17:30
23/3/2015

Jeden z naszych czytelników ostrzega przed nowymi e-mailami wysyłanymi rzekomo w imieniu Poczty Polskiej. Poniżej prezentujemy treść wiadomości oraz link do fałszywego serwisu, który nakłania ofiarę do pobrania i uruchomienia złośliwego oprogramowania pod pretekstem informacji o niedostarczonej paczce.

Oto wygląd e-maila (dzięki uprzejmości Kamila):

11008642_795080563873830_2047437654388566174_o

A to docelowy link ukryty w e-mailu pod hiperłączem:
hxxp://poczta-s.net/track/index.php

Po podaniu CAPTCHA namawia do pobrania zainfekowanego pliku:
Śledzenie_przesyłek_-_Tracking___emonitoring_poczta-polska_pl

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

21 komentarzy

Dodaj komentarz
  1. Pierwsza czerwona lampka:
    adres mailowy support3
    domena *.pw
    Druga czerwona lampka
    Tytuł: akt twojego zamówieniu
    Trzecia najbardziej widoczna:
    paczkę na poczcie należy odebrać w ciągu max 14 dni dla przesyłek niepsujących się

    • Trochę naciągasz swoje dywagacje. Co jest nie tak w przypadku adresu “support3”? Mogą mieć support1, support2 i support3 przeznaczone do innych zadań. Adres .pw może się wydawać podejrzany ale jest to normalne zachowanie przykładowo Xilinx wysyła oficjalne powiadomienia z adresu “xilinx.notification@entitlenow.com”.
      Istotnie jest typowe paczki są przechowywane tylko przez 14, ale tak było wczoraj i dzisiaj, masz gwarancję że jutro tak nie będzie?

  2. A klikniecie w “unsubscribe” pokaże u kogo na mailingu takie rzeczy są?

  3. Jeszcze kapcia wymagają aby syf ściągnąć, niedoczekanie! ;]

  4. Jeszcze trochę a scammerzy będą prosić użytkownika o przesłanie mu haseł pocztą i samodzielne szyfrowanie własnych plików ;)
    Gdzie te wygodne czasy kiedy syfa łapało się bez samodzielnego ściągania i instalowania trojanów?

  5. Dzięki za informację, właśnie dostałem maila z adresu: poczta-s.net o rzekomej nieodebranej paczce.

  6. Nie podajecie jaką lukę wykorzystują. Z obrazków wynika że, trzeba rozpakować archiwum rarem, a w nim ma być jakiś pdf. Z tego można wywnioskować, że albo jakaś luka rara, albo acrobata. Jeśli tak, to najprościej archiwum otworzyć czymś innym (7zip?) i pdfa też czymś innym (sumatra?).

    • A co jeśli w archiwum …nie ma PDF-a? :-)

  7. Teraz przydałaby się jakaś rada jak sprawdzić, rozpoznać i ewentualnie usunąć z komputera tą infekcję

  8. To też fałszywka bo nigdy z FeDex company nie korzystałem.
    FeDex company
    Szanowny kliencie,
    Staraliśmy się dostarczyć twoją przesyłkę 2 kwietnia 2015 roku, 11:30 am.
    Próba doręczenia nie powiodła się, że adres został zamknięty i nikt nie był w stanie uzyskać.
    Aby odebrać paczkę, prosimy o wydrukowanie kwitu,
    który jest dołączony do poczty elektronicznej lub odwiedzić biuro Fedex, określony w fakturze (kwitu).
    Jeśli przesyłki nie odebrać w ciągu 48 godzin, zostanie ona zwrócona do nadawcy.
    Konto / Numer kwitu: 44364578782324452
    Oczekiwana data dostawy: 2 kwietnia 2015
    Klasa: Międzynarodowe usługi dostawy
    Usługa (i): potwierdzenie odbioru
    Statusu: Zawiadomienie wysłane
    Copyright© 2015 FEDEX. All Rights Reserved.
    *** To jest domyślna wygenerowana automatycznie e-maila, prosimy nie odpowiadać ***
    W załączniku plik zip.
    Źródło: The source host name is “host59-65-dynamic.2-87-r.retail.telecomitalia.it” and the source IP address is 87.2.65.59.

  9. Plik zip to 44364578782324452.scr (Źródło: The source host name is “host59-65-dynamic.2-87-r.retail.telecomitalia.it” and the source IP address is 87.2.65.59.
    )”FeDex company”

  10. FeDex<packageF@package.org

  11. Dzisiejsza przesyłka z “Poczty Polskiej”:
    From: 31351 Poczta Polska [support3@poczta-pol.org]
    Subject: 2555335 Potwierdzenia otrzymania zamówienia

    Dzień dobry!

    Twoja paczka nie została doręczona pod adres wysyłki w dniu 2 kwiecien 2015, ponieważ nikogo nie było w domu. Kliknij na link w celu otrzymania informacji dotyczącej twojej paczki w naszym serwisie. Wydrukuj informacje dotyczące paczki, niezbędne do jej odbioru w najbliższym biurze naszej firmy.

    Wydrukuj dane dotyczące twojej przesyłki (link nieotwierany przeze mnie)

    Uwaga!
    Przechowywanie przesyłki ponad 30 dni wiąże się z naliczeniem kary. Na naszej stronie znajdziesz wszystkie informacje dotyczące przechowywania oraz opłat.

    Z powazaniem,
    Poczta Polska.

    ——————————————————————————–

    Unsubscribe (link nieotwierany przeze mnie)

    2015 Poczta Polska

    • Dziś otrzymałem tą samą wiadomość tylko z adresu supp7@pol-poczta.org.
      Widocznie nie poddają się i dalej szukają ofiar :)

  12. Ja byłam na tyle nierozsądna żeby klikać i pokazało mi że strona nie może być wyświetlona. Przeskanowałam dwa razy kompa avg i nic nie wykrył. Niczego nie instalowałam, bo też i nigdy bym czegoś takiego nie zrobiła, z resztą link jak napisałam nie działa. Myślicie że trzeba jeszcze w jakiś inny sposób sprawdzić kompa??

  13. Witam.
    Ja niestety otrzymałam coś takiego:
    “64934 Poczta Polska” i otwarłam gdyż dzień wcześniej wysłałam paczkę – MASAKRA …

  14. Źródło:

    Dzień dobry!

    Twoja paczka nie została doręczona odbiorcy w dniu 3 lipiec 2015, ponieważ nikogo nie było w domu. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczace twojego zamówienia na naszej stronie internetowej. Do odebrania przesyłki należy wydrukować informacje i udać się do najbliższego biura.

    Przejdź do otrzymania danych dotycza cych przesyłki

    Z powazaniem,
    Poczta Polska.

  15. Dlaczego kasuje się podane przeze mnie źródło?

    ” <przemyslaw@poczta-plsk.info"

  16. Uwaga, temat jak najbardziej nadal jest aktualny. Ja dzisiaj dostałem takiego mejla. Wklejam link do rzekomego śledzenia przesyłki: http://194.58.118.123/poczta-s/index2.php

  17. Temat wciąż aktualny!!!:

    “Od:
    Środa, 23 Grudnia 2015 11:30
    6477 Poczta Polska

    Temat:
    73722678 Rachunek z tytulu przechowywania przesylki

    Dzien dobry.

    Twoja paczka nie zostala doreczona pod adres wysylki w dniu 16 grudzien 2015, poniewaz nikogo nie bylo w domu. Wydrukuj informacje dotyczace paczki, niezbedne do jej odbioru w najblizszym biurze naszej firmy.

    Prosze otworzyc zalacznik.

    Uwaga!

    W razie jezeli zamówienie nie zostanie odebrane w okresie 30 dniu, firma nalicza oplate z tytulu przechowywania. Na naszej stronie znajdziesz wszystkie informacje dotyczace przechowywania oraz oplat.

    Z pozdrowieniami,
    Poczta Polska.”
    Przestrzegam!
    Przy okazji Spokojnych Świąt!, bez takich baboli.

  18. Szanowny kliencie,
    Staralismy sie dostarczyc twoja przesylke 10/8/2015 08:28:14
    Proba doreczenia nie powiodla sie, ze adres zostal zamkniety i nikt nie byl w stanie uzyskac.
    Aby odebrac paczke, prosimy o wydrukowanie kwitu, ktory jest dolaczony do poczty elektronicznej lub odwiedzic biuro Fedex, okreslony w fakturze (kwitu).
    Jesli przesylki nie odebrac w ciagu 48 godzin, zostanie ona zwrocona do nadawcy.
    Konto / Numer kwitu: 4426798224328167
    Oczekiwana data dostawy: 10/8/2015
    Klasa: Miedzynarodowe uslugi dostawy
    Usluga (i): potwierdzenie odbioru
    Statusu: Zawiadomienie wyslane

    Dziekuje

    Copyright© 2015 FEDEX. All Rights Reserved. *** To jest domyslna wygenerowana automatycznie e-maila, prosimy nie odpowiadac ***

    jak pozbyć się takiego spamu

    Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:35897)
    by ps18.m5r2.onet (Ota) with LMTP id 4F010A4B38E57
    for ; Thu, 8 Oct 2015 13:04:39 +0200 (CEST)
    Received: from mxout1.rambler.ru (mxout1.rambler.ru [81.19.67.203])
    by mx.poczta.onet.pl (Onet) with ESMTP id 3nWqRp32RJz1Cnjx;
    Thu, 8 Oct 2015 13:04:38 +0200 (CEST)
    Received: from saddam2.rambler.ru (saddam2.rambler.ru [10.32.16.2])
    by mxout1.rambler.ru (Postfix) with ESMTP id 1D0D0C39AD6;
    Thu, 8 Oct 2015 11:35:43 +0300 (MSK)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=rambler.ru; s=mail;
    t=1444293343; bh=mjWslajRIVFQUPxjW7/6FX6psr0bMGIvIug+nrOjppw=;
    h=From:To:Reply-To:Subject:Date;
    b=SgWGs+C3Ag9EwNE6+FtMU6PXKewya36srhEKRGaOwYqdyrrtiDQfDyIUSTKEmY8XM
    URQzmQZJJpTkNmhHSEaSYe6ZvGCU2rdgYqw2Oc3BbdXp6dbB1VPlKLGeFSpqM9cOxK
    5KyPTJ3N65+JGc9hSJtCYqNrMgqBdtyzHaepZs2E=
    Received: from localhost.localdomain (localhost [127.0.0.1])
    by saddam2.rambler.ru (Postfix) with ESMTP id 05548109023A;
    Thu, 8 Oct 2015 11:35:43 +0300 (MSK)
    Received: from [174.55.140.151] by mail.rambler.ru with HTTP; Thu, 8 Oct 2015 11:35:42 +0300
    From: “Fedex Support”
    To: mike2@op.pl, stefan1214@op.pl, s.g1@o2.pl, yyoshimu@smail.plala.or.jp, krzysiek_kulik@wp.pl, kamiltobias47@wp.pl, jpjpjp3@o2.pl
    Reply-To: =?koi8-r?B?98nLwSDzwcDL?=
    Subject: Informacja o awizowaniu przesylki – Fedex – 4458567813953328
    Date: Thu, 8 Oct 2015 11:35:42 +0300
    Content-Transfer-Encoding: 7bit
    Content-Type: multipart/mixed; boundary=”_———-=_14442933421400431″
    Message-Id:
    MIME-Version: 1.0
    X-Mailer: Rambler WebMail, http://mail.rambler.ru/
    X-Rambler-User: dev40n04k0@rambler.ru/174.55.140.151
    X-ONET_PL-MDA-Version: 1.0.25
    X-ONET_PL-MDA-Info: 018 02314 4F010A4B38E57 0.505536
    X-ONET_PL-MDA-From: dev40n04k0@rambler.ru
    X-ONET_PL-MDA-Spam: NO

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.