Wiadomości wyłudzające dane użytkownika to w obecnych czasach bardzo częste zjawisko. O wielu próbach podszycia się pod znane firmy informował np. popularny serwis niebezpiecznik.pl. Na szczęście już na pierwszy rzut oka możemy stwierdzić, czy otrzymany email jest wiarygodny. Pokażemy to na przykładzie z zeszłego tygodnia – kilku naszych klientów zwróciło się wówczas z pytaniem o zasadność otrzymania poniższej wiadomości.
Jak wygląda przykładowy phishing?
Przygotowany przez oszusta mail dotyczył blokady domeny .com i zawierał dużo wrażliwych treści (z pogrubioną czcionką), aczkolwiek bez konkretów – co już samo w sobie powinno wzbudzić podejrzenia:
===========================
Dear XXXXXXXXX,
The Domain Name XXXXXXXXXXXX have been suspended for violation of the TUCOWS, INC. Abuse Policy. Multiple warnings were sent by TUCOWS, INC. Spam and Abuse Department to give you an opportunity to address the complaints we have received. We did not receive a reply from you to these email warnings so we then attempted to contact you via telephone. We had no choice but to suspend your domain name when you did not respond to our attempts to contact you. Click here and download a copy of complaints we have received. Please contact us for additional information regarding this notification.
Sincerely,
TUCOWS, INC.
Spam and Abuse Department
===========================
Tak skonstruowany mail ma za zadanie jedynie zmusić odbiorcę do wykonania prostej akcji – kliknięcia w odnośnik i pobrania pliku (najczęściej w formacie archiwum .rar lub .zip), a następnie uruchomienia tego pliku na naszym komputerze. W większości przypadków będzie to zwykły wirus, spyware lub inne szkodliwe oprogramowanie, które automatycznie zainstaluje się na naszym urządzeniu.
Jak uniknąć oszustwa w przypadku domeny globalnej?
Jak odnieść się do wiarygodności informacji w mailu? Przede wszystkim – sprawdź czy domena rzeczywiście jest zablokowana. Jeżeli adres działa i wyświetla stronę WWW, wszystko jest w porządku. Jeżeli jednak blokada rzeczywiście miałaby miejsce – wpisanie adresu w przeglądarce powinno zakończyć się jednym z takich komunikatów (może się różnić w zależności od wersji danej przeglądarki):
Istnieje niewielka szansa, że komunikat jest wynikiem błędnej konfiguracji domeny (brak prawidłowo wyznaczonych serwerów DNS) lub przekierowania na serwer, który nie istnieje lub nie działa. Nie jest to tożsame z blokadą domeny. Jeżeli nie jesteś pewny – zgłoś się do naszego Biura Obsługi Klienta. Nasi konsultanci sprawdzą status domeny. Aktywny i dobrze skonfigurowany adres zawsze wyświetli jakąś stronę np. informację o zaparkowaniu na serwerach DNS lub samą stronę WWW. Jeżeli w takiej sytuacji otrzymasz maila z powyższą treścią, zachęcającą do kliknięcia w odnośnik – trzeba się liczyć z próbą wyłudzenia/podszycia.
Czy można sprawdzić status domeny samodzielnie? Większość narzędzi typu WHOIS pozwala na weryfikację informacji o adresie w ciągu kilkunastu sekund. Jednym z takich narzędzi jest strona pod adresem http://who.is. Jeżeli domena zwróci w podsumowaniu status OK, ClientTransferProhobited lub clientUpdateProhibited – blokada nie została nałożona i błąd tkwi w konfiguracji.
Innym sposobem na sprawdzenie wiarygodności jest weryfikacja adresu nadawcy. Bardzo często serwer wysyłający fałszywą wiadomość korzysta z mało popularnej końcówki w domenie: .op, .id, .lv itp. Szczegółowe dane i adres wysyłającego sprawdzimy w nagłówku.
Skąd pochodzi taka wiadomość? Dane abonenta domeny globalnej tj. imię i nazwisko (nazwa firmy), telefon adres zamieszkania, adres email są standardowo widoczne w wynikach WHOIS. Zwróć uwagę, że w powyższym przykładzie zostały one wspomniane przez samego oszusta, ale potraktowano je bardzo ogólnikowo (świadczy to o automatycznym skrypcie wysyłającym maile do pewnej bazy abonentów domen globalnych). Przy mniejszej skali zjawiska próby podszycia potrafią być o wiele bardziej wiarygodne m.in. poprzez wysłanie spersonalizowanego maila z odnośnikiem do groźnego oprogramowania.
W jaki sposób ukryć swoje dane? Jeżeli posiadasz domenę .com, .net., .org i .biz w home.pl – skorzystaj z usługi Ochrony Prywatności. Twoje dane zostaną ukryte w bazie WHOIS.
