Dostałeś taką wiadomość z Urzędu Skarbowego? Lepiej uważaj
Oszuści intensyfikują swoje kampanie phishingowe przed świętami – właśnie ujawniono kolejną kampanię. Tym razem napastnicy podszywają się pod organy skarbowe i resort finansów, a ich próby mogą być o tyle skuteczne, że środki socjotechniczne wykorzystane w ataku są całkiem dopracowane.
Oszuści podszywają się pod Urząd Skarbowy
CERT Polska ostrzega, że do polskich internautów trafiają maile, których autorzy podszywają się pod Urząd Skarbowy oraz Ministerstwo Finansów. W korespondencji – swoją drogą całkiem wizualnie dopracowanej, choć próbę oszustwa można poznać po adresie nadawcy w domenie mybluehost.me – przekonują, że na potencjalną ofiarę czekają pieniądze.
W przypadku maila, do którego dotarł CERT, atakujący informują, że ofiara może odebrać zwrot nadpłaconego podatku w wysokości prawie tysiąca złotych. Co ważne, treść wiadomości jest napisana bezbłędną polszczyzną , mail prezentuje się przekonująco, podobnie jak nazwa nadawcy. Jedynym mankamentem, na co należy zwrócić szczególną uwagę, jeśli docierają do nas wiadomości od US, jest właśnie adres mailowy nadawcy.
Celem napastników wyłudzenie danych
W mailu znalazł się przycisk prowadzący na stronę internetową, dzięki której mamy otrzymać środki. Trzeba przy tym zaznaczyć, że atakujący wykorzystują zablokowany już adres e-urzad-skarbowy.org – to właśnie pod ten URL prowadzi nas przycisk. Również po kliknięciu przycisku i wyświetleniu karty ze stroną widzimy domenę e-urzad-skarbowy.org. Może ona wyglądać dla części przekonująco, ale nie jest w ogóle powiązana z prawdziwym US – ten wykorzystuje domeny o rozszerzeniu gov.pl.
Dalej atak przebiega bez większych zaskoczeń – pod wskazanym adresem dostępna jest witryna z formularzem, za pośrednictwem którego napastnicy próbują wykraść dane ofiar, m.in. PESEL. Dla uwiarygodnienia zastosowano nawet pole, w którym odbiorca maila ma wprowadzić kwotę swojego przychodu w poprzednim roku. Oczywiście wyłudzenie może służyć uzyskaniu dostępów do środków ofiar i kradzieżom.
Dwa słabe punkty kampanii
Choć kampania jest dopracowana – przekonująco wypada zarówno treść maila, jak i strona – to zwrócenie szczególnej uwagi na dwie kwestie pomoże nam uniknąć kłopotów. Po pierwsze, o próbie oszustwa świadczy adres mailowy , który nie ma nic wspólnego z administracją. Po drugie, domena, pod którą prowadzi przycisk z maila, nie ma rozszerzenia wskazującego na związek z administracją, a zatem gov.pl. Urząd Skarbowy nie używa domen o rozszerzeniu ORG.