Właśnie dostałem wiadomość, która wysłana została przez cyberprzestępców. Podszywają się oni pod Orange i informują, że należy opłacić fakturę. Wiadomość wygląda na autentyczną, poza adresem e-mail, który składa się z imienia i nazwiska, a także domeny, która należy do faktycznie istniejącego przedsiębiorstwa.
Fałszywy e-mail od Orange z fakturą
Wiadomość zatytułowana jest „e-faktura Orange 05.2020″, a jej treść bardzo przypomina prawdziwy dokument. Oszuści podają numer klienta – 67644306 – i numer rozliczenia – 11459103366332. Termin wystawienia rzekomej faktury to 17.05.2020 r., a jej termin płatności to 30.05.2020 r.
Poniżej znajdują się typowe klauzule, wskazujące na rzekomą autentyczność wiadomości. Podane są nawet linki do „Polecenia Zapłaty”, czy też „Płatności Elektronicznej”, jak i do systemu „Mój Orange”. Co istotne, nie wydaje się, by same załączone linki prowadziły do spreparowanych stron – przekierowują do Orange i zapewne ma to dodać autentyczności.
Do wiadomości załączony jest plik faktura_1705.xlsm, będący tak prawdę złośliwym oprogramowaniem. Zdecydowana większość programów antywirusowych nie wykrywa zagrożenia, a więcej informacji na ten temat można zobaczyć tutaj.
Od kogo przyszedł e-mail?
Wiadomość e-mail zawierająca szkodliwe oprogramowanie wysłana została wysłana z konta marlena.xxxxxx1@xxx.pl (celowo zmienione dane). Firma XXX faktycznie istnieje. Zadzwoniłem nawet do siedziby przedsiębiorstwa, by uprzejmie poinformować o możliwym incydencie bezpieczeństwa. Rozmawiająca ze mną kobieta stwierdziła, że wiadomość mam zignorować, a cała sytuacja wynika z tego, że
no mamy jakiś błąd systemu
Przejęcie dostępu do konta e-mail, bądź nawet całego panelu administracyjnego (bo po nazwisku występuje cyfra, prawdopodobnie skrzynkę założyli cyberprzestępcy do swoich celów) to nie jest „jakiś błąd systemu”, a dosyć poważna sprawa.
CERT Polska w odpowiedzi na informację o fałszywej fakturze od Orange, tłumaczy, że
„faktura” znajdująca się w załączniku w rzeczywistości jest programem pośredniczącym w pobieraniu i instalacja złośliwego oprogramowania Danabot specjalizującego się w przejmowaniu kont użytkownika.
Jeżeli plik został uruchomiony, zaleca się reinstalację systemu i zmianę wszystkich haseł, w szczególności tych, które dotyczą bankowości elektronicznej, czy najpopularniejszych usług. Wirus jest zagrożeniem dla systemu Windows, bo system macOS wydaje się być w tym wypadku bezpieczny.
Odpowiedzialność karna
Przejęcie dostępu do systemu i wysyłanie fałszywych e-maili, podszywając się pod nadawcę, a także infekowanie komputerów, wykradając dane, może wyrażać się w zbiegu kilku przestępstw. Samo stosowanie tego typu oprogramowania, to przestępstwo z art. 268 Kodeksu karnego, które stanowi w par. 1, że:
Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Tak samo jest karany również sprawca, który jedynie posługuje się oprogramowaniem przeznaczonym do wykradania danych.
Zastanawia mnie również jak to możliwe, że w ogóle dostałem tego typu wiadomość. Przyszła ona na skrzynkę, którą wykorzystuję rzadko i niezwykle ostrożnie – nie da się tego adresu po prostu wyszukać w internecie. Bardzo możliwe, że proceder poprzedził jakiś wyciek – bowiem baza e-maili nie bierze się znikąd.