BiznesINFO.pl Technologie Uwaga na maile od polskiego operatora domen. To próba wyłudzenia danych
Fot. Freepik

Uwaga na maile od polskiego operatora domen. To próba wyłudzenia danych

4 stycznia 2024
Autor tekstu: Maciej Olanicki

Trwa nowa kampania phishingowa, której celem są przede wszystkim osoby zarządzające domenami wykupionymi u największego polskiego operatora. Choć taki scenariusz nie jest nowy, to zwraca się uwagę na nietypowy sposób manipulacjami adresami oraz… pomyłkami napastników.

Napastnicy podszywają się pod home.pl

Przed nową kampanią ostrzega CERT Orange Polska, którego analitycy sami zostali wzięci na cel przez atakujących. Ci podszywają się pod firmę home.pl i przekonują, że konieczne jest odnowienie domeny zarejestrowanej u tego operatora. W innym wypadku usługi przestaną być świadczone. Celem napastników jest uzyskanie danych pozwalających na uwierzytelnienie w panelu logowania home.pl.

Sam mail jest przygotowany dość niedbale i nie brakuje wskazań na to, że nie pochodzi od home.pl. Napastnicy nie zadbali o spoofing nazwy nadawcy, przez co adres od razu zwraca uwagę swoją długością . Ponadto nie działa poprawne kodowanie znaków, a w przypadku części z nich polskie znaki diakrytyczne w ogóle nie zostały zastosowane.

Pilne ostrzeżenie dla klientów dużego banku. Chwila nieuwagi i pieniądze znikną

Pomyłki i potknięcia napastników

Ciekawych elementów maila jest zresztą znacznie więcej. Analitycy CERT-u przy polskim Orange zwracają uwagę, że rzekoma domena, która ma wygasnąć, nie jest domeną, lecz subdomeną . Te nie wymagają odnawiania oddzielnego od domeny głównej, co stanowi kolejny element ułatwiający identyfikację phisingu.

Ponadto link odsyłający pod fałszywy panel logowania jest podzielony na dwie części, różniące się kolorem – ciemnoniebieską https://home.pl/domeny/ oraz jasnoniebieską z dalszą częścią adresu. Co ciekawe, kliknięcie pierwszej części faktycznie prowadzi na strony home.pl . Dopiero kliknięcie drugiej części powoduje przeniesienie na fałszywą stronę. Adres przenosi gdzie indziej w zależności od IP – gdy ma się np. niemieckie IP, lądujemy na stronie niemieckiej firmy rejestrującej domeny.

Jak się chronić?

Elementów, na które warto zwrócić uwagę, jeśli administruje się domenami zarejestrowanymi w home.pl, jest aż nadto. Najlepsze zostawiliśmy jednak na koniec – do CERT Orange, przed właściwym, omawianym mailem, trafił inny. Ci sami napastnicy zapomnieli w nim rozszerzyć adresu o dodaną drugą część, przez co ten prowadził wyłącznie na prawdziwe strony home.pl .

Zobacz także: Wiemy, kto dostarczał w 2023 najszybszy internet mobilny. Wielu może być zaskoczonych

Ukraińskie służby rozbiły sieć oszustów. Zarabiali dziesiątki milionów złotych w całej Europie
Kolejny wyciek danych skradzionych z ALAB laboratoria. Użycie ich to bułka z masłem
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat