IVRP.pl Strona Główna IVRP.pl
polityka - militaria - kultura - podróże

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Poprzedni temat «» Następny temat
I jeszcze jeden atak -tym razem na jednego z ubezpieczycieli
Autor Wiadomość
Black^Widow 
Oberfeld-Hebel


Pomógł: 3 razy
Dołączył: 28 Wrz 2006
Posty: 4508
Skąd: DC (District Cracovia)
Wysłany: Wto 12 Cze, 2018 19:18   I jeszcze jeden atak -tym razem na jednego z ubezpieczycieli

JEdne z interesujących ataków z ostatnich dni

niebezpiecznik.pl napisał/a:

Oficjalne serwery pocztowe Ergo Hestii użyte do bardzo sprytnego ataku na Polaków


Wczoraj ktoś postanowił wykorzystać dostępy jednego z agentów ubezpieczeniowych Ergo Hestii do oficjalnej infrastruktury pocztowej ubezpieczyciela i rozesłał złośliwą wiadomość na skrzynki e-mail tysięcy Polaków. Treść e-maila była bardzo wiarygodna, ale na szczęście przestępca popełnił jeden błąd i choć mogło być groźnie, było tylko śmiesznie.
Informacja o rozdysponowaniu wpłaty

Od wczoraj informujecie nas o kampanii, która rozpoczęła się tuż po północy. Kampanii bardzo niecodziennej, bo przestępcy do rozsyłki wykorzystali nie jak to zwykle bywa, zhackowane skrzynki e-mail przypadkowych internatów czy serwery pocztowe nazwa.pl (pozdrawiamy siedzącego w areszcie Armaged0na!), a infrastrukturę jednego z polskich ubezpieczycieli — firmy ERGO Hestia.

Oto jak wyglądał e-mail:



OD: Paweł Kolasa 018659@ag.ergohestia.pl
Temat: Informacja o rozdysponowaniu wpłaty

Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.
W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.
Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.
Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).

Z poważaniem
Paweł Kolasa
STU Ergo Hestia S. A.

Wiadomość stworzoną przez atakującego oceniamy na 9/10. Jest — co rzadko się zdarza — składnie napisana w języku polskim, zawiera polskie znaki diakrytyczne i nie posiada błędów ortograficznych. Pochodzi ze skrzynki w domenie ag.ergohestia.pl, ale dokładnie z tej domeny korzystają agenci ubezpieczeniowi Ergo Hestii. Gdyby ktoś miał wątpliwości, że adres e-mail jest podrobiony, to rzut oka w nagłówki wiadomości go uspokoi — wiadomość została wysłana z prawdziwych serwerów pocztowych Ergo Hestii:



E-mail zawiera też załącznik. Poniżej podajemy różne nazwy, jakie widzieliśmy w przesłanych do nas próbkach:

FV_0643.zip
FAKTURA_3163.zip

W środku ma znajdować się korespondencja, więc plik .htm jakoś specjalnie nikogo nie powinien zdziwić, choć dziwić powinna jego nazwa:

0_warning.htm

Po wypakowaniu i otworzeniu pliku — niespodzianka! — ofiara nie zostanie zaatakowana złośliwym oprogramowaniem, a zobaczy komunikat od …antywirusa zainstalowanego na serwerze pocztowym Ergo Hestii, który usunął złośliwą zawartość z załącznika.



“ZABLOKOWANO ZAŁĄCZNIK”
W Twojej wiadomości z 2018-06-11 został wykryty potencjalnie niebezpieczny załącznik (FV_0643.vbs). Został on zablokowany przez oprogramowanie antywirusowe na serwerze pocztowym (smtp1.ergohestia.pl).

Szczęście w nieszczęściu

A więc serwery pocztowe Ergo Hestii, które miały być dla przestępcy gwarancją sukcesu tej kampanii, stały się jednocześnie jej gwoździem do trumny.

Przestępca najwyraźniej nie sprawdził przed masową wysyłką, czy jego złośliwy załącznik poprawnie dochodzi do ofiary. A może sprawdził, ale nie zauważył, że załącznik ma podmienioną treść? Jest też niewielka szansa na to, że załącznik w kilku początkowo rozsyłanych wiadomościach przeszedł bez żadnych problemów, ale systemy antywirusowe nauczyły się, że jest złośliwy i zaczęły go blokować dopiero później. Nieważne. Ważne jest to, że “atak spadł z rowerka”.

Warto mieć antywirusa

Ta kampania pokazuje, jak ważne jest to, aby firmy posiadały oprogramowanie antywirusowe nie tylko chroniące skrzynki ich pracowników przed PRZYCHODZĄCYMI złośliwymi wiadomościami. Antywirus powinien działać również NA WYJŚCIU. Aby chronić klientów firmy przed otrzymaniem przypadkowo wysłanego złośliwego pliku lub przed sytuacją jaka miała miejsce w Ergo Hestii: przejęciem komputera lub skrzynki e-mail jednego z agentów i wykorzystaniem jego dostępów do masowego rozsyłania złośliwego oprogramowania. Brawo dla ubezpieczyciela, że zidentyfikował to ryzyko zawczasu i odpowiednia konfiguracja uratowała dzień tysiącom, a może nawet setkom tysięcy Polaków.

Ilu dokładnie — tego nie wiemy, ale patrząc po skali zgłoszeń jaka wczoraj spłynęła na redakcyjną skrzynkę, podejrzewamy że ofiary szły w tysiące. O ich dokładną liczbę zapytaliśmy Ergo Hestię i kiedy spłynie do nas ich komentarz, opublikujemy go w aktualizacji do tego artykułu [EDIT: już dotarło, wklejamy poniżej].
[...]

źródło/czytaj więcej: https://niebezpiecznik.pl/post/oficjalne-serwery-pocztowe-ergo-hestii-uzyte-do-bardzo-sprytnego-ataku-na-polakow/
m.in informacje z ostatnich chwil oraz Śledztwo -rozważania jak mogło dojść do przejęcia komputera pracownika Hestii
_________________
po apelu policji skruszeni hakerzy odesłali skradzioną bazę mailem
 
 
smokeustachy 
sekretarz władz wojewódzkich


Pomógł: 5 razy
Dołączył: 04 Mar 2007
Posty: 3059
Skąd: Oxenfurt
Wysłany: Śro 13 Cze, 2018 00:06   

Akurat przejęcie musi być brane pod uwagę. Zawsze może dostać np. kopa w ryj.
_________________

 
 
 
Black^Widow 
Oberfeld-Hebel


Pomógł: 3 razy
Dołączył: 28 Wrz 2006
Posty: 4508
Skąd: DC (District Cracovia)
Wysłany: Śro 13 Cze, 2018 10:01   

Ale to raczej mało prawdopodobne . W każdym razie bez dobrej znajomości zwyczajów/realiów pracowników z tego sektora - mało celowe.

Bardziej prawdopodobny jest już wektor ataku opisywany przez redakcję niebezpiecznika.
_________________
po apelu policji skruszeni hakerzy odesłali skradzioną bazę mailem
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,06 sekundy. Zapytań do SQL: 13