13:10
18/11/2019

Ktoś nieźle podszywa się pod DHL i pod pretekstem przesłania formularza zwrotu przesyłki wysyła zainfekowany załącznik Excela. Jeśli ofiara go uruchomi i zgodzi się na wykonanie makra, jej komputer zostanie zainfekowany.

Oto jak wygląda wiadomość (dziękujemy Tomaszowi za jej przesłanie), która wielu naszym czytelnikom ominęła SPAM.

Szanowni Państwo,
Uprzejmie informujemy, że zlecenie na odbiór przesyłki zwrotnej 29857425050 zostało zarejestrowane pod numerem: 7204451298WWW
Odbiór przesyłki nastąpi w dniu 19.11.2019, w planowanych godzinach od 10:00 do 14:00.
Prosimy o wydrukowanie załączonego listu przewozowego.
Wydrukowanie listu przewozowego jest konieczne żeby nadać paczkę.
Aktualny status zlecenia mogą Państwo śledzić na stronie: DHL śledzenie przesyłki
Pozdrawiamy,
DHL Parcel
www.dhlparcel.com.pl

i załącznik:

Ostrzeżcie swoich pracowników, aby nie otwierali takich przesyłek — chociaż w tym przypadku, jeśli dojdzie do infekcji winny będzie dział IT, który naprawdę miał sporo możliwości (i czasu) na to, aby takie ataki — nawet pomimo kliknięcia — nie były dla pracowników zagrożeniem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Ach ten nieodpowiedzialny dział IT, a przecież miał czas by skorzystać z płatnego szkolenia organizowanego przez niebezpiecznik

    • Link z hasłem “wiele możliwości” prowadzi do agenty szkolenia, która te możliwości opisuje. Nie implikuje tego, co Ty sugerujesz.
      Nawet bez uczestniczenia w szkoleniu można z jego opisu wyczytać wiele rozwiązań i się zainspirować. A szkolenie polecam, byłem i otwiera oczy na to co można zrobić w środowisku Windowsowym stacja + kontroler domeny, aby ograniczyć efekty złośliwego oprogramowania. Od ransomware do makr w Office. Maciek ma doświadczenie i podsuwa darmowe rozwiązania. Więc na każdą kieszeń, nie tylko dla dużych korporacji.

  2. a wiadomo czym ów załącznik zainfekowany ?.

    • Wiadomo! Wirusem!

  3. Kliknąłem wydrukować :/ Ale nie było żadnej akcji. O co Kaman?

  4. […] Uwaga na e-maile z tematem “zwroty DHL” — Niebezpiecznik.pl — […]

  5. Witam

    Wydawało mi się że uczuliłem żonę na to jak bezpiecznie korzystać z internetu i skrzynki email , no! wydawało mi się!
    Żona otworzyła Excela ale nie klikała drukuj, czy to ratuje sytuacje.
    Oranie systemu nie bardzo mi się uśmiecha.

    • To zależy. Przy domyślnych ustawieniach Excela powinien pod wstążką pojawić się żółty pasek z zapytaniem: „Czy włączyć makra”? Jeżeli włączyła, prawdopodobnie już po ptakach, jeżeli nie, zalecam szybkie wyłączenie komputera i przeskanowanie za pomocą płyty/pendriva ratunkowego- jest szansa, że nic się jeszcze nie uruchomiło.

    • Zamiast systemu przeoraj żonę, pomoże!

  6. Właśnie ja dzisiaj też z tym miałem akcję. Jeden z pracowników kliknął to badziewie bo mail zrobiony pierwsza klasa, a akurat spodziewał się, że będzie musiał odesłać przesyłkę bo na sprzęt na wypożyczeniu. Kliknął też Wydrukować z rozpędu ale nic się nie wydarzyło. System przeskanowany ESETem i Malwarebytes i generalnie zero zagrożeń. Eset dopiero po czasie zaczął wyłapywać to badziewie. Też się zastanawiam właśnie czy orać tego kompa czy nie…

  7. Czy jak kliknąłem drukuj, a kliknąłem mam przesrane? Kliknięcie drukuj nie wywołało żadnego zdarzenia, ale nie wiem, czy teraz mam wiruas, czy nie.
    Mam antywirusa Kaspersky, ale skoro to coś nowego to mogło nie wykryć?

  8. Czy omawiany problem dotyczy tylko użytkowników Windowsów? Czy Libre0ffice też jest podatne?

  9. Może głupie pytanie ale jakim cudem domena @dhl.com nie jest zabezpieczona przed spoofingiem?

    • SMTP FROM != Header From:

  10. Czy ktoś odpowie skoro po kliknięciu nie było żadnej akcji i kaspersky nie wykrył wirusa to czy nic się nie uruchomiło???

    • Właśnie, że Kaspersky złapał od razu ten załącznik jako zagrożenie.

  11. szkoda, że nikt nie napisał co blokować nie mówiąc już o tym co załącznik powoduje

    generalnie podaję adresy/porty

    reloffersstart[.]co – pobiera złośliwy kod
    mantoropols[.]xyz – wysyła dane

    37.228.132.240 – adres ip powiązany

    najczęściej na porcie 52236

    proponuję na jakiś czas wyciąć słowa kluczowe DHL – mniejsze zło

    Generalnie podziwiam politykę portalu – wina działu IT. Jesteście super!

    • Zgadzam się że infekcja malwarem to wina działu IT. To nasz, informatyków, obowiązek aby wszystko co nie jest atakiem socjotechnicznym zdusić. Od lat znane są metody blokowania lub ograniczania makr. Infekcja tym wektorem ataku w środowisku firmowym to jest w 100% wina IT, czy ci się to podoba, czy nie. Należy założyć że pracownicy będą we wszystko klikać, kto tak nie myśli a pracuje w IT powinien zmienić zawód.

    • Wystarczy ustawić politykę na serwerze domenowym blokującą uruchamianie makr w programach pakietu Office i można spać spokojnie, jeżeli chodzi o ten typ ataku.

  12. Wg Bitdeffendera to: VB:Trojan.VBA.Agent.AWS

  13. Takie coś miałem na dniach od fedexu abym zapłacił za paczkę na oprawie celnej i numer konta – faktycznie zmawiam paczki i bywają na odprawie. Ale to jakiś pewnie pracownik fedexa chce dorobić pisząc meile bo one nie podlegają nigdy cłu jakie ktoś mi wyliczył więcej niż wartość całej paczki. Jak pisałem o wyjaśnienie do fedexu to milczą nie dopisali mi na 5 krotne wysłanie prośby o wyjaśnienie sytuacji dlaczego otrzymałem takie informacje z ich własnego maila prawdziwego

  14. Mój Kaspersky od razu ostrzega przed otwarciem takiego załącznika.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: