Za nami kolejna fala ataków, tym razem e-maile ze złośliwym załącznikiem (do pobrania), „zachęcającą” do „weryfikację Profilu Zaufanego”. Niedawno mieliśmy podobne akcje, z tym, że tam „bohaterem” był ZUS, czyli Zakład Ubezpieczeń Społecznych. Sam takiej wiadomości nie dostałem na żadne konto (chyba pora na nowe SPAM-trapy), ale dostałem e-mail z ostrzeżeniem wprost od administracji Profilu Zaufanego.

Faktura 2018.10.30, czyli atak na użytkowników Profilu Zaufanego

Z ostrzeżenia, jak i informacji na które trafiłem w internecie wynika, że e-mail został wysłany z pomarańczowego adresu [email protected], i „zachęcało” do pobrania pliku wykonywalnego udającego plik PDF:

Szanowni Państwo,
w ostatnim czasie część z Państwa (użytkowników Profilu Zaufanego) mogła otrzymać złośliwą wiadomość na skrzynkę email, z prośbą o weryfikację Profilu Zaufanego z adresu [email protected], najprawdopodobniej o temacie „Faktura 2018.10.30.”.

Fałszywe wiadomości nie zostały wysłane przez system Profil Zaufany, a przez internetowych oszustów.
Prosimy o nie reagowanie na tego typu podejrzane maile oraz o zachowanie szczególnej ostrożności.

Kliknięcie w podany w wiadomości  link powoduje pobranie pliku z rozszerzeniem „.exe”. Jego  otwarcie może spowodować zainfekowanie komputera.

Przypominamy, że Profil Zaufany nie wymaga dodatkowej weryfikacji loginu.

Dobrze, że tego typu wiadomości są wysyłane, choć jeszcze lepiej by było, gdyby w wiadomości pojawiły się jakieś informacje, choćby jak zweryfikować autentyczność wiadomości, i ogólnie – czego nie robić, jeśli zależy nam na naszym bezpieczeństwie.

Brak rekordu SPF (Sender Policy Framework)

Warto przy tej okazji zauważyć, że podszycie się pod adres w domenie gov.pl jest o tyle łatwiejsze, że dla tej domeny nie ma ustawionego choćby podstawowego zabezpieczenia, czyli rekordu SPF (dobrze, że dla ceidg.gov.pl już ustawili).

Dla przykładu domena pz.gov.pl już taki rekord ma ustawiony. Dlatego mam nadzieję, że NASK – jako operator domeny – jak najszybciej ustawić przynajmniej ten rekord dla domeny gov.pl (tak, to też jest domena, nie tylko rozszerzenie). Zwłaszcza, że np. domena nask.pl czy dns.pl mają ustawiony ten rekord, a więc potrafią… ;-)

(!) Zgłoś błąd na stronie