9:42
9/9/2022

Typ ataku: wirus (e-mail)
Zagrożenie: Utrata pieniędzy
Użyte marki: Rząd RP

Na skrzynki Polaków właśnie rozesłano fałszywe e-maile podszywające się pod serwis rządowy biznes.gov.pl. Wiadomość zawiera złośliwy załącznik i następującą treść straszącą konsekwencjami prawnymi:

Drogi Użytkowniku!
Załącznik to oficjalne powiadomienie elektroniczne od Biznes.gov.pl. Powiadomienie będzie dostępne na Twoim Autoryzowanym Koncie od 09-08-2022 do 09-17-2022. Jeżeli nie przystąpisz do jej lektury we wskazanym terminie, wywołane zostaną odpowiednie skutki, zgodnie z obowiązującymi przepisami.[Art. 46 Kodeksu postępowania administracyjnego.] Wiadomość została wygenerowana automatycznie przez serwis biznes.gov.pl (prosimy na tę wiadomość nie odpowiadać).
Pozdrawiamy, Zespół Biznes.gov.pl
Portal Biznes.gov.pl to źródło informacji o usługach, które administracja świadczy dla osób prowadzących i planujących rozpocząć działalność gospodarczą. W razie pytań możesz skorzystać z Centrum Pomocy.
Wiadomość jest wysyłana przez Ministerstwo Rozwoju, Pracy i Technologii z siedzibą w Warszawie pl. Trzech Krzyży 3/5.

Do e-maila załączono plik Biznes.gov.pl – NOWE POWIADOMIENIE.rar, który zawiera plik VBS.
Suma kontrolna: 1ec9c4f108f6ce4efa9de2883f56eb67e0320a76785b9bd84065dc492b0b3edd

Zagrożenie

Samo otrzymanie e-maila i jego otworzenie/przeczytanie nie powoduje żadnych negatywnych skutków. Dopiero rozpakowanie i uruchomienie załącznika spowoduje zainfekowanie komputera ofiary złośliwym oprogramowaniem .

Atak dotyczy tylko systemów Windows. Jeśli korzystasz z Windowsa, upewnij się że masz włączony Windows Defender, gdyż ten program antywirusowy, w przeciwieństwie do wielu innych, już wykrywa to złośliwe oprogramowanie.

Wysłaliśmy CyberAlert w tej sprawie

Ze względu na skalę ataku właśnie wysłaliśmy w sprawie tego ataku ostrzeżenie do użytkowników naszej darmowej aplikacji mobilnej CyberAlerty i do subkrybentów naszego darmowego newslettera CyberAlerty.

Nie masz jeszcze naszej aplikacji?
Możesz ją pobrać klikając na ten link.

Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl

Przeczytaj także:

46 komentarzy

Dodaj komentarz
  1. Dokładnie taki mail od gov.pl przyszedł do koleżanki (data ważności powiadomienia 09-08-2022 do 09-17-2022 sugeruje, że oprócz 13 i 14 będą też niedługo 15, 16 i nawet 17 emerytury!). Załącznika nie dało się otworzyć gdyż był zaszyfrowany! Zalogowała się na swój profil na biznes.gov.pl i żadnego powiadomienia nie znalazła. Pomoc z gov.pl na live chat powiedziała, że to jest błąd systemu i nie należy się tym przejmować… To może jednak nie wirus?

    • Wirus, wirus… niestety mail przychodzi z jakiegoś lewego adresu, zupełnie nie powiązanego z gov.pl

  2. Ogłaszacie alert, a w aplikacji powiadomienie się nie pojawiło. Po otwarciu aplikacji faktycznie informacja o biznes.gov jest.

    • Jeśli nie dotrze do Ciebie do 11:00 daj znać.

    • Powiadomienie push nie dotarło. Aplikacja w telefonie Huawei P30 skonfigurowana prawidłowo (optymalizator baterii wyłączony).

    • No to pewnie optymalizator baterii, cokolwiek to znaczy. W logach widzimy, ze rozesłało się do dziesiątek tysięcy bez problemu. Nasze kontrolne diwajsy dostały. Ale potestujemy jeszcze temat “optymalizatora baterii”.

    • W nowych telefonach nie da się już całkowicie wyłączyć automatycznego odcinania od internetu nieużywanych aplikacji. Jeśli nie włączał apki od kilku miesięcy to nie jest to kwestia battery optimizera Huawei tylko samego androida.

    • Apka ma miesiąc. A usunięcie powiadomień chyba wymaga zgody (user jest informowany przez Andka, że ubije mu powiadomienia)

    • Ten sam problem ale na Huawei P30 Pro. Brak powiadomienia. Poprzednie alerty pojawiały się bez problemu.

    • Mi natomiast pojawiło się powiadomienie ale po kliknięciu nie odpaliła się apka :( musiałem sam wejść do niej.

    • Na Google Pixel 6 z Android 13 też nic nie przyszło…

    • A na iPhonika elegancko przyszło

    • Powiadomienia na Androidzie to syf, nawet GMaila mi ubija zarządzanie energią. I nie da się tego na moim Realme wyłączyć, sama optymalizacja i szmery bajery to tylko dodatek do natywnego zarządzania w trzewiach Androida.

  3. Czemu nie pokazujecie nagłówków maila z prawdziwym adrsem nadawcy? Czy domeny gov.pl nie mają skonfigurowanego dmarc, że spoofing był możliwy? Powinni to wdrożyć jak najszybciej.

    • Mają, ale nie kazdy serwer pocztowy respektuje (bierze pod uwagę) te nagłówki, więc ‍♂️

    • Adres email nadawcy jest wysyłany razem z wiadomością i może być podrobiony. Nie da się inaczej

  4. Adres nadawcy wygląda na prawdziwy, spodziewałbym się, że mail w takim razie też. Jak mogło dojść do wysłania go, jeżeli to nie “błąd systemu”?

    • Pole From nadawca może ustawić jakie chce. Fajnie jakbyśmy zobaczyli nagłówek wiadomości (chociaż go też można modyfikować :/)

    • Przecież adres Od spokojnie można spoofować, mechanizmu SPF, DMARC już nie do końca. Mi na przykład fizycznie to przyszło z hiszpańskiego IP.

  5. Warto wspomnieć na temat art 46, który mówi:
    § 1. Odbierający pismo potwierdza doręczenie mu pisma swoim podpisem ze wskazaniem daty doręczenia.
    § 2.
    Jeżeli odbierający pismo uchyla się od potwierdzenia doręczenia lub nie może tego uczynić, doręczający sam stwierdza datę doręczenia oraz wskazuje osobę, która odebrała pismo, i przyczynę braku jej podpisu.

    Co oznacza ,że nie ma to nic wspólnego z korespondencją wysłaną elektronicznie

  6. Ja bym poszedł dalej i nie ufał żadnym rządowym aplikacjom.

  7. Dostałem pusha z tą wiadomością, ale klikniecie w nią scrashowało mi apkę CyberAlert…

    • Jaki smartfon i os?

    • Sony Xperia 1 II (XQ-AT51), Android 12 (najnowszy stock ROM – 58.2.A.7.93)

  8. Przydało by się źródło tych maili. Tu na screenie wygada dosłownie tak jak oryginał włącznie z domena. A domena biznes.gov.pl ma poprawnie zdefiniowany rekord SPF.

    • SPF działa dla nadawcy z koperty, a nie w nagłówkach. Aczkolwiek nagłówek Received powinien pokazać coś więcej, chyba że został zepsuty przez SMTP.

  9. od 09-08-2022 do 09-17-2022
    Od 9. sierpnia do 9. … czego?

    • Już sam format daty, który w naszym kraju nie istnieje, powinien dać do myślenia. Widać, że malware był wysłany spoza Europy.

    • No właśnie. Już sposób napisania daty wskazuje, że to nie może być mail z polskiego urzędu.

    • Format daty miesiąc/dzień/rok

    • Piotr, data zapisana jest w formacie mm-dd-rrrr

  10. Od kiedy Windows natywne obsługuje archiwa *.rar?

  11. Skandal, ja tej wiadomości nie dostałem :)

  12. Dostałem to wczoraj, z tym że u mnie adres jest: amaia@dionisioormazabal.com

  13. nasz rząd to jeden wielki błąd systemu :) :) :) :)

  14. […] Więcej informacji w linku […]

  15. Samsung A32 5G nie przyszlo nic od was ;(

    • Wygraj najnowszą wersję, poprawia obsługę powiadomień na. Iektorych Samsungach. Powinno już działać :)

  16. cześć, ktoś mi wytłumaczy, jak oni to wysłali z domeny biznes.gov.pl, jak widać na zrzucie? Dotychczas myślałem, że to, co jest w jest autentycznym adresem…

    • Pole “From” (Od) w nagłówkach wiadomości jest ustawiane przez klienta poczty wysyłającego wiadomość, i może być dowolnie spreparowane. Podobnie jest z polem “Date”, jeśli przestawisz sobie kalendarz na komputerze to możesz wysłać wiadomość “z przyszłości”.

  17. Cześć,
    dostałem ten syf z adresu administrator@biznes.gov.pl i niestety kliknąłem w .rar
    robiłem to na kompie. plik się nie otworzył ale po ok. 1 min. procesory chyba zaczęły ostro pracować bo z komputera buchnęło ciepłe powietrze i wiatrak wskoczył na większe obroty.
    Norton nic ne znalazł ale pytanie czy przeinstalować system ?

    i czy ma ktoś wiedzę co to za atak i w jaki sposób traci się pieniądze ? czy wirus działa wstecz i w pamięci odczytuje MOJE logowania na moje konto bankowe i płatności jakie dokonałem ?
    Czy dopiero teraz jakbym ponownie się logował to maja podgląd do kont i zarządzania pieniędzmi ?
    Przypominam że to chodzi o mój komputer a nie o telefon.
    dziękuje z góry za ewentualne rady

  18. Witam,

    Też dostałem tego maila z załącznikiem Biznes.gov.pl – NOWE POWIADOMIENIE.rarNiepowodzenie – Błąd sieci , takie coś wyskoczyło mi w przeglądarce w pobranych, to rozumiem że antywirus go zblokował ?

  19. Cześć,

    Czy macie dostęp do oryginalnego maila?
    Mnie zastanawia w jaki sposób udało się wysłać maila z adresu @biznes.gov.pl
    U mnie maile z domeny firmowej mogą wysyłać tylko moje własne serwery.
    Gdzie SPF? ?

  20. Ja sie załapałem :) natomiast adresy wychodzace do gov były w porzadku, przy okazji odświeżyłem dane firm i zalozyłem e-korepondecje :)
    Antivir mi wywalił załącznik

  21. no tylko ja dostałem taki temat [BANNED] Biznes.gov.pl – NOWE POWIADOMIENIE

    wiec sie troche zdenerowałem a ale trafiłem na tan artykuł :)

Odpowiadasz na komentarz 123

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: