedna z zaprezentowanych statystyk wskazuje, że to właśnie fałszywe faktury są najczęściej używane w atakach phishingowych. Powodów takiego stanu rzeczy jest kilka. Po pierwsze prawie każdy opłaca regularnie rachunek za przynajmniej jedną usługę. Dzięki temu  grupa docelowa wybrana przez atakującego jest dość duża. Po drugie elektroniczne faktury są obecnie promowane przez samych dostawców. Niektórzy obniżają nawet cenę abonamentu o kilka złotych, jeżeli użytkownik zastąpi tradycyjną fakturę jej cyfrowym odpowiednikiem. Ten fakt także sprawia, że internauci w swoich skrzynkach mailowych znajdują elektroniczne faktury częściej, niż jeszcze kilka lat temu i przez to są bardziej podatni na ich fałszywe wersje.

Fałszywe faktury były najczęściej wykorzystywane do ukrywania złośliwych załączników. Źródło: Symantec https://www.symantec.com/security-center/threat-report
Fałszywe faktury były najczęściej wykorzystywane do ukrywania złośliwych załączników.
Źródło: Symantec https://www.symantec.com/security-center/threat-report

Jak widać phishing staje się coraz większym problemem i mimo nagłaśniania większych ataków przez różne media, wciąż opłaca się tworzenie nowych wiadomości, które mają zachęcić ofiary do określonego działania (np. otwarcia załącznika).

Najważniejsze tkwi w szczegółach…

Aby lepiej uzmysłowić o jakim rodzaju ataku mówimy, poniżej znajduje się przykład faktury, która rzekomo pochodzi od dostawcy usług telekomunikacyjnych – Plusa, ale w rzeczywistości nie mającego nic wspólnego z tym operatorem.

Źródło: https://zaufanatrzeciastrona.pl/post/alert-twoja-zielona-faktura-plus/
Źródło: https://zaufanatrzeciastrona.pl/post/alert-twoja-zielona-faktura-plus/

Powyższa informacja o fakturze jest nieprawdziwa i wskazuje na to kilka elementów.

  • Nietypowy adres email, z którego nie korzysta Plus. Warto też zauważyć, że w domenie jest błąd. W nazwie mamy e@fakturplus.pl, natomiast w treści listu czytamy już o e@fakturaplus.pl. Brak litery „a” można łatwo przeoczyć, ale to właśnie dzięki takim drobiazgom najłatwiej zauważyć, że jesteśmy atakowani
  • Prośba o zapisanie pliku na dysku lokalnym to wydawać by się mogło mało znacząca wskazówka. Większość użytkowników zrobiłaby to tak czy inaczej. Jednak pojawienie się takiej informacji w liście może sugerować, że nadawcy zależy by załącznik znalazł się na dysku. W tym konkretnym przypadku – złośliwy załącznik
  • Brak informacji do kogo adresowana jest wiadomość. W treści nie został podany identyfikator klienta, ani nawet jego imię. Obecnie wielu dostawców w celu uniknięcia pomyłki, podaje informację do kogo adresowany jest list

Jak mogłoby się skończyć otwarcie załącznika? Niestety doszłoby do infekcji komputera, co w kolejnym etapie mogłoby doprowadzić do wycieku danych z (szczególnie niebezpieczne dla firm i instytucji).

Portal Virustotal jednoznacznie wskazuje, że ten załącznik jest szkodliwy.
Portal Virustotal jednoznacznie wskazuje, że ten załącznik jest szkodliwy.

Bardzo realne jest też zaszyfrowanie całego komputera i wymuszenie na użytkowniku okupu, w celu odzyskania plików. Właśnie z tego powodu tak ważne jest regularne tworzenie kopii zapasowych.

Podsumowanie

Myśl jaka przyświecała mi w czasie pisania tego felietonu, była chęć podzielenia się świeżymi statystykami dotyczącą fałszywych faktur. Zdaję sobie jednak sprawę z tego, że jeden tekst nie ukazuje pełni problemu. Nie ma dnia, żeby portale branżowe nie ostrzegały przed nową falą ataków tego typu. Dlatego wkrótce opublikujemy obszerny artykuł, w którym pokażemy w jaki sposób odróżniać prawdziwe wiadomości od fałszywych i jakie mogą być konsekwencje udanego ataku phishingowego. Zachęcamy do regularnego odwiedzania naszego bloga.

[1] https://blog.barkly.com/phishing-statistics-2017