11:43
30/10/2018

Przestępcy, którzy dwa tygodnie temu podszywali się pod ZUS i firmę Kruk dwie godziny temu rozpoczęli wysyłkę złośliwych e-maili z adresu “profilzaufanty@gov.pl” o temacie “Faktura 2018.10.30”. Kliknięcie w link powoduje pobranie pliku .exe, a jeśli ktoś go z rozpędu otworzy, to także infekcję komputera.

Znów wysyłka z @gov.pl

Oto treść wiadomości:

[1] Received: from WIN-OQJUIMC71B6 ([104.148.109.251]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 30 Oct 2018 08:43:48 -0700
[2] Received: from WIN-OQJUIMC71B6 ([74.118.139.40]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 30 Oct 2018 01:52:04 -0700
From: “Profil Zaufany” profilzaufanty@gov.pl
Subject: Faktura 2018.10.30

www.pz.gov.pl
Wymagana weryfikacja Profilu Zaufanego
Twój profil zaufany zostal utworzony. Wzór podpisu elektronicznego do sprawdzenia tu WZOR PODPISU

Masz na to 24 godziny.

Wiadomosc zostala wygenerowana automatycznie.
Prosimy na nia nie odpowiadac.

Zachecamy do kontaktu z centrum pomocy, gdzie mozna zglosic pytanie, uwage lub problem z dzialaniem uslugi Profil Zaufany: pz-pomoc@coi.gov.pl

Š Wszystkie prawa zastrzezone.

Jak widać, przestępcy znów podszywają się pod adres w domenie funkcjonalnej gov.pl (stąd brak rekordu SPF i lądowania tej wiadomości w spamie).

Znów też przestępcy, podobnie jak dwa tygodnie temu w przypadku Kruka i ZUS-u, nie dołączają załącznika bezpośrednio, a linkują do niego przez “złamany” obrazek. Zwrot “WZÓR PODPISU” jest podlinkowany pod:

https://fs12n5.sendspace[.]com/dl/e467eaf739c30f077c610473746c08d3
/5bd8151e5c82fb18/33hwkg/Profil Zaufany.PDF.exe

https://www.sendspace[.]com/file/33hwkg

i powoduje pobranie pliku o podwójnym rozszerzeniu o nazwie:

Profil Zaufany.PDF.exe

Pomyślicie, że to naiwne i będzie to prawda. Ale mimo to, jesteśmy pewni, że ofiar nie będzie brakowało. Choć tym razem atakujący podszyli się pod raczej małorozpoznawaną przez statystycznego Polaka usługę (serio, ile osób, nawet z Was, droga ponadprzeciętnie techniczna grupo Czytelników Niebezpiecznika ma Profil Zaufany?).

ZUS-u można się bać. Windykatorów z Kruka też. Ale profilu zaufanego? Wydaje nam się, że nawet literówka jaką w adresie e-mail nadawcy popełnili atakujący i przypadkowe “ocieplenie” wizerunku Profilu Zaufanego marką napoju gazowanego tu raczej nie pomoże ;) Tak czy inaczej, ciekawi jesteśmy jak taka decyzja przełoży się na liczbę ofiar.

Otrzymujemy informację, że istnieje drugi wariant wiadomości, w ramach którego z e-mailem wysyłany jest załącznik (archiwum RAR).

Złośliwy plik

Plik ten jest rozpoznawany jako złośliwy ale nie przez wszystkie ze znanych antywirusów, niestety. Ale standardowy, wbudowany w Windowsa sobie radzi. A jest darmowy. I dobry. Korzystajcie więc z niego.

Po starcie program próbuje uzyskać połączenie z siecią Tor.

Osobom, które go uruchomiły sugerujemy jak najszybsze wyłączenie komputera i udanie się do specjalisty w celu odinstalowania trojana.

Co ciekawe, większość próbek jakie otrzymaliśmy pochodzi albo od kancelarii prawnych albo innych okołoprawniczych organizacji.

IOC

MD5 199e00c812adf5fc983c8601df9166b0
SHA-1 2fca5e856ae00c69f6dfdefb1b2b3ffcac97a322


Aktualizacja 31.10.2018, 10:13
Profil Zaufany rozesłał do niektórych użytkowników taką wiadomość:

Szanowni Państwo,
w ostatnim czasie część z Państwa (użytkowników Profilu Zaufanego) mogła otrzymać złośliwą wiadomość na skrzynkę email, z prośbą o weryfikację Profilu Zaufanego z adresu profilzaufanty@gov.pl, najprawdopodobniej o temacie „Faktura 2018.10.30.”.

Fałszywe wiadomości nie zostały wysłane przez system Profil Zaufany, a przez internetowych oszustów.
Prosimy o nie reagowanie na tego typu podejrzane maile oraz o zachowanie szczególnej ostrożności.

Kliknięcie w podany w wiadomości link powoduje pobranie pliku z rozszerzeniem „.exe”. Jego otwarcie może spowodować zainfekowanie komputera.
Przypominamy, że Profil Zaufany nie wymaga dodatkowej weryfikacji loginu.

Pytania związane z tym bądź podobnymi zdarzeniami, prosimy zgłaszać do naszego Service Desku. Numer telefonu: + 48 (42) 253 54 50 czynny od poniedziałku do piątku w godzinach 7:00 – 18:00.

*Jednocześnie informujemy, że obowiązek informacyjny z art. 13 rozporządzenia 2016/679 (RODO) został wobec Państwa dopełniony przy rejestracji konta Profilu Zaufanego.
Obecne działanie ma na celu zapewnienie bezpieczeństwa użytkowników systemu i jest realizowane ze względu na niezbędność do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO).

Bardzo dobra reakcja. Takie ostrzeżenia zawsze warto wzbogacić o kilka krótkich porad na co uważać. Aby ludzie na przyszłość wiedzieli, jak odróżnić korespondencję oryginalną od fałszywej i zachowania poprawne od złych.

A sam Profil Zaufany, na marginesie, nie jest taki zaufany… nie szyfruje wiadomości e-mail:

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. Pytanie laika – co się dzieje po połączeniu się trojana z siecią TOR?

    • Złe rzeczy…

    • Domyślam się, ale tak konkretnie? :)
      Pytam z czystej ciekawości, bo tyle że trojan pobiera sobie jakieś swoje kolejne instancje czy inne zarażone pliki to rozumiem, ale czy jeszcze może to jakoś wykorzystać?

    • a chociazby to moze sie dziac ze atakujacy moga przejąć kontrole nad komputerem …

    • Trojan nawiązuję “jakiś” rodzaj łączności z siecią – poprzez TOR, co w tym wypadku ma zapewnić anonimowość kontrolerowi (ale nie musi). Co poprzez tą sieć zrobi, zależy od trojana, jego celu i poziomu zainfekowania komputera – może coś pobrać (nowe polecenia, inne malware) lub wysłać (wykradzione dane, etc).

  2. Czy ktoś mógłby wytłumaczyć laikowi jakim cudem ktokolwiek, poza osobami do tego upoważnionymi, może wysyłać maila z domeny gov.pl?

    • Odpowiedź od laika – spoofing, czyli najstarszy trik pod mailowym słońcem.

    • Wysyłając wiadomość, możesz w polu nadawcy podać co chcesz – nawet bill.gates@microsoft.com. Na szczęście jest kilka metod która pozwalają odbiory odsiać fałszywki, np wspomniany rekord SPF w DNS określający jakie adresy ip właściciel domeny autoryzuje do wysyłki wiadomości. W zależności od flagi w rekordzie i konfiguracji serwera, maile spoza tej puli są albo całkowicie porzucane, lub wysyłane do spam’u.

    • Spoofing to taka enigmatyczna nazwa… W polu “From” nagłówka emaila możesz sobie wstawić co Ci się podoba i każdy program pocztowy to wyświetli jako nadawcę. W normalnej korespondencji jest tam prawdziwy adres nadawcy bo program pocztowy go tam wstawia. Rzeczywisty host z którego przyszła wysyłka jest w innych nagłówkach normalnie nie wyświetlanych.

    • VanPit:
      “Spoofing to taka enigmatyczna nazwa”, ale tekst: “W polu From nagłówka emaila(…)” to już nie?

      “Rzeczywisty host” tłumaczy laikowi coś więcej?

      Z takim podejściem znajdziesz wroga w każdym nieobeznanym z natury w tej terminologii. I nawet nie piszę tego bezpośrednio do Ciebie, ale (przy okazji) do każdego kto chciałby zostać instruktorem czegokolwiek.

      Pozdrowienia dla nienawidzonych masowo tego typu nauczycieli. Nazwisko macie jedno, a mocno zażenowany uczeń potrafi je niecenzuralnie przywoływać nawet 30 lat później.

    • Wysyłanie e-maili z domeny .gov.pl jest bardzo proste. e-mail powstawał w czasach gdy wszyscy w internecie sobie ufali. W związku z tym pole nadawcy jest wypełniane przez autora wiadomości a nie przez serwer. Popularne serwisy poczty najczęściej sprawdzają to pole i uniemożliwiają wysłanie e-maila z adresem nadawcy innym niż faktyczny, ale nic nie stoi na przeszkodzie aby atakujący założył własny serwer poczty który nie ma takich ograniczeń. Istnieją metody ograniczania takich ataków, podstawowa to SPF – definiuje on jakie adresy ip (serwery poczty) mogą wysyłać e-maile z danej domeny (na przykład zus.gov.pl czy google.com). W takim wypadku nawet jeśli atakujący założy własny serwer poczty i wyśle z niego wiadomość to zostanie ona odrzucona ponieważ wysłał ją nieodpowiedni serwer. Niestety, ustawienie SPF wymaga minimum wiedzy (trzeba wiedzieć że coś takiego istnieje), której często brakuje administratorom (nie tylko w organizacjach rządowych).

    • Działa to dokładnie tak jak zwykły list pocztowy. Możesz na kopercie wpisać dowolnego nadawcę :)

  3. > serio, ile osób, nawet z Was, droga ponadprzeciętnie techniczna grupo Czytelników
    Niebezpiecznika ma Profil Zaufany?

    każdy kto składał wniosek o 500+ przez internet?

    • Składałem przez Internet.
      Jakoś trzy razy już.
      Nie mam profilu zaufanego.

    • Myślę, że każdy kto w okresie ostatnich kilku miesięcy zakładał działalność gospodarczą (a z tego co zauważyłem to w ogólnie pojętym IT samozatrudnienie jest dość popularne) i jest zbyt leniwy by chciało mu się stać w kolejkach i składać papiery to osobiście. Sam byłem zaskoczony jak wiele spraw urzędowych można teraz załatwić przez internet. Do większości z nich potrzebny jest właśnie profil zaufany (albo podpis elektroniczny), choć może właśnie z tego powodu ludzie z IT załatwiają takie rzeczy osobiście w urzędzie?

  4. W wiadomości która została wysłana do jednego z naszych użytkowników był załączony załącznik “Twoj Profil Zaufany.rar”. Link do wyniku skanowania tego pliku na Virustotal https://www.virustotal.com/#/file/12f06cb97852f78298396880206ad8cf94fb2d6b35b6cbcf81033d57516148ea/detection

    • dodaj link do pliku…

  5. Poleganie na SPF do ochrony przed phishingiem to proszenie się o kłopoty. SPF daje tylko fałszywe złudzenie zabezpieczenia (czytaj: to że mail przeszedł weryfikację SPF-a nic nie znaczy w kontekście bezpieczeństwa, podobnie jak i to, że tego SPF-a nie było wcale). Krótko mówiąc: SPF is harmful and should just die.

    • SPF jest jednym z podstawowych mechanizmów ochronny, ale nie jedynym. W tym wypadku działa bardzo skutecznie. Swoją drogą faktycznie załatwia większość problemów i może uśpić czujność , dlatego należy stosować kilka stopni bezpieczeństwa aby ograniczyć możliwości użytkowników do “odpalenia” takiego trojana.

  6. Ludzie nabierają się na podwójne rozszerzenia od czasu, kiedy MS w Win95 przestał je pokazywać “w standardzie”. Dzisiaj tzw. “zwykły użytkownik” praktycznie nie wie, co to jest rozszerzenie, bo go nigdy nie widział…

  7. A już miałem nadzieję, że malspamem jest mail o wygaśnięciu zaufania Profilu Zaufanego i konieczności odnowienia w urzędzie, jaki przysłali 2 miesiące temu :(

  8. Z profilu zaufanego korzysta duża grupa osób rozliczających projekty dofinansowane z funduszy UE. Wykorzystywany jest do logowania i podpisywania dokumentów w systemie SL2014.

  9. Trochę słabo, że lista serwerów z sieci Tor, z którym się próbuje łączyć program została udostępniona jako obrazek… Możecie podlinkować jakieś źródło?

  10. a czy posiadanie profilu zaufanego jest zle?

  11. Dostałem dziś. Wylądował normalnie w spamie. Link został usunięty przez outlook’a.

  12. “Zaufanty” – dobre hehe. Ciekawe jakie fanty.

  13. Ja tylko dodam, że mój mail miał tytuł “Twoj Profil Zaufany Utworzony”. Wylądował oczywiście w spamie. Pytanie ile osób mogło się nabrać jeśli akurat ktoś faktycznie dopiero co zakładał profil. Taka akcja miałaby większy sens np. tuż przed wyborami, gdy sporo osób zmieniało adres zamieszania, aby zagłosować w swoim okręgu, w którym faktycznie mieszkają. Dobrze, że tak się nie stało, bo pewnie sporo też takich osób zakładało profil w trybie ekspresowym tj. przez bank.

  14. A teraz pz.gov.pl rozsyła użytkownikom ostrzegawczego mejla o treści “Szanowni Państwo,
    w ostatnim czasie część z Państwa (użytkowników Profilu Zaufanego) mogła otrzymać złośliwą wiadomość na skrzynkę email, z prośbą o weryfikację Profilu Zaufanego z adresu…” (itp itd).

  15. o 1:34 przyszedł do mnie mail od noreply@pz.gov.pl o następującej treści:

    “Szanowni Państwo,
    w ostatnim czasie część z Państwa (użytkowników Profilu Zaufanego) mogła otrzymać złośliwą wiadomość na skrzynkę email, z prośbą o weryfikację Profilu Zaufanego z adresu profilzaufanty@gov.pl, najprawdopodobniej o temacie „Faktura 2018.10.30.”.

    Fałszywe wiadomości nie zostały wysłane przez system Profil Zaufany, a przez internetowych oszustów.
    Prosimy o nie reagowanie na tego typu podejrzane maile oraz o zachowanie szczególnej ostrożności.

    Kliknięcie w podany w wiadomości link powoduje pobranie pliku z rozszerzeniem „.exe”. Jego otwarcie może spowodować zainfekowanie komputera.
    Przypominamy, że Profil Zaufany nie wymaga dodatkowej weryfikacji loginu.

    Pytania związane z tym bądź podobnymi zdarzeniami, prosimy zgłaszać do naszego Service Desku. Numer telefonu: + 48 (42) 253 54 50 czynny od poniedziałku do piątku w godzinach 7:00 – 18:00.

    *Jednocześnie informujemy, że obowiązek informacyjny z art. 13 rozporządzenia 2016/679 (RODO) został wobec Państwa dopełniony przy rejestracji konta Profilu Zaufanego.
    Obecne działanie ma na celu zapewnienie bezpieczeństwa użytkowników systemu i jest realizowane ze względu na niezbędność do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO).

  16. Do mnie ostatnio przyslali zipa z faktura oczywiście faktura nie PDF, tylko exe antiwirus szybko wykrył to jako trojana

  17. Fałszywego maila nie dostałam. Natomiast prawdziwego ostrzegawczego, jak wyżej i owszem, i mocno się zastanawiałam, czy na pewno jest prawdziwy. Nie umiałam tego ocenić. Nie jestem aż tak technicznie zaawansowana i nie wiem, jak to najlepiej sprawdzić ;-) oczywiście popatrzałam na domenę, ale sęk w tym, że ja nie wiem, jaka jest domena profilu zaufanego :-)

    • Ten “prawdziwy ostrzegawczy” też powinien budzić czujność, chociażby swoją żałosną polszczyzną – z błędami ortograficznymi włącznie. Poza tym należałoby opatrzyć taki e-mail podpisem względnie pieczęcią elektroniczną. Niewiele co prawda z takiego podpisu dla adresatów wynika, bo przytłaczająca większość z nich (korzystając zazwyczaj z rozwiązań w rodzaju webmail) zobaczy podpis jedynie w postaci tajemniczego dodatkowego załącznika o nieznanym przeznaczeniu. No ale – jak mawiano – noblesse oblige :-)

  18. […] sprawie pisał serwis Niebezpiecznik. Ostrzeżenie wysłał także sam Profil Zaufany, w którym uczula użytkowników, aby zachowali […]

  19. “Jak widać, przestępcy znów podszywają się pod adres w domenie funkcjonalnej gov.pl (stąd brak rekordu SPF i lądowania tej wiadomości w spamie).”
    17 października wysłałem do NASK-u sugestię odnośnie dodania rekordu SPF do domeny gov.pl. Dostałem odpowiedź, że to rozważą. Przydałoby się, żeby kilka osób tam napisało, być może to spowoduje zwiększenie priorytetu zadania.

  20. Poczta WP klasyfikuje email od Profilu Zaufanego jako SPAM. Ciekawe czy z powodu nieszyfrowania wiadomości czy z jakiegoś innego.

  21. Redakcjo,

    czyli jak rozumiem ci spamerzy będą już tak działać do końca świata?
    Otrzymuję podobne wiadomości od końca maja. Jak z takimi walczyć?

  22. Nie dostałam maila od PZ o “fakturze”, ale za to przyszła do mnie informacja od prawdziwego PZ o tym oszustwie… znalazłam ją w folderze SPAM :D

  23. Co do tego:
    “A sam Profil Zaufany, na marginesie, nie jest taki zaufany… nie szyfruje wiadomości e-mail:”

    Co do tego to poprosił bym o pisanie faktów bo później ludzie myślą że są mądrzy :>

    a faktem jest że do wysłania wiadomości został wykorzystany nieszyfrowany protokół SMTP, a nie że wiadomość nie jest zaszyfrowana bo zaszyfrowana wiadomość może także przejść tym kanałem SMTP i będzie zaszyfrowana ale protokół połączeniowy między serwerami niestety nie.
    O ogólności błędna konfiguracja serwera poczty wychodzącej która nie żąda od serwera odbierającego bezpiecznego połączenia.

  24. Ja mam profil zaufany. Teraz jego założenie to pikuś bo można to zrobić za pośrednictwem bankowości elektronicznej.

  25. U mnie tan mail trafił do spamu. Ciekawe czy to nie przez “stopkę” ?
    powered by phpList ( link: htxx://mailing6[.]coi[.]gov[.]pl/lists/lt.php?id=… ) ; title: “powered by phpList version 3.2.6, (c) phpList ltd”

    Tak, NIE kliknąłem… ;)

  26. Mam inną ciekawostkę związaną z Profilem Zaufanym.

    Gdy zakładałem konto Profilu Zaufanego, to utworzyłem nowe konto na serwerze poczty i połączyłem to konto z moim kontem prywatnym, by móc odbierać za pomocą prywatnego konta wiadomości z konta skojarzonego z Profilem Zaufanym. Konto ma nietrywalną nazwę tak, aby od razu rzucało się w oczy, że mail dotyczy tego konta Profilu Zaufanego i przez to jednocześnie nie jest łatwa do odgadnięcia nazwa konta.

    Na wniosku o utworzenie Profilu Zaufanego podałem właśnie to nowe konto mailowe, które miałoby służyć do identyfikacji i komunikacji wyłączenie z PZ. Jednak nigdy nie potwierdziłem swojej tożsamości w odpowiednim urzędzie, więc mój Profil Zaufany nie został przeze mnie aktywowany oraz ani razu nie został przeze mnie użyty.

    Nie dostałem wiadomości o fakturze, ani wiadomości o fałszywych e-mailach z Profilu Zaufanego. Natomiast od dostawcy usługi poczty dostałem informację, że pomiędzy godziną 21:00 9 listopada, a godziną 15:00 10 listopada ktoś sześciokrotnie próbował uzyskać kod dostępowy do mojej skrzynki pocztowej, którą utworzyłem na potrzeby Profilu Zaufanego.

    Więc ktoś w jakiś sposób uzyskał dostęp do nazwy konta.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.