• Tvůrci virových mailů dostávají stále nové nápady, teď to zkouší s DHL

    Po dlouhé době jsem zaznamenal promyšlený a takřka dokonale propracovaný, a hlavně chytrý mail se zavirovanou přílohou. Teď využívá nejistoty lidí, co si objednali u DHL. Má své chyby, ale vypadá to, že tentokrát se jeho tvůrci opravdu zamysleli.

     

    Znáte ten pocit? Něco jste si objednali a netrpělivě na to čekáte. Ať už jde o superlevnou ledkovou žárovku z čínského obchodu, která vám dojde za tři měsíce a stejně nebude svítit, nebo o drahý kuchyňský robot. No a teď čekáte, kdy to konečně přijde. Nebo jste si nic neobjednali?

    Tak přesně takové dilema zneužívá nová kampaň e-mailů se zavirovanými přílohami, která dorazila i do Česka. Využívá právě té nejistoty, jestli vám kdokoliv má nebo nemá něco doručit.

    Maily se tváří, že jsou od DHL a mají v předmětu poměrně důvěryhodně znějící “DHL eDelivery: DB0001169302/17AA (Final Notification)”, což vypadá na první pohled docela jasně. Pochází od adresy “DHL Customer Service CZ <Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.>”, což také zní důvěryhodně, autoři si dokonce dali tu práci a posílají tyto e-maily z Indických serverů, což mimochodem v globálním světě důvěru spíš zvyšuje, protože přece “každý ví, že všechny firmy mají IT v Indii :-)”.

    Obsah mailu vám pak sděluje, že vám DHL chtělo hrozně moc doručit vaši požadovanou očekávanou zásilku, ale na vaší adrese nikoho nezastihli, a tak byl zaslán tento notifikační e-mail. Informují vás i o novém datumu doručení s tím, že víc informací je v příloze. Ta se pak sice tváří jako PDF, ale důležitá je ona koncovka “.JAR” na úplném konci strašně dlouhého názvu. Ano, ve skutečnosti se jedná o Java applet, který zavolá vzdálený server a otevře mu kanál pro posílání instrukcí přímo přes Javu. Primitivní, ale účinné, protože Java má problémů s bezpečností sama o sobě více než dost.

    Mail je v angličtině a až na občasná nesmyslná data (jako že vás nezastihli 13.4 v 11 a budou doručovat 13.4. v 18, přičemž vám mail přišel 4 dny poté - no i když to je u takových společností vlastně taky docela normální :-) - vypadá opravdu profesionálně. Potenciálního paranoika pak uklidní informace, že: “This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.”. To nás všechny jistě uklidnilo, a tak hurá na spouštění onoho Java appletu. Ale vážně, otevřením a přečtením textu si neublížíte, ale za žádných okolností nespouštějte přílohu!

    Tato nová a docela propracovaná kampaň využívá neznalosti naší situace. Představte si manžela, kterému se dostane takový e-mail do rukou. A hned volá manželce: “Ty sis něco objednala? Protože já vo tom nevim. A navíc jsi v úterý nebyla doma?”  No, a ještě horší je to v prostředí korporátu, kdy vlastně nikdo neví, co si objednal. Také proto na tyto maily dost lidí kliká.

    Tato kampaň se tváří už docela profesionálně a těží z toho, jakou nejistotu dnes při čtení takových mailů máme. Každý chce přece svoji zásilku? A ten nápad se mi na tom pomyslně líbí. Tedy popravdě nelíbí, ale dokážu ho ocenit. Je to hezká ukázka aplikace sociálního inženýrství při podobných kampaních a ukazuje to, že dnes už těmhle lidem nestačí jen rozeslat pět milionů mailů a ono to něco udělá. Ale musí se už víc snažit. A to je pro nás, poškozené, vlastně docela špatná zpráva, protože řešení budou propracovanější.

    Před takovými maily od DHL jednoznačně varujeme. Nebyly by psány v angličtině, a i podle malých problematických míst, jako jsou datumy doručení a opakovaného doručení se dá podvod odhalit. Navíc de facto není vůbec nutné, aby u takové notifikace byl jakýkoliv dokument v příloze a je to tedy opravdu jen pokus donutit někoho spustit přílohu. Sama příloha, respektive prostředí Javy, vás pak opakovaně varuje a vy tak musíte tento skript několikrát potvrdit, což třeba u indocových nákaz v PDF souborech není.

    Takových chytřejších kampaní přibývá. Nedávno jsme pocítili první velký dopad někdejšího úniku databáze uživatelů Dropboxu, kdy některým uživatelům začaly chodit maily od Dropboxu s fakturou a odkazem pro zaplacení platební kartou. Pochopitelně také falešné. Ale jistě se několik lidí také nachytalo.

    Autor: Michal Rada

Nejčtenější