Fałszywe faktury Play dawno nie były tak dobrze podrobione. Trojan przeszedł przez sito Gmaila. Może WSZYSTKO

Robert Kędzierski
Specjaliści z serwisu Zaufana Trzecia Strona przeanalizowali ostatni atak na klientów sieci Play. Fałszywe faktury są rozsyłane w sposób inny niż wcześniej. Cyberprzestępcy użyli też wyjątkowo sprytnego sposobu na ominięcie filtrów antywirusowych.

Klienci sieci Play znów zostali celem ataku cyberprzestępców. W odróżnieniu od kilku, o których już pisaliśmy, ten jest przygotowany w sposób wyjątkowo przebiegły i precyzyjny.

Adres, grafika, treść

Użytkownik otrzymuje wiadomość wysłaną z adresu awizo@mojefinanseplay.pl. Właśnie tym e-mailem posługuje się Play, pierwsza bariera została więc pokonana. W treści wiadomości tym razem nie znajdziemy niechlujnych błędów językowych. Komunikat  w niczym nie odbiega od oryginału, jest spersonalizowany.

Dzien dobry, przesylamy fakture numer F/10587808/12/16 wystawiona 29.12.2016. Dokument znajduje sie w zalaczniku, a ponizej prezentujemy jego podsumowanie.

W wiadomości znajduje się też link, który kieruje na stronę do złudzenia przypominającą witrynę Play. Adres strony ponownie nie budzi zastrzeżeń: platnosci.play.pl

Fałszywa faktura PlayFałszywa faktura Play Fot. za Zaufana Trzecia Strona/ o2.pl / Play

Pułapka, w którą wpadł nawet Gmail

W wiadomości znajdował się też załącznik. Zawierał szkodliwe oprogramowanie, a jednak udało mu się przejść przez sito Gmaila, który wykrywa większość zagrożeń. Twórca wirusa posłużył się sztuczką - złośliwy plik ukrył wewnątrz archiwum w drugiej paczce. 

Czytaj też: Podszyli się pod znaną sieć marketów. Ogłosili konkurs, który skusił tysiące. 

Jak wyjaśnia Zaufana Trzecia Strona ofiara musiała uruchomić skrypt zapisany w pliku JavaScript.  Infekcja nawiązuje połączenie z serwerem kontrolowanym przez twórcę robaka, dzięki czemu cyberprzestępca może w zasadzie wszystko. Wydawać zdalne polecenia, wykradać dane, instalować inne złośliwe oprogramowanie, infekować nośniki danych w celu dalszego rozprzestrzeniania się. 

ZTS zdołała zidentyfikować twórcę kampanii. To ten sam człowiek, który w listopadzie zeszłego roku podszywał się pod Pocztę Polską. Używał on podobnych serwerów, nazw plików i sformułowań użytych w wiadomości skierowanych do ofiar. 

Ponowny atak na klientów Play jest dowodem na to, że przestępcy wykorzystują nasze nawyki. Po zainfekowaniu maszyny możemy stracić pieniądze - złodzieje wyczyszczą nam konto, albo zrobią zakupy za pomocą naszej karty. Kolejny raz potwierdza się, że należy ignorować wszelkie podejrzane załączniki. 

Zobacz też: Sony Xperia X - przegląd ustawień fotograficznych