8:39
7/8/2018
7/8/2018
Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.
TYP ATAKU
[P]hishing
ZAWARTOŚĆ
Wczoraj wieczorem do Polaków rozesłano SMS-y z numeru INFO o treści:
Masz zaleglosc w abonamencie na kwote 7zl. Zaplac teraz i uniknij blokady polaczen i SMS. Link wazny 1h. http://platnosc883.pl/saldo/payment.php?p=7
Nie udało nam się określić, jaki rodzaj bramki płatności był wykorzystywany przez atakujących — ale takie ataki już miały miejsce w przeszłości z wykorzystaniem Dotpay’a.
UPDATE:
PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Bramka Dotpay.Wybór banku + wymóg podania imienia nazwiska i emaila.
PS Mam zrzut.
Podeślij na redakcja@ pls, wrzucimy.
No proszę – domena kieruje do jakiegoś hosta BŁiI Policji.
host platnosc883.pl
platnosc883.pl has address 91.229.22.126
platnosc883.pl mail is handled by 10 platnosc883.pl.
$ curl ipinfo.io/91.229.22.126
{
“ip”: “91.229.22.126”,
“hostname”: “policja.gov.pl”,
“city”: “Warsaw”,
“region”: “Mazowieckie”,
“country”: “PL”,
“loc”: “52.2500,21.0000”,
“postal”: “02-624”,
“org”: “AS198704 Komenda Glowna Policji”
Widać Polska policja jest zbyt zajęta ściganiem protestujących i dawców odzieży dla pomników żeby własne serwery zabezpieczyć.
Brawo dla nich, szybko zareagowali i zrobili oszustom swego rodzaju psikusa. Czyżby cert.gov.pl zareagował, czy to jakaś “oddolna” inicjatywa?
Co to jest IOC?
Indicator of Compromise – zobacz https://en.wikipedia.org/wiki/Indicator_of_compromise
Indicator of compromise – artefakt, który pozwala na identyfikację zloczynca
śmiesznie wygląda reklama ‘to nie żart, jesteś naszym 1.000.000 gościem, wygraj smartfon’ na niebezpieczniku :D pilnujcie trochę tych swoich reklam
To Google – zgłaszaj te reklamy. Wiesz przecież jak to działa.
jakie reklamy?
To wy widzicie w necie jakieś reklamy??
Ja nie widzę żadnych reklam, bo mam zainstalowane rozszerzenie Adblock Plus do Firefoksa (dostępne również u konkurentów). Polecam zainstalować to rozszerzenie (Firefox): menu Narzędzia -> Dodatki -> Znajdź więcej dodatków -> w polu Szukaj: Adblock Plus -> Adblock Plus -> Dodaj… i dalej postępować zgodnie ze wskazówkami na ekranie.
Dzisiaj ta sama stronka (mam screen) z adresem dhlpay.pl, domena zarejestrowana dziś w nocy o 01:28, . Treść SMSa (z numeru DHLcośtam): Prosimy o doplate 1zl. Wysylka pod wskazany adres jest drozsza niz zakladalismy.
https://dhlpay.pl/lIll15/payment.php?p=1