23/3/2015
Jeden z naszych czytelników ostrzega przed nowymi e-mailami wysyłanymi rzekomo w imieniu Poczty Polskiej. Poniżej prezentujemy treść wiadomości oraz link do fałszywego serwisu, który nakłania ofiarę do pobrania i uruchomienia złośliwego oprogramowania pod pretekstem informacji o niedostarczonej paczce.
Oto wygląd e-maila (dzięki uprzejmości Kamila):
A to docelowy link ukryty w e-mailu pod hiperłączem:
hxxp://poczta-s.net/track/index.php
Po podaniu CAPTCHA namawia do pobrania zainfekowanego pliku:
Pierwsza czerwona lampka:
adres mailowy support3
domena *.pw
Druga czerwona lampka
Tytuł: akt twojego zamówieniu
Trzecia najbardziej widoczna:
paczkę na poczcie należy odebrać w ciągu max 14 dni dla przesyłek niepsujących się
Trochę naciągasz swoje dywagacje. Co jest nie tak w przypadku adresu “support3”? Mogą mieć support1, support2 i support3 przeznaczone do innych zadań. Adres .pw może się wydawać podejrzany ale jest to normalne zachowanie przykładowo Xilinx wysyła oficjalne powiadomienia z adresu “xilinx.notification@entitlenow.com”.
Istotnie jest typowe paczki są przechowywane tylko przez 14, ale tak było wczoraj i dzisiaj, masz gwarancję że jutro tak nie będzie?
A klikniecie w “unsubscribe” pokaże u kogo na mailingu takie rzeczy są?
Jeszcze kapcia wymagają aby syf ściągnąć, niedoczekanie! ;]
Jeszcze trochę a scammerzy będą prosić użytkownika o przesłanie mu haseł pocztą i samodzielne szyfrowanie własnych plików ;)
Gdzie te wygodne czasy kiedy syfa łapało się bez samodzielnego ściągania i instalowania trojanów?
Dzięki za informację, właśnie dostałem maila z adresu: poczta-s.net o rzekomej nieodebranej paczce.
Nie podajecie jaką lukę wykorzystują. Z obrazków wynika że, trzeba rozpakować archiwum rarem, a w nim ma być jakiś pdf. Z tego można wywnioskować, że albo jakaś luka rara, albo acrobata. Jeśli tak, to najprościej archiwum otworzyć czymś innym (7zip?) i pdfa też czymś innym (sumatra?).
A co jeśli w archiwum …nie ma PDF-a? :-)
Teraz przydałaby się jakaś rada jak sprawdzić, rozpoznać i ewentualnie usunąć z komputera tą infekcję
To też fałszywka bo nigdy z FeDex company nie korzystałem.
FeDex company
Szanowny kliencie,
Staraliśmy się dostarczyć twoją przesyłkę 2 kwietnia 2015 roku, 11:30 am.
Próba doręczenia nie powiodła się, że adres został zamknięty i nikt nie był w stanie uzyskać.
Aby odebrać paczkę, prosimy o wydrukowanie kwitu,
który jest dołączony do poczty elektronicznej lub odwiedzić biuro Fedex, określony w fakturze (kwitu).
Jeśli przesyłki nie odebrać w ciągu 48 godzin, zostanie ona zwrócona do nadawcy.
Konto / Numer kwitu: 44364578782324452
Oczekiwana data dostawy: 2 kwietnia 2015
Klasa: Międzynarodowe usługi dostawy
Usługa (i): potwierdzenie odbioru
Statusu: Zawiadomienie wysłane
Copyright© 2015 FEDEX. All Rights Reserved.
*** To jest domyślna wygenerowana automatycznie e-maila, prosimy nie odpowiadać ***
W załączniku plik zip.
Źródło: The source host name is “host59-65-dynamic.2-87-r.retail.telecomitalia.it” and the source IP address is 87.2.65.59.
Plik zip to 44364578782324452.scr (Źródło: The source host name is “host59-65-dynamic.2-87-r.retail.telecomitalia.it” and the source IP address is 87.2.65.59.
)”FeDex company”
FeDex<packageF@package.org
Dzisiejsza przesyłka z “Poczty Polskiej”:
From: 31351 Poczta Polska [support3@poczta-pol.org]
Subject: 2555335 Potwierdzenia otrzymania zamówienia
Dzień dobry!
Twoja paczka nie została doręczona pod adres wysyłki w dniu 2 kwiecien 2015, ponieważ nikogo nie było w domu. Kliknij na link w celu otrzymania informacji dotyczącej twojej paczki w naszym serwisie. Wydrukuj informacje dotyczące paczki, niezbędne do jej odbioru w najbliższym biurze naszej firmy.
Wydrukuj dane dotyczące twojej przesyłki (link nieotwierany przeze mnie)
Uwaga!
Przechowywanie przesyłki ponad 30 dni wiąże się z naliczeniem kary. Na naszej stronie znajdziesz wszystkie informacje dotyczące przechowywania oraz opłat.
Z powazaniem,
Poczta Polska.
——————————————————————————–
Unsubscribe (link nieotwierany przeze mnie)
2015 Poczta Polska
Dziś otrzymałem tą samą wiadomość tylko z adresu supp7@pol-poczta.org.
Widocznie nie poddają się i dalej szukają ofiar :)
Ja byłam na tyle nierozsądna żeby klikać i pokazało mi że strona nie może być wyświetlona. Przeskanowałam dwa razy kompa avg i nic nie wykrył. Niczego nie instalowałam, bo też i nigdy bym czegoś takiego nie zrobiła, z resztą link jak napisałam nie działa. Myślicie że trzeba jeszcze w jakiś inny sposób sprawdzić kompa??
Witam.
Ja niestety otrzymałam coś takiego:
“64934 Poczta Polska” i otwarłam gdyż dzień wcześniej wysłałam paczkę – MASAKRA …
Źródło:
Dzień dobry!
Twoja paczka nie została doręczona odbiorcy w dniu 3 lipiec 2015, ponieważ nikogo nie było w domu. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczace twojego zamówienia na naszej stronie internetowej. Do odebrania przesyłki należy wydrukować informacje i udać się do najbliższego biura.
Przejdź do otrzymania danych dotycza cych przesyłki
Z powazaniem,
Poczta Polska.
Dlaczego kasuje się podane przeze mnie źródło?
” <przemyslaw@poczta-plsk.info"
Uwaga, temat jak najbardziej nadal jest aktualny. Ja dzisiaj dostałem takiego mejla. Wklejam link do rzekomego śledzenia przesyłki: http://194.58.118.123/poczta-s/index2.php
Temat wciąż aktualny!!!:
“Od:
Środa, 23 Grudnia 2015 11:30
6477 Poczta Polska
Temat:
73722678 Rachunek z tytulu przechowywania przesylki
Dzien dobry.
Twoja paczka nie zostala doreczona pod adres wysylki w dniu 16 grudzien 2015, poniewaz nikogo nie bylo w domu. Wydrukuj informacje dotyczace paczki, niezbedne do jej odbioru w najblizszym biurze naszej firmy.
Prosze otworzyc zalacznik.
Uwaga!
W razie jezeli zamówienie nie zostanie odebrane w okresie 30 dniu, firma nalicza oplate z tytulu przechowywania. Na naszej stronie znajdziesz wszystkie informacje dotyczace przechowywania oraz oplat.
Z pozdrowieniami,
Poczta Polska.”
Przestrzegam!
Przy okazji Spokojnych Świąt!, bez takich baboli.
Szanowny kliencie,
Staralismy sie dostarczyc twoja przesylke 10/8/2015 08:28:14
Proba doreczenia nie powiodla sie, ze adres zostal zamkniety i nikt nie byl w stanie uzyskac.
Aby odebrac paczke, prosimy o wydrukowanie kwitu, ktory jest dolaczony do poczty elektronicznej lub odwiedzic biuro Fedex, okreslony w fakturze (kwitu).
Jesli przesylki nie odebrac w ciagu 48 godzin, zostanie ona zwrocona do nadawcy.
Konto / Numer kwitu: 4426798224328167
Oczekiwana data dostawy: 10/8/2015
Klasa: Miedzynarodowe uslugi dostawy
Usluga (i): potwierdzenie odbioru
Statusu: Zawiadomienie wyslane
Dziekuje
Copyright© 2015 FEDEX. All Rights Reserved. *** To jest domyslna wygenerowana automatycznie e-maila, prosimy nie odpowiadac ***
jak pozbyć się takiego spamu
Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:35897)
by ps18.m5r2.onet (Ota) with LMTP id 4F010A4B38E57
for ; Thu, 8 Oct 2015 13:04:39 +0200 (CEST)
Received: from mxout1.rambler.ru (mxout1.rambler.ru [81.19.67.203])
by mx.poczta.onet.pl (Onet) with ESMTP id 3nWqRp32RJz1Cnjx;
Thu, 8 Oct 2015 13:04:38 +0200 (CEST)
Received: from saddam2.rambler.ru (saddam2.rambler.ru [10.32.16.2])
by mxout1.rambler.ru (Postfix) with ESMTP id 1D0D0C39AD6;
Thu, 8 Oct 2015 11:35:43 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=rambler.ru; s=mail;
t=1444293343; bh=mjWslajRIVFQUPxjW7/6FX6psr0bMGIvIug+nrOjppw=;
h=From:To:Reply-To:Subject:Date;
b=SgWGs+C3Ag9EwNE6+FtMU6PXKewya36srhEKRGaOwYqdyrrtiDQfDyIUSTKEmY8XM
URQzmQZJJpTkNmhHSEaSYe6ZvGCU2rdgYqw2Oc3BbdXp6dbB1VPlKLGeFSpqM9cOxK
5KyPTJ3N65+JGc9hSJtCYqNrMgqBdtyzHaepZs2E=
Received: from localhost.localdomain (localhost [127.0.0.1])
by saddam2.rambler.ru (Postfix) with ESMTP id 05548109023A;
Thu, 8 Oct 2015 11:35:43 +0300 (MSK)
Received: from [174.55.140.151] by mail.rambler.ru with HTTP; Thu, 8 Oct 2015 11:35:42 +0300
From: “Fedex Support”
To: mike2@op.pl, stefan1214@op.pl, s.g1@o2.pl, yyoshimu@smail.plala.or.jp, krzysiek_kulik@wp.pl, kamiltobias47@wp.pl, jpjpjp3@o2.pl
Reply-To: =?koi8-r?B?98nLwSDzwcDL?=
Subject: Informacja o awizowaniu przesylki – Fedex – 4458567813953328
Date: Thu, 8 Oct 2015 11:35:42 +0300
Content-Transfer-Encoding: 7bit
Content-Type: multipart/mixed; boundary=”_———-=_14442933421400431″
Message-Id:
MIME-Version: 1.0
X-Mailer: Rambler WebMail, http://mail.rambler.ru/
X-Rambler-User: dev40n04k0@rambler.ru/174.55.140.151
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 018 02314 4F010A4B38E57 0.505536
X-ONET_PL-MDA-From: dev40n04k0@rambler.ru
X-ONET_PL-MDA-Spam: NO