Maciej Olanicki 04.01.2024 15:34

Uwaga na maile od polskiego operatora domen. To próba wyłudzenia danych

Fot. Freepik

Trwa nowa kampania phishingowa, której celem są przede wszystkim osoby zarządzające domenami wykupionymi u największego polskiego operatora. Choć taki scenariusz nie jest nowy, to zwraca się uwagę na nietypowy sposób manipulacjami adresami oraz… pomyłkami napastników.

Napastnicy podszywają się pod home.pl

Przed nową kampanią ostrzega CERT Orange Polska, którego analitycy sami zostali wzięci na cel przez atakujących. Ci podszywają się pod firmę home.pl i przekonują, że konieczne jest odnowienie domeny zarejestrowanej u tego operatora. W innym wypadku usługi przestaną być świadczone. Celem napastników jest uzyskanie danych pozwalających na uwierzytelnienie w panelu logowania home.pl.

Sam mail jest przygotowany dość niedbale i nie brakuje wskazań na to, że nie pochodzi od home.pl. Napastnicy nie zadbali o spoofing nazwy nadawcy, przez co adres od razu zwraca uwagę swoją długością. Ponadto nie działa poprawne kodowanie znaków, a w przypadku części z nich polskie znaki diakrytyczne w ogóle nie zostały zastosowane.

Pilne ostrzeżenie dla klientów dużego banku. Chwila nieuwagi i pieniądze znikną

Pomyłki i potknięcia napastników

Ciekawych elementów maila jest zresztą znacznie więcej. Analitycy CERT-u przy polskim Orange zwracają uwagę, że rzekoma domena, która ma wygasnąć, nie jest domeną, lecz subdomeną. Te nie wymagają odnawiania oddzielnego od domeny głównej, co stanowi kolejny element ułatwiający identyfikację phisingu.

Uważajcie na nową kampanię z podszyciem pod @home_pl. Za pierwszym razem oszuści przysłali przypadkiem... dobrego linka, ale dzień później poprawili się i ponowili maila, tym razem z fałszywym.https://t.co/LYvBUlgzx7 pic.twitter.com/7PidrxAhFR
— CERT Orange Polska (@CERT_OPL) January 4, 2024

Ponadto link odsyłający pod fałszywy panel logowania jest podzielony na dwie części, różniące się kolorem – ciemnoniebieską https://home.pl/domeny/ oraz jasnoniebieską z dalszą częścią adresu. Co ciekawe, kliknięcie pierwszej części faktycznie prowadzi na strony home.pl. Dopiero kliknięcie drugiej części powoduje przeniesienie na fałszywą stronę. Adres przenosi gdzie indziej w zależności od IP – gdy ma się np. niemieckie IP, lądujemy na stronie niemieckiej firmy rejestrującej domeny.

Jak się chronić?

Elementów, na które warto zwrócić uwagę, jeśli administruje się domenami zarejestrowanymi w home.pl, jest aż nadto. Najlepsze zostawiliśmy jednak na koniec – do CERT Orange, przed właściwym, omawianym mailem, trafił inny. Ci sami napastnicy zapomnieli w nim rozszerzyć adresu o dodaną drugą część, przez co ten prowadził wyłącznie na prawdziwe strony home.pl.

Zobacz także: Wiemy, kto dostarczał w 2023 najszybszy internet mobilny. Wielu może być zaskoczonych

Tagi: Cyberbezpieczeństwo Internet Poczta Polska