12:39
10/10/2018

[AKTUALIZACJA] Uwaga na złośliwe e-maile z ZUS-u i Kruk S.A.

Autor: redakcja | Tagi:  

Ktoś podszywa się pod ZUS i wysyła do Polaków następującą wiadomość:

[1] Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 9 Oct 2018 23:59:11 -0700
[2] Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Wed, 10 Oct 2018 02:13:26 -0700

Od: Zaklad Ubezpieczen Spolecznych ZUS@gov.pl
Odpowiedź do: tomasz.lukowaski@interia.pl
Data: środa, 10 października 2018 10:10
[1] Temat: Zalegle skladki
[2] Temat: Składki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKŁADKI NA DZIEŃ 2018.10.10

https://www.swiecie.eu/sites/default/files/field/image/logo-zus.jpg
[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [zus@gov.pl]
www: [zus.pl]

Napis “Składki na dzień 2018.10.10” jest podlinkowany pod:

hxxp://s000.tinyupload.com/download.php?file_id=02050147363398326419
&t=0205014736339832641975716

i choć obecnie jest już niedostępny:

to jeszcze kilkadziesiąt minut temu dało się z niego pobrać następujący plik:

Składki na dzien 2018.10.10.doc

Który obecnie 12 antywirusów wykrywa jako złośliwy:

Co ciekawe, próba detonacji pliku nie wykazała, aby robił on cokolwiek “złośliwego” (Windows 7 i Office 2010). Być może dlatego plik tak szybko zniknął z hostingu — przestępca zorientował się, że gdzieś popełnił błąd.

Przy okazji — GMail też już ostrzega przed tym atakiem (dlatego własnie warto korzystać z GMaila):

Co robić, jak żyć?

Jak zwykle — nigdy nie reaguj na żadną korespondencję od organów państwowych. Jeśli te mają Ci coś ważnego do powiedzenia, w naszym zinformatyzowanym kraju dostaniesz wiadomość listem poleconym, a nie mailem. Więc wszystkie maile konsekwentnie olewaj. To obecnie najskuteczniejsza rada.

IOC kampanii

Plik
Nazwa: Składki na dzien 2018.10.10
MD5 baf2ff03ad5449405dec334bb4255dfd
SHA-1 6ee77195b963c398d7ec1b938ca63a86e4a17371

Występują też inne warianty tytułów e-maila i jego treści:


Aktualizacja 10.10.2018, 12:45
Ruszyła druga fala kampanii, tym razem z linkiem:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Składki na dzien 2018.10.10.zip

MD5 973e4aefe22fff4c4058a155676e5c93
SHA-1 05af1d39b32f4a6553a696e6aa88ccf4b03fb263


Aktualizacja 11.10.2018, 13:21
Trzecie tchnienie kampanii to:

From: “Weronika Mazur Ksiegowosc” Weronikamazur@luxury.pl
Subject: Skan

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzi=
s oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierd=
zic otrzymanie srodkow.
Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Z linkiem prowadzącym do:

hxxps://fs03n1.sendspace[.]com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN 2018.10.10.doc

oraz drugi wariant:

Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Fri, 12 Oct 2018 07:34:26 -0700

From: “Skan.PDF”
Subject: Skan
Return-Path: Mariola@ksiegowosc.pl
Message-ID:

Witam
Przesylam skan potwierdzenie wyslania srodkow na Panstwa konto w kwocie 299=
zl
Pozdrawiam Mariola Kowalska
www.biuro-profits.pl

W wiadomości znajduje się link do:

https://fs07n5.sendspace.com/dl/7306fa119638db755e0c295bcf1d582b/5bc0a0861df3a240/zu4r4m/Skan.PDF.zip


Aktualizacja 11.10.2018, 21:11
I mamy kolejny wariant, tym razem z wykorzystaniem firmy Kruk:

[1]Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Thu, 11 Oct 2018 05:14:31 -0700
[2]Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
[1] From: “Ewelina Zuber” windykacj@kruk.pl
[2] From: Kruk S.A. windykacja@kruk.pl

Temat: Zadluzenie

Witam
Przesylam wezwanie przed sadowe do spaty wiezytelnosci jesli nie rozpoczna Panstwo splaty sprawa zajmie sie komornik sadowy.
Z powazaniem Grupa Kruk S.A.
[Kruk S.A. ]
tel.: [+ 48 660987754]
Zadluzenie na dzień 2018.10.11
G+

[Adres Kruk S.A. ul. Powstancow 182 60-166 Poznan NIP: 779-23-08-495 https://www.Kruk.pl/]
kom [48 660987754] e-mail: [kruk@biuro.pl] www: [www.kruk-biuro.pl]

Link prowadzi do:

hxxps://fs05n1.sendspace.com/dl/4a436f9491ddeed7f4012d549ba53ba3/5bbf3d545b784193/1yhb2a/Skan.pdf.rar

PS. Jak zawsze w takich przypadkach, prosimy Was o przesyłanie do nas nie tylko screena e-maila, ale przede wszystkim pełnych nagłówków (najlepiej jako eksport e-maila do .msg) i w miarę możliwości także załącznika (najlepiej spakowanego na hasło “virus”, aby Wasze i nasze serwery pocztowe nie wycięły tego e-maila po drodze). Dzięki!

Przeczytaj także:

Niebezpiecznik

34 komentarzy

Dodaj komentarz
  1. jogi023 2018.10.10 13:06 | # | Reply

    Po co ktoś rozsyła w poczcie złośliwe pliki ? Jaka jest logika takich działań ?

    • Andy 2018.10.10 15:29 | # |

      W poczcie nie ma żadnych złośliwych plików – są tylko odnośniki.

    • gosc 2018.10.10 15:30 | # |

      Moze zeby poczytac niebezpiecznika z twojego komputera? :)

    • stukot 2018.10.11 11:54 | # |

      @jogi023

      Żeby wyłudzić od ofiary pieniądze.

      Słowo “złośliwy” należy traktować jako przenośnię. Rzeczywistym motywem jest chęć zysku.

  2. aqz 2018.10.10 13:35 | # | Reply

    UM w Świeciu pomógłby podmieniając linkowany statycznie obrazek, na ostrzeżenie o próbie oszustwa :D

    • Jacek 2018.10.10 16:16 | # |

      Napisz do admina i podaj mu link do tego artykułu.:)

    • Jacek 2018.10.10 16:21 | # |

      Już napisałem za Ciebie.;)

    • Łukasz 2018.10.11 05:07 | # |

      Nie pomogło.

    • Alexander 2018.10.12 07:31 | # |

      @aqz podaj szczegóły to skontaktuję się z kim trzeba.

  3. Bartek 2018.10.10 13:39 | # | Reply

    Ktoś w to uwierzy? Przecież w zusie e-maile odkryją za jakieś 10 lat, jak już nie będzie można nigdzie dyskietek kupić :D

    • Zusanna 2018.10.10 14:52 | # |

      Dementuję :) Dyskietek dawno nie ma, nasz “partner biznesowy” już ich nie potrzebuje, jak kiedyś… A z mejlami radzimy sobie nieźle, tyle że bezpieczniej jest kontaktować się w sprawach finansowych przez PUE. Pozdrawiam :)

    • z US 2018.10.10 18:34 | # |

      PUE ,VPN ,przenośne drukarki ,blokady portów usb … to jest teraz rzeczywistość w Zusie.
      Zatrzymałeś się kolego na etapie “ataków Janosika” ,a czas płynie.
      Dla Ciebie – nieubłaganie.

    • Wiola 2018.10.10 19:18 | # |

      Bartek masz jakieś archaiczne wiadomośCi. ZUS jest chyba najlepiej ogarniętym urzędem pod tym względem.

    • Bartek 2018.10.11 09:30 | # |

      Nie zjedzcie mnie ludzie. Nie widać, że postawiłem roześmianą emotikonę na końcu? Dla osób, które dalej nie rozumieją: to był żart.

  4. Pawel 2018.10.10 14:52 | # | Reply

    Z ZUSu nic nie przyszło :(
    Ale za to coś wygrałem w MEDIA*MARKT, bo im się “system zawiesił” i w ramach przeprosin rozdajo :D
    Tylko muszę potwierdzić na topreastol.com/plmed7.php

  5. M3 2018.10.10 16:00 | # | Reply

    Czy plik jest w stanie zawirusować lub zaszkodzić androidowi? Lub danym?

  6. Hubert 2018.10.10 17:10 | # | Reply

    ciekawe czy tomasz ł. się cieszy z ujawnienia publicznie jego emaila :)

  7. TaKeN 2018.10.10 17:56 | # | Reply

    A ja dostałem :-)

    Oct 10 12:08:36 spam postgrey[743]: action=greylist, reason=early-retry (685s missing), client_name=unknown, client_address=23.83.133.126, sender=ZUS@gov.pl, recipient=spam@spam.pl

    Kaspersky od razu krzyczał, aby nie otwierać linka :-)

  8. Krystian 2018.10.10 18:19 | # | Reply

    Jak to tak możecie jeszcze zachęcać ludzi do korzystania z usług Googla w tym Gmail-a.
    Dajmy wykazać się Polskim firmom – no nie pchajmy ludzi do Googla i tak już są totalnym monopolistą.

    • Piotr Konieczny 2018.10.10 18:45 | # |

      Wskaz firmę która robi to lepiej niż Gmail to będziemy taka polecać.

    • Anon 2018.10.10 19:17 | # |

      Co z wp mamy korzystać xD
      Gmail robi to najlepiej kosztem prywatności, dlatego protonami to dobry pomysł

    • openwporld 2018.10.10 20:06 | # |

      Przy takim podejściu zawsze lepszy będzie gmail.
      Ja wolę coś zrobionego samemu.

    • Jack 2018.10.12 03:19 | # |

      Najlepiej jak by każda osoba, kupiła sobie komputer-serwer i założyła sobie serwer pocztowy…(wtf) Gmail, Exchange czesze system – jeżeli chodzi o pocztę. W czym jakaś Polska firma ma się wykazać?

  9. xxx 2018.10.11 10:14 | # | Reply

    a ZUS dziś dał jeszcze czadu z certyfikatem PE-2-ZUS-EWD…

    • dobreta 2018.10.11 14:42 | # |

      o, a tu już nie ma komentarzy pracowników zusu? taaa, chyba poszli po dyskietki z certyfikatami… ;)

  10. n0ne 2018.10.11 11:19 | # | Reply

    btw: i mx’y tylko na gmail/gsuite !

  11. Piotr 2018.10.12 12:43 | # | Reply

    Co jeśli kliknąłem na załącznik. Pojawiła się informacja,że nie można otworzyć pliku.

  12. Zan 2018.10.12 15:35 | # | Reply

    Dostałem dziś wiad. Od MonikaMazur@luxury z załącznikiem z rar

  13. Mat2 2018.10.17 10:13 | # | Reply

    Niestety, domena gov.pl nie posiada rekordu Sender Policy Framework, co ułatwiło ten phishing. Napisałem przed chwilą maila do NASK-u, żeby rozważyli dodanie rekordu SPF na domenie gov.pl.

  14. Vika 2018.10.19 11:28 | # | Reply

    12.10.18 otrzymałam spam: Skan.pdf z ”potwierdzeniem przelewu na Państwa konto w wysokości 299zł” od Mariola@ksiegowosc.pl z odnośnikiem na biuro-profits.pl
    nie otwierałam bo niedają mi niestety pieniędzy tylko wszędzie muszę płacić:)

    Gmail wrzucił do spamu z ostrzezeniem

  15. Paweł 2018.10.22 10:52 | # | Reply

    Dostałem dokladnie od Pani Weroniki oraz zus takiego e-mail, Fajnie że postanowiłem to sprawdzić. Pomocne !

  16. MaciejK 2018.10.26 23:01 | # | Reply

    A mnie zawsze zastanawia, czy takie maile tworzą gimnazjaliści, czy półgłówki. Dlaczego nie potrafią wysilić się na tyle, żeby choć pisać poprawną polszczyzną? Czy ZUS zakończyłby wiadomość słowami “Pozdrawiamy, Zak_l_ad Ubezpiecze_n_ Spo_l_ecznych”?

    • CatLady 2018.10.31 01:25 | # |

      Półgłówki – ktoś rozgarnięty, mający umiejętności w temacie, wie, że więcej – i spokojniej – można zarobić uczciwie. Albo przynajmniej “uczciwie”, tj. nie dosłowną kradzieżą na prymitywną metodę i niewielkie kwoty. Jak już kraść, to setki tysięcy/miliony ;)

  17. Monika 2018.11.21 11:03 | # | Reply

    Dziś dostałam maila z tego adresu IP. From: “Julia Borek”
    Subject: Fak-vat 2018.11.21
    Prośba o opłacenie faktury, która oczywiście ” jest ” jako załącznik.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: