12:39
10/10/2018

Ktoś podszywa się pod ZUS i wysyła do Polaków następującą wiadomość:

[1] Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 9 Oct 2018 23:59:11 -0700
[2] Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Wed, 10 Oct 2018 02:13:26 -0700

Od: Zaklad Ubezpieczen Spolecznych ZUS@gov.pl
Odpowiedź do: tomasz.lukowaski@interia.pl
Data: środa, 10 października 2018 10:10
[1] Temat: Zalegle skladki
[2] Temat: Składki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKŁADKI NA DZIEŃ 2018.10.10

https://www.swiecie.eu/sites/default/files/field/image/logo-zus.jpg
[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [zus@gov.pl]
www: [zus.pl]

Napis “Składki na dzień 2018.10.10” jest podlinkowany pod:

hxxp://s000.tinyupload.com/download.php?file_id=02050147363398326419
&t=0205014736339832641975716

i choć obecnie jest już niedostępny:

to jeszcze kilkadziesiąt minut temu dało się z niego pobrać następujący plik:

Składki na dzien 2018.10.10.doc

Który obecnie 12 antywirusów wykrywa jako złośliwy:

Co ciekawe, próba detonacji pliku nie wykazała, aby robił on cokolwiek “złośliwego” (Windows 7 i Office 2010). Być może dlatego plik tak szybko zniknął z hostingu — przestępca zorientował się, że gdzieś popełnił błąd.

Przy okazji — GMail też już ostrzega przed tym atakiem (dlatego własnie warto korzystać z GMaila):

Co robić, jak żyć?

Jak zwykle — nigdy nie reaguj na żadną korespondencję od organów państwowych. Jeśli te mają Ci coś ważnego do powiedzenia, w naszym zinformatyzowanym kraju dostaniesz wiadomość listem poleconym, a nie mailem. Więc wszystkie maile konsekwentnie olewaj. To obecnie najskuteczniejsza rada.

IOC kampanii

Plik
Nazwa: Składki na dzien 2018.10.10
MD5 baf2ff03ad5449405dec334bb4255dfd
SHA-1 6ee77195b963c398d7ec1b938ca63a86e4a17371

Występują też inne warianty tytułów e-maila i jego treści:


Aktualizacja 10.10.2018, 12:45
Ruszyła druga fala kampanii, tym razem z linkiem:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Składki na dzien 2018.10.10.zip

MD5 973e4aefe22fff4c4058a155676e5c93
SHA-1 05af1d39b32f4a6553a696e6aa88ccf4b03fb263


Aktualizacja 11.10.2018, 13:21
Trzecie tchnienie kampanii to:

From: “Weronika Mazur Ksiegowosc” Weronikamazur@luxury.pl
Subject: Skan

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzi=
s oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierd=
zic otrzymanie srodkow.
Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Z linkiem prowadzącym do:

hxxps://fs03n1.sendspace[.]com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN 2018.10.10.doc

oraz drugi wariant:

Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Fri, 12 Oct 2018 07:34:26 -0700

From: “Skan.PDF”
Subject: Skan
Return-Path: Mariola@ksiegowosc.pl
Message-ID:

Witam
Przesylam skan potwierdzenie wyslania srodkow na Panstwa konto w kwocie 299=
zl
Pozdrawiam Mariola Kowalska
www.biuro-profits.pl

W wiadomości znajduje się link do:

https://fs07n5.sendspace.com/dl/7306fa119638db755e0c295bcf1d582b/5bc0a0861df3a240/zu4r4m/Skan.PDF.zip


Aktualizacja 11.10.2018, 21:11
I mamy kolejny wariant, tym razem z wykorzystaniem firmy Kruk:

[1]Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Thu, 11 Oct 2018 05:14:31 -0700
[2]Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
[1] From: “Ewelina Zuber” windykacj@kruk.pl
[2] From: Kruk S.A. windykacja@kruk.pl

Temat: Zadluzenie

Witam
Przesylam wezwanie przed sadowe do spaty wiezytelnosci jesli nie rozpoczna Panstwo splaty sprawa zajmie sie komornik sadowy.
Z powazaniem Grupa Kruk S.A.
[Kruk S.A. ]
tel.: [+ 48 660987754]
Zadluzenie na dzień 2018.10.11
G+

[Adres Kruk S.A. ul. Powstancow 182 60-166 Poznan NIP: 779-23-08-495 https://www.Kruk.pl/]
kom [48 660987754] e-mail: [kruk@biuro.pl] www: [www.kruk-biuro.pl]

Link prowadzi do:

hxxps://fs05n1.sendspace.com/dl/4a436f9491ddeed7f4012d549ba53ba3/5bbf3d545b784193/1yhb2a/Skan.pdf.rar

PS. Jak zawsze w takich przypadkach, prosimy Was o przesyłanie do nas nie tylko screena e-maila, ale przede wszystkim pełnych nagłówków (najlepiej jako eksport e-maila do .msg) i w miarę możliwości także załącznika (najlepiej spakowanego na hasło “virus”, aby Wasze i nasze serwery pocztowe nie wycięły tego e-maila po drodze). Dzięki!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

34 komentarzy

Dodaj komentarz
  1. Po co ktoś rozsyła w poczcie złośliwe pliki ? Jaka jest logika takich działań ?

    • W poczcie nie ma żadnych złośliwych plików – są tylko odnośniki.

    • Moze zeby poczytac niebezpiecznika z twojego komputera? :)

    • @jogi023

      Żeby wyłudzić od ofiary pieniądze.

      Słowo “złośliwy” należy traktować jako przenośnię. Rzeczywistym motywem jest chęć zysku.

  2. UM w Świeciu pomógłby podmieniając linkowany statycznie obrazek, na ostrzeżenie o próbie oszustwa :D

    • Napisz do admina i podaj mu link do tego artykułu.:)

    • Już napisałem za Ciebie.;)

    • Nie pomogło.

    • @aqz podaj szczegóły to skontaktuję się z kim trzeba.

  3. Ktoś w to uwierzy? Przecież w zusie e-maile odkryją za jakieś 10 lat, jak już nie będzie można nigdzie dyskietek kupić :D

    • Dementuję :) Dyskietek dawno nie ma, nasz “partner biznesowy” już ich nie potrzebuje, jak kiedyś… A z mejlami radzimy sobie nieźle, tyle że bezpieczniej jest kontaktować się w sprawach finansowych przez PUE. Pozdrawiam :)

    • PUE ,VPN ,przenośne drukarki ,blokady portów usb … to jest teraz rzeczywistość w Zusie.
      Zatrzymałeś się kolego na etapie “ataków Janosika” ,a czas płynie.
      Dla Ciebie – nieubłaganie.

    • Bartek masz jakieś archaiczne wiadomośCi. ZUS jest chyba najlepiej ogarniętym urzędem pod tym względem.

    • Nie zjedzcie mnie ludzie. Nie widać, że postawiłem roześmianą emotikonę na końcu? Dla osób, które dalej nie rozumieją: to był żart.

  4. Z ZUSu nic nie przyszło :(
    Ale za to coś wygrałem w MEDIA*MARKT, bo im się “system zawiesił” i w ramach przeprosin rozdajo :D
    Tylko muszę potwierdzić na topreastol.com/plmed7.php

  5. Czy plik jest w stanie zawirusować lub zaszkodzić androidowi? Lub danym?

  6. ciekawe czy tomasz ł. się cieszy z ujawnienia publicznie jego emaila :)

  7. A ja dostałem :-)

    Oct 10 12:08:36 spam postgrey[743]: action=greylist, reason=early-retry (685s missing), client_name=unknown, client_address=23.83.133.126, sender=ZUS@gov.pl, recipient=spam@spam.pl

    Kaspersky od razu krzyczał, aby nie otwierać linka :-)

  8. Jak to tak możecie jeszcze zachęcać ludzi do korzystania z usług Googla w tym Gmail-a.
    Dajmy wykazać się Polskim firmom – no nie pchajmy ludzi do Googla i tak już są totalnym monopolistą.

    • Wskaz firmę która robi to lepiej niż Gmail to będziemy taka polecać.

    • Co z wp mamy korzystać xD
      Gmail robi to najlepiej kosztem prywatności, dlatego protonami to dobry pomysł

    • Przy takim podejściu zawsze lepszy będzie gmail.
      Ja wolę coś zrobionego samemu.

    • Najlepiej jak by każda osoba, kupiła sobie komputer-serwer i założyła sobie serwer pocztowy…(wtf) Gmail, Exchange czesze system – jeżeli chodzi o pocztę. W czym jakaś Polska firma ma się wykazać?

  9. a ZUS dziś dał jeszcze czadu z certyfikatem PE-2-ZUS-EWD…

    • o, a tu już nie ma komentarzy pracowników zusu? taaa, chyba poszli po dyskietki z certyfikatami… ;)

  10. btw: i mx’y tylko na gmail/gsuite !

  11. Co jeśli kliknąłem na załącznik. Pojawiła się informacja,że nie można otworzyć pliku.

  12. Dostałem dziś wiad. Od MonikaMazur@luxury z załącznikiem z rar

  13. Niestety, domena gov.pl nie posiada rekordu Sender Policy Framework, co ułatwiło ten phishing. Napisałem przed chwilą maila do NASK-u, żeby rozważyli dodanie rekordu SPF na domenie gov.pl.

  14. 12.10.18 otrzymałam spam: Skan.pdf z ”potwierdzeniem przelewu na Państwa konto w wysokości 299zł” od Mariola@ksiegowosc.pl z odnośnikiem na biuro-profits.pl
    nie otwierałam bo niedają mi niestety pieniędzy tylko wszędzie muszę płacić:)

    Gmail wrzucił do spamu z ostrzezeniem

  15. Dostałem dokladnie od Pani Weroniki oraz zus takiego e-mail, Fajnie że postanowiłem to sprawdzić. Pomocne !

  16. A mnie zawsze zastanawia, czy takie maile tworzą gimnazjaliści, czy półgłówki. Dlaczego nie potrafią wysilić się na tyle, żeby choć pisać poprawną polszczyzną? Czy ZUS zakończyłby wiadomość słowami “Pozdrawiamy, Zak_l_ad Ubezpiecze_n_ Spo_l_ecznych”?

    • Półgłówki – ktoś rozgarnięty, mający umiejętności w temacie, wie, że więcej – i spokojniej – można zarobić uczciwie. Albo przynajmniej “uczciwie”, tj. nie dosłowną kradzieżą na prymitywną metodę i niewielkie kwoty. Jak już kraść, to setki tysięcy/miliony ;)

  17. Dziś dostałam maila z tego adresu IP. From: “Julia Borek”
    Subject: Fak-vat 2018.11.21
    Prośba o opłacenie faktury, która oczywiście ” jest ” jako załącznik.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: