20:56
15/10/2018

Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.

TYP ATAKU

[M]alware
[S]pam

ZAWARTOŚĆ

From: “Przelewy24 (50858368286)” wnacw@whf.ind.in
Subject: Potwierdzenie transakcji: 50858368286
Dialcom24 Sp. z o.o. – www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

POTWIERDZENIE TRANSAKCJI
Data: piątek, 12-10-2018
Wpłacający:
Tytułem: P12-907-660
Opis: 550858368286/61326518
Kwota: 1433.93 PLN
Link do faktury: Faktura[1]

Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

IOC


[1] hxxp://www.arujogi[.]club/nccztz/rkncntj.php

PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. Ja dostałem przed chwilą SMS z linkiem kierującym na kopie strony przelewy24
    Nadawca: TEST
    Treść: Wysylka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza anulowanie zamowienia.
    http://pk999[.] pl/1

    • Hmm, też mam od tego nadawcy sms, tyle że w treści mam że paczka czeka na odebranie i link pozorujący inpost

  2. U mnie Faktura prowadzi do

    http://www.saharaincorporated[.]com/ddscpwab/qqzfnrz.php

  3. Atak wymierzony w Androida czy PC ? Bo mój ojciec dał się wkręcić :( i pobrał jakiś plik zip. Wg skaneru virustotal trojan itp. , jednak system zgłosił że nie potrafi tego otworzyć. I teraz się zastanawiam czy poza standardowymi procedurami bezpieczeństwa czyszczenie kompa również konieczne..

    • Niektóre wirusy/trojany same z siebie wyświetlają tego typu komunikat po instalacji w systemie, wielu ludzi w takim przypadku próbuje otworzyć go na innym komputerze.

  4. U mnie w firmie osoba odpowiedzialna za przelewy otworzyła. Jeden z banków po tym zablokował dostęp do konta firmowego, zatem zapewne wirus wykradł hasła.

  5. Nowa wersja z 2018-10-14

    http://mondulcity[.]com/vueloag/wejja.php

  6. Świeża dostawa z dzisiejszego maila:
    http://duanguavietnam.com/wp-content/uploads/2018/10/rdreqgk/lrwsuoem.php

  7. rozsyłane dosyć mocno na polskie adresy. Co się dzieje po rozpakowaniu jednego i drugiego archiwum? zrobił ktoś analizę? Ewentualne kroki po kliknięciu? moze się przydać

  8. Dzisiejszy mail:
    http://stalea.kuz.ru/wp-content/uploads/2018/10/fjrtp/yomih.php

  9. I ja się dorzucę:
    http://droswaltr.com/wp-content/uploads/2018/10/qjbohd/nvbxpqb.php

  10. 30 paź 2018 13:19 (11 godzin temu)
    Od: Przelewy24 (64810050851)
    Do:
    mnie
    Temat: Potwierdzenie transakcji: 64810050851
    Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

    POTWIERDZENIE TRANSAKCJI

    Data: sroda, 24/10/2018

    Wpłacający:
    Tytułem: P55-355-595

    Opis: 564810050851/47670805

    Kwota: 3714.83 PLN

    Link do faktury: Faktura

    Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

  11. Ta sama treść, podrzucam link:

    http://link-evolution.com/wp-content/uploads/2018/10/tgeeowbh/vpoevx.php

  12. Kolejny adres:
    http://sybel.com/jnpesd/bpsxx.php

  13. kolejny adres, ale co ciekawe tym razem strona faktycznie istnieje… sprawdzałem samą domene w google.
    http://www.glowmedicals.com/edpqa/mkbiquc.php

  14. Przelewy24 (15609218929) nowy adres z 21 listopada 2018

  15. Z dzisiaj..
    POTWIERDZENIE TRANSAKCJI

    Data: sroda, 14-11-2018

    Wpłacający: [ciach]@[ciach].pl

    Tytułem: P58-587-113

    Opis: 538118501971/74768506

    Kwota: 8799.48 PLN
    Link do faktury: Faktura
    [i tu link]
    https://www.puromais.com.br/pqurt/wwxynkhz.php

  16. przelewy24.pl, zniknięcie środków z konta
    dzień dobry, przepraszam że pytam, jestem świeżym użytkownikiem serwisu przelewy24.pl,
    otrzymałem informacje mailem, że przelewy24.pl, pobrały z mojego konta pieniądze po czym jej zwróciły. W ich korespondencji brakuje jakichkolwiek danych kto autoryzował przelew, czego dotyczy. Sęk w tym że to wszystko bez mojej zgody. Czy ktoś miał podobny problem i czy może mi pomóc.

  17. Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

    POTWIERDZENIE TRANSAKCJI

    Data: 16/01/2019

    Wpłacający:

    Tytułem: P58-580-228

    Opis: 525425140592/99318911

    Kwota: 2423.20 PLN

    Link do faktury: Faktura

    Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

  18. 22 stycznia dostałem i ja:

    Od: Przelewy24 (85864292834)
    Do:
    mnie
    Temat: Potwierdzenie transakcji: 85864292834
    Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

    POTWIERDZENIE TRANSAKCJI

    Data: czwartek, 17/01/2019

    Wpłacający:

    Tytułem: P62-818-410

    Opis: 585864292834/94045269

    Kwota: 3532.35 PLN

    Link do faktury: Faktura (http://kruktrans.waw.pl/wp-content/dL47kb6R/nfloyk/nrkdpuef.php)

    Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

    Niestety kliknąłem w link, przekierowało na stronę i wyskoczyło server not found czy jakoś tak, ogólnie jakiś błąd. Czy to oznacza że zainfekowałem już komputer? Nic nie instalowałem ani nie ściągałem czy rozpakowywałem. Czy czyszczenie kompa w tej sytuacji jest konieczne?
    Będę wdzięczny za informację.

  19. Ja trafiłem na tą stronę, bo szukałem informacji dotyczącej przelewu, który de facto otrzymałem. Adres siedziby taki, jak wyżej. O kurde… Ktoś może zgłosić się po odbiór? ;)

  20. 88,00 PLN
    Tytuł płatności P24-V32-M41-N22 M3475-78941
    Rodzaj transakcji Płacę z Alior Bank
    Data transakcji 2021-08-25
    Data księgowania 2021-08-25
    Numer referencyjny ADMzM5vQAI0vJmH8CwAA

    Czy można to gdzieś zgłosić, aby odzyskać pieniądze? I na co uważać? Ja nawet nie wiem jak to się stało, w którym momencie ten link się uaktywnił…

  21. właśnie dostałam przelew z tymi danymi nadawcy? nie maila z potwierdzeniem przelewu, tylko normalny przelew w aplikacji bankowej?! nie mam pojęcia o co chodzi, proszę o info

    • Mam to samo. Dostałam kasę na konto i nie wiem, czy mogę teraz zrobić przelew, bo dziś miała za coś zapłacić…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: