16:24
7/1/2021

Nowy rok zaczyna się ciekawym i naprawdę dobrze dopracowanym atakiem wymierzonym w użytkowników poczty WP. Czytelnicy informują nas, że otrzymują następującego e-maila:

Od: Blokady WP mail@pomoc24poczta.pl. mail@e-mail24.com.pl
Drogi Użytkowniku! Od 1 stycznia obowiązuje nowa wersja regulaminu Pomimo wcześniejszych wiadomości, w których informowaliśmy Cię o wprowadzeniu nowego regulaminu, nie został on jeszcze zaakceptowany. Jeśli nie zaakceptujesz nowego regulaminu Twoje konto zostanie zawieszone, a następnie usunięte nieodwracalnie.

Zachowaj konto!

Jesteśmy z Tobą od lat. Przechowujemy dla Ciebie zdjęcia, wiadomości i kontakty. Nie pozwól, żeby to wszystko zostało bezpowrotnie usunięte.

Masz więcej pytań? Odwiedź naszą pomoc. Pozdrawiamy Zespół Wirtualnej Polski.

Przycisk podlinkowany jest pod adres:

https://poczta24[.]me/F8V56LBx

Gdzie ofiara widzi poniższy komunikat:

Kliknięcie na “Akceptuję regulamin” z kolei przekieruje na kolejną podstronę:

https://poczta24[.]me/lander/wp/aktualizuj.html

A tu pod przyciskiem znajduje się link do złośliwej aplikacji na Androida:

http://194.36.188[.]22/WP_Poczta.apk

42ea6299b4324cc8aefedb5b972c7ee8d82c5fbfa27c2a3b8f2bd43b7617f3c9

Jeśli otrzymałeś taką wiadomość i kliknąłeś na linka, ale nie zainstalowałeś aplikacji, nic Ci nie grozi. W przeciwnym przypadku, wyłącz telefon i skontaktuj się ze swoim bankiem.

Jak zabezpieczyć swojego smartfona?

Aby uchronić się przed podobnymi do tego atakami, należy odpowiednio skonfigurować swój telefon z Androidem, m.in. wyłączając możliwość instalacji spoza oficjalnego sklepu. To jednak nie zabezpieczy przed wszystkimi atakami, na jakie narażeni są użytkownicy smartfonów. W ostatnich tygodniach zgłosiły się dziesiątki okradzionych osób — w każdym przypadku, kradzież dokonana była po wcześniejszym przejęciu kontroli nad telefonem ofiary.

Dlatego każdemu użytkownikowi smartfona polecamy zobaczenie naszego 1,5h wykład, który przystępnym językiem, krok po kroku pokazuje jak zabezpieczyć swojego smartfona przed cyberprzestępcami — co włączyć, co wyłączyć i jakie aplikacje zainstalować, aby podnieść swoje bezpieczeństwo i prywatność podczas korzystania ze smartfona.

Podając kod 2021 otrzymacie aż o 42 złote niższą cenę (ale tylko do piątku). Więc nie czekajcie, oglądajcie, klikając tutaj..

Ostrzeż znajomych! Będzie więcej ataków…

Przekażcie tę informację znajomym, którzy mają konta e-mail! Nie tylko na WP, bo znając życie, za chwilę inne grupy podłapią ten pomysł i powstaną warianty na Onet, Interię, itp.

Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. No WP samo się o to prosiło po tym swoim pomyśle na usilne wciskanie każdemu czegoś co nazywają 1login, a który to pomysł na siłę wciskają na różnych domenach (choćby o2.pl) a który to pomysł (czy też jego konsekwencje) są niezbyt jasno przedstawione.

    • Niestety się zgodzę.
      Pomysł 1login nie jest jasno przedstawiony ale po przeczytaniu opinii o tym programie gdzie pada hasło “decyzja biznesowa”, myślę że staje się jasne o co chodzi. Plus w regulaminie informacja co jest zbierane na tą chwilę z telefonu.
      W każdym razie polikwidowałem konta które mam od ponad 15 lat i posłuchałem opinii Niebezpiecznika gdzie założyć konto.

    • Wiesz moze czy jeśli uparcie nie skorzystam z tego 1login to odetną mnie od konta?

    • @Henry. GMail?

    • @macias, tak

    • na onet atak jest jeszcze hmmmm “ciekawszy” ale z onet. cóż za zbieg okoliczności. wyciekły bazy userów, i tak sobie próbują. przychodzi email, żeby coś tam zrobić na jakiejś bzdurnej domenie z kupionym hostem wirtualnym, i wtedy …… przechwytują hasło. a jak już to zrobią, to patrzą do czego mail jest używany i lecą dalej.

    • @macias, Tak

  2. Też dostałem takiego maila w grudniu, adawca uwaga@pomoc-poczta.biz plus całą wiadomość jako obrazek. Strasznie to słabe było.

  3. Czy na serio trzeba wyłączać możliwość instalacji spoza sklepu? Są jakieś telefony, które mają to włączone? Podejrzewam, że większość użytkowników nawet nie wie, że ma taką funkcję…

    • standardowo instalujesz tylko ze sklepu. na instalkę z poza sklepu trzeba to odblokować. typowy użyszkodnik sobie z tym nie poradzi.

    • @Ferdynand Kiepski

      W niektórych wersjach androida jest pop-up z info że ustawienia systemu nie zezwalają na instalację tej aplikacji i pytaniem czy chcesz zmienić to ustawienie, po kliknięciu “chcę odblokować” przenosi prosto do właściwej sekcji ustawień. Nie wydaje mi się, żeby wyklikanie tego było za trudne dla kogokolwiek.

    • @stukot
      Jeśli tak jest, to zwracam honor Niebezpiecznikowi. Jednak warto mówić, żeby nikt nie akceptował aplikacji spoza sklepu.

    • Niektóre moje urządzenia mają wyłączony całkowicie sklep google-a i instalują aplikację wyłącznie ze zweryfikowanych apk. No ale nie jest to opcja dla leszczy.
      Z drugiej strony trochę słabo że byle zainstalowana aplikacja (nawet złośliwa) wymaga kontaktu z bankiem – czy np. jak konfigurowaliście face-a na telefonie kontaktowaliście się z bankiem czy nie jest to złośliwa aplikacja?
      Poza tym już widzę jak wasz bank coś zrobi z waszym telefonem – rozumiem że najwyżej zablokuje wam dostęp do kasy i spławi do serwisu lub w najlepszym razie zażąda ustawień fabrycznych. O to wam chodziło?

      Gdybyście chcieli napisać coś merytorycznego – może warto wspomnieć o DKIM na poczcie?
      Słaby ten artykuł, rozumiem że ma nastraszyć i napędzić na szkolenia, ale i tak ma niską wartość merytoryczną…

    • @edward Dkim, jako rada dla użytkownika chroniącą go przed tym atakiem… Cos ci gościu dzwoni, ale w złym kościele :))) po instalacji tego g, jak pisze niebezpiecznik, jazda jak najszybciej na infolinię banku, to jest ostatnia szansa dla ofiary. A ten z dkim wyjeżdża, loool.

    • Miało być merytorycznie a kończy się jak zawsze…

      A jak nie mam żadnej aplikacji banku na telefonie to gdzie mam zadzwonić?

      Już nie wspomnę o sytuacji kiedy dzwonisz na infolinię i wszystkie stanowiska są zajęte a w międzyczasie pieniążki z konta wypływają…. ale chyba miało być dla leszczy jak z tego wynika…swoją drogą dobra rada dzwonić z zarażonego telefonu, jesteś pewny że to się zawsze uda?

  4. pod adresem http://194.36.188[.]22:3000 też mała ciekawostka (ip od pliku apk)

    • Rzeczywiście dosyć ciekawe to jest. Trochę jak zadanie ze steganografii na CTFie.

      Pobrałem sobie próbkę 1536 tego co wypluwa ten adres – ogólnie wraca 1216 różnych fraz – te najczęściej się powtarzające mają 38 wystąpień, najrzadziej się pokazujące mają 3 wystąpienia.

      W pierwszej chwili pomyślałem sobie, że to jakaś baza grypsów, które ludzie wysyłają SMSami do telegazety, żeby więźniowie sobie odczytali na telewizorze – ale po bliższym przyjrzeniu się wygląda jednak jak jakaś kompilacja tekstów z piosenek disco-polo.

      Najlepszy jest chyba ciąg “Komponuję tylko w MDPM” (Medżik Disco Polo Maker) – nie ma go w wynikach googla – także to już coś mówi o tej bazie.

      Układ wynikowych danych jest zawsze taki sam: 5 linii, 6 linii, 2 linie. Pierwsza hipoteza jest taka, że dane są kodowane przez długość poszczególnych fraz, a dokładniej przez różnice w długości np. sąsiednich linijek. Dobrze by było wiedzieć jakie dane są zakodowane w tej wiadomości – czy to jest coś czytelnego dla człowieka, czy raczej niekoniecznie.

  5. Hehe zrobiłem DDOSA efekt tu https://streamable.com/grv0nf :)
    zostawiłem na jakieś 5 minut dwa ataki anulowałem, i efekt jak na video ;) … ale po chwili stronka tam gdzie jest pakiet androida ma pewnie ochronę przez ddosami, ale natomiast druga… to hohoho :D … nie znaleziono IP strony.

    • Koleżanko/Kolego – ten Twój filmik to jest klasyczny przykład, na który można zareagować facepalmem.

      1. W skrótowcu DDOS – pierwsza litera D oznacza Distributed, czyli rozproszony – w jaki sposób niby odpalenie 10.000 procesów ping z jednego komputera jest rozproszonym atakiem?

      2. Ze swojego marnego komputerka wysłałeś 1.2 Mbps tego ataku – tarzam się ze śmiechu po podłodze – mam za 90 zł miesięcznie łącze symetryczne 10 Gbps (realnie wyciąga 8Gbps, ponieważ część łącza schodzi na ramki kontrolne) – to 8 Gbps to jest 6500 razy więcej niż Twoje 1.2 Mbps – czyli mogę z mojego komputerka wysłać tyle, że Ty byś musiał postawić obok siebie 6500 takich swoich komputerów – a dlaczego tak jest? A no bo wysyłasz to z jakiegoś kernela linuksowego uruchomionego ze środka windowsa albo w sumie i samego kernela windowsowego – nie wiem, nie znam się

      3. Powód, że na przeglądarce zobaczyłeś że strona jest niedostępna był taki, że zapchałeś sobie swój komputerek – nie martw się – strona docelowa w tym czasie radziła sobie świetnie. To kolejny typowy błąd – efekty swojej “pracy” sprawdza się z niezależnej infrastruktury, z niezależnego połączenia internetowego :D

    • sprawdzałeś z innego IP czy działa? może firewall wydropił spoofa i tyle :)
      ale fajnie się oglądało :D

    • … Wiesz, że możesz to zrobić dużo łatwiej za pomocą flagi -f (flood), np. `sudo ping -f 127.0.0.1`, poza tym, taki atak nic wiele nie zrobi

  6. Też otrzymałem dzisiaj taki email z tytułem “Blokady WP” z adresu mail@supportcentrum.com.pl

  7. @DDOS Więc mówisz, że zrobiłeś DOS’a? Szkoda, że jego działanie jest odczuwalne najprawdopodobniej tylko w Twojej sieci lokalnej (prywatnej/osiedlowej?)

    • jak i na moim prywatnym IP, jak i na VPN od Opery w trybie incognito, zarówno optymalna lokalizacja, Europa, Azja czy Ameryka nie udało się połączyć z poczta24*me

    • Bo DOSowałeś swój router.

  8. Moja kobieta dała się nabrać bo złożyło się kilka czynników. Ciągłe monity o 1login i ostatnio telefon szwankował, bo były zaległe aktualizacje no i nie jest pewna na 100%, w którym momencie anulowała cały proces po pobraniu tej apki. Mówiła, że anulowała chyba w momencie jak pojawił się komunikat o dostawcy “poczta24.me” bo dopiero wtedy tknęło ją, że coś jest nie tak (a nawet przeczytała ten podstawiony regulamin i mówiła, że był dobrze napisany!). Darujcie sobie szyderę na dziewczynę, bo gdyby nie te powyższe zbiegi okoliczności nie dałaby się nabrać. PYTANIE: usunąłem apkę z pobranych i przeskanowałem jej telefon Bitdefenderem i Clean Masterem i nic nie znalazło. Czy to wystarczy żeby uznać, że jest bezpiecznie i nic się nie zainstalowało/ukryło?

    • To ona to pobrała, czy zainstalowała? Samo pobranie bez instalacji niczego nie zrobi.

  9. perskimedia podobnie jak home.pl bardzo czesto hostują strony przestępców

  10. Strasznie mnie to wkurza. Ostatnio jeden z (teoretycznie) legitnych portali wpier* mi reklame na cale okno (taka blokujaca dostep do reszty strony) zachecajaca do udzialu w jakims g*. Bez zadnej mozliwosci nie-klikniecia, bo sk* dali de facto 2 odpowiedzi:
    [Oczywiscie ze TAK] [Technicznie tez TAK] i hu*…
    I nie byla to kwestia abonamentu, tylko najzwyklejsza reklama jakiegos (patrzac na sama wiadomosc – wygrac/dostac czy jakos tak) robienia ludzi w konia… Bo jeszcze plac albo wyp* pojawiajace sie na innych stronach jeszcze zrozumiem, zwlaszcza ze tam jest zazwyczaj opcja: kliknij tu (zlamasie) zeby wyp*…

    Ale do czego zmierzam – za takie normalizowanie patologi powinny leciec ciezkie kary, bo patrzac na tą wiadomosc, skad normalny czlowiek mialby wiedziec ze to przekret?
    Ze straca utrata konta? Jakbym nigdy kont nie stracil z powodu wyssanych z palca uzasadnien. Ze inna strona niz portal? Przeciez przerzucanie na jakies dziwne portale to norma. Logujesz sie na strone X, klikasz sobie w jakas opcje a ta opcja juz na stronie Y. Wiem bo za kazdym razem jak mnie tak przerzucaja addony od bezpieczenstwa w przegladarce odstawiaja tantrum i blokuja okno ktore musze recznie odblokowywac przy okazji sprawdzajac ich info i zazwyczaj sie okazuje ze tak, przyslowiowe buxiaki.w.du*la.435r80x93409r8xxx.ng jest najzupelniej legitna i faktycznie nalezy do Banku czy innej polskiej instytucji (i pewnie ktos przyoszczedzil na niej cale 30pln czy jakos tak) …

  11. A czy ktoś mógłby rozwinąć wątek z jedengo z wcześniejszych komentarzy, sugerujący, że usługa/apka 1login od WP jest to kitu?

    Mam oczywiście bardziej zaufane konta mailowe niż WP, którego używam to mniej istotnych celów, jednak do tej pory główną słabością Poczty WP był z mojego punktu widzenia brak możliwości weryfikacji 2-etapowej. Apka 1login dostarcza tę funkcjonalność, działając podobnie jak inne aplikacje do tego przeznaczone. Czekałem aż wreszcie to wprowadzą a tu nagle krytyka. W sumie tylko dlatego wstrzymuję się z instalacją tego. Wp jeset kiepską pocztą ale Gmail z kolei jest zbyt wścibski jak dla mnie. Dlatego prośba o rozwinięcie.

    • A poczytaj sobie regulamin, bo są takie punkty i kwiatki:

      5. Wyrażenie zgody na otrzymywanie informacji handlowych obejmuje zgodę na otrzymywanie informacji handlowych pochodzących od WP oraz od innych osób (reklamodawców współpracujących z WP):
      a. na adres poczty elektronicznej Użytkownika prowadzonej przez WP;
      b. na telefon komórkowy, którego numer Użytkownik udostępnił WP (w tym SMS);
      c. za pośrednictwem komunikatora (messengera) prowadzonego przez WP;
      d. z wykorzystaniem funkcjonalności Portalu Wirtualna Polska.

      7. WP zastrzega sobie prawo do przeprowadzenia weryfikacji danych podanych przez Użytkownika lub/i przedstawiciela ustawowego lub opiekuna prawnego, w celu ustalenia, czy są zgodne z prawdą. Użytkownik oraz przedstawiciel ustawowy lub opiekun prawny jest zobowiązany do umożliwienia WP przeprowadzenia weryfikacji, w szczególności poprzez podanie aktualnego numeru telefonu i udzielenie dodatkowych wyjaśnień na prośbę WP.

      10. WP może odmówić świadczenia usługi Konta 1login od WP (udostępnienia Konta 1login od WP), jeśli jest to uzasadnione (…) interesem WP,

      5. WP ma prawo do rezygnacji z udostępniania i świadczenia (zamknięcia) wszystkich lub poszczególnych Dodatkowych Funkcjonalności w każdym czasie, (…) bez konieczności uzasadniania tych przyczyń Użytkownikom

      10. W ramach usługi 1login od WP, WP przetwarza następujące kategorie danych Użytkownika:
      a. dane z Formularza;
      b. adres IP, identyfikatory urządzeń i identyfikatory plików cookies;
      c. dane dotyczące dostępu i korzystania z Usług Wirtualnej Polski oraz usług świadczonych za pośrednictwem Portalu Wirtualna Polska;
      d. treści Użytkownika z Usług Wirtualnej Polski oraz usług świadczonych za pośrednictwem Portalu Wirtualna Polska;
      e. dane dotyczące dostępu i korzystania z Dodatkowych Funkcjonalności;
      f. dane o odwiedzinach na Serwisie;
      g. dane o odwiedzinach na Portalu Wirtualna Polska;
      h. treści, w tym reklamowe do których dostęp uzyskuje Użytkownik korzystający z Konta 1login od WP;
      i. wyszukania, kliknięcia, sposób korzystania z Portalu Wirtualna Polska.

    • Przede wszystkim jest bezużyteczny. Mam kilkanaście kont autentykowanych jedną apką za pomocą TOTP i tam gdzie to działa – działa perfekcyjnie. Nie mam ochoty instalować dodatkowej aplikacji od WP (szczególnie że czasem sprawdzam pocztę na starych urządzeniach z Androidem 4) i jeszcze by tego brakowało żebym do każdego serwisu instalował nową aplikację. A poza tym nie chcę podawać im swojego numeru telefonu. Tak więc w bezpieczeństwie nie pomaga, a zagraża jako single point of failure i ryzyko ujawnienia danych osobowych (nr. tel). Jeżeli szukasz bezpieczeństwa – zobacz najpierw jak robią to inni: twofactorauth.org/#email i nie daj sobie wciskać kitu że do darmowego konta będą ci wysyłać za friko smsy z autentykacją

    • @Henry
      A myślisz, że wcześniej, to jaki regulamin miały konta na o2 i wp? Jakby aplikacja miała wyskakiwać reklamy i czesać książkę, to można by robić dym. Ale tutaj? Regulaminu bym się nie czepiał. Nic się nie zmienia – darmowe konto, więc będziesz dostawał reklamy. Będziesz spamował? – to obrzydzą życie żądając weryfikacji nazwiska i numeru buta.
      A regulamin Gmaila czytałeś?

      Widać, że o2/wp zrobiło falstart – nie umieją określić daty, bo… na razie nie mają aplikacji na iPhony – cały czas jest “Wkrótce w App Store!”. Pewnie nie przeszła jakiejś weryfikacji. Czyli całkiem możliwe, że nigdy nie przejdzie i jeszcze z podkulonym ogonem przejdą na Google Authenticatora :D

  12. Domena .me z której miałby korzystać serwis wp jest trochę podejrzana . Adres z jakiego korzysta serwis jest trochę inny , w domenie @wp.pl. Dlaczego wreszcie do akceptacji regulaminu miałaby być konieczna jakaś aplikacja ? Dlaczego tylko na Androida a nie również na IOS. Serwis virustotal aż świeci czerwienią. Za dużo niejasności…..

    • Z jednej strony tak – z drugiej legitnie zdarzaja sie podobne sytuacje i ile bys sie nie nauzeral z de* albo ignorujesz inny adres, ignorujesz BS aplikacje, ignorujesz to ze jest tylko na twoja platforme i jakby to bylo nieciekawa popelniasz internetowe harakiri w nadziei ze ten noz naprawde sie sklada i nic sie nie stanie – bo inaczej tracisz konto, prace, proces czy inne (w realnym swiecie nazywamy to szantazem).

      Przy czym specjalne programy, dziwne domeny i ograniczenia platformowe sa tak powszechne ze dziwie sie ze o nich wspominasz (glownie (respektywnie) reklamy i expansja, oszczednosc i pseudonowoczesnosc oraz odcinanie klienta od konkurencji (z krojkolwiek strony, bo i ty mozesz chciec tylko aple i gugle moze nie chciec ciebie)).

      Co do virustotal, juz na chwile obecna przy jego stosowaniu trzeba sie kierowac bardziej intuicja – bo wielokrotnie spotkalem sie z tym ze calkowicie bezpieczne strony czy programy byly ostro minusowane czy mialy dziwne false-pozytywy na tajemniczych antywirusach o ktorych w zyciu nie slyszalem (ktore jak tylko program tracil na uzytecznosci magicznie poznikaly).
      I zazwyczaj mialo to miejsce kiedy program lub strona nie podobala sie biznesowi/konkurencji czy jakiemus rzadowi (patrz oceny virus total na stronach dzialaczy spolecznych czy uczciwych biznesow).

  13. To jest tak, że jak się dawien dawno zakładało konta na WP, gmail, to nie trzeba było podawać nr telefonu do weryfikacji.
    Pełna zgoda, że adres @ i nr telefonu to już dane osobowe i brawo dla Niebezpiecznika z ten artykuł i za tą dyskusję pod nim, bo wielu zwykłym userom WP poczty oczy szerzej się otworzą.
    BTW przydałby się taki artykuł, w którym fachowo rozjechałoby się mechanizmy “bezpieczeństwa” 1login i dodało puentę o naruszeniu RODeO :-)

  14. Z czystej ciekawości sprawdzałem na moim dawnym adresie WP czy jest taka wiadomość. Nie widzę jej ale za to widzę ponad 100 spamowych maili od samego WP na skrzynce. Nie ma co się dziwić że tą skrzynkę w zasadzie się porzuciło bo nie da się wykluczyć reklam wysyłanych przez samo WP.

    • Nie możesz mieć dawnego adresu e-mail na wp jeżeli nie logowałeś np. przez rok, bo po pół roku jak się nie zalogujesz ani razu to kasują konto. Więc coś zmyślasz.

    • “nie da się wykluczyć reklam wysyłanych przez samo WP.” – daje się, bardzo prosto: wybierasz konto płatne, za które rocznie płacisz równowartość trzech piw wypitych w knajpie ;)
      Czyli coś około 30 złotych rocznie. Dla mnie to uczciwe.

  15. Bez przesady. Artykuł niestety mocno naciągany, nie mówiąc o tym, że nieprawdziwy. Poza tym, kto by robił coś takiego. Chyba tylko osoba, która nie ma wiedzy.

  16. Artykuł naciągany? To ja powtórzę propozycję: może spece z Niebezpiecznika przetestują 1Login od strony cyber, a na koniec doda się puentę o naruszeniu RODeO?
    Adres @mail + nr telefonu, a teraz w PL żaden nie podziała bez oficjalnej rejestracji = ewidentne dane osobowe, a to już nie spełnia wymogów.
    Nieprawdziwy? No to sprawdźmy!

  17. Dla kogoś (osoba z niepełnosprawnościami), kto z opieki społecznej otrzymuje zasiłek stały w wysokości 645 zł + czasem 100 do 200 zł więcej na życie to nie ma szans żeby za taki film tyle zapłacił.

  18. Tym którzy krytykują pocztę WP “jako taką” odpowiem: dla mnie jest bardzo dobra! Płacę jakieś drobne za wersję płatną i zasadniczo nie otrzymuję reklamowego spamu. Przydają się duże załączniki (do 100 MB). Używam jej od 13 lat, więc wielu okazjonalnych znajomych bez problemu może się skontaktować. Gorąco zachęcam do korzystania z aliasów – konsekwentnie osobny używam tylko do kontaktów z bankiem pierwszego wyboru itp. Natomiast _nie mam ochoty_ na instalowanie jakiejś tam apki “1login” – bo mnie to nie interesuje! Telefonu używam do telefonowania ;)

  19. na szczescie dla mnie wp sluzy jako smietnik do rejestracji stron XD . typu rapidu etc

Odpowiadasz na komentarz ToTemat

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: