Niedawno pojawił się nowy dobrze przygotowany atak skierowany na skrzynki pocztowe użytkowników portalu Interia.pl
Tym razem sprawcy przygotowali atak dość dokładnie.
Nie tylko treść listu jest merytoryczna i sprawdzona pod względem błędów i stylistyki ale czytając ją odnosi się wrażenie że faktycznie potrzebujemy pomocy. Zresztą zwróćcie uwagę na treść listu.
Szanowny Użytkowniku
Kontaktujemy się z Tobą,
ponieważ otrzymaliśmy informację o dużej ilości wiadomości spam wysłanych z
Twojego adresu e-mail w przedziale czasowym 27-30.01.2019 roku na adresy
skrzynek pocztowych innej firmy, działającej w branży usług pocztowych.
Informacje te nie znajdują potwierdzenia w zapisie aktywności na twoim koncie,
niestety proceder podszywania się pod czyjś adres e-mail w celu ukrycia własnej
tożsamości jest praktycznie normą wśród przestępców. Twoje konto jest nadal
bezpieczne a my, jak zawsze w takiej sytuacji, zaprzeczyliśmy temu, że
wiadomości zostały wysłane przez użytkownika naszego serwisu. Tego rodzaju
zajścia jednak, zwłaszcza te niezgłoszone do nas, szkodzą reputacji skrzynki
pocztowej a prawdziwe wiadomości wysyłane z adresów e-mail dotkniętych tym
problemem często nie docierają do adresata. Usuwane są już na etapie wstępnej
selekcji jako spam. W związku z coraz częstszymi wypadkami tego typu oraz w
trosce o bezpieczeństwo i jakość naszych usług wprowadzamy nowe zabezpieczenie
zwane DMARC. System DMARC jest najnowszym międzynarodowym standardem ochrony
tożsamości adresów e-mail, stworzonym właśnie na wypadek prób jej przejęcia.
Token z funkcją DMARC praktycznie uniemożliwia takie działania- wiadomość
wysłana z innej skrzynki niż Twoja nigdzie nie dotrze, jeśli będzie “udawała”,
że pochodzi z Twojego konta. Rozwiązanie zostanie wprowadzone w połowie
bieżącego roku, ale już teraz uruchomiliśmy program pilotażowy dla usługi i
zachęcamy dotkniętych problemem „mail spoofing”, aby wzięli w nim udział. Jeśli
chcesz dowiedzieć się więcej lub wziąć udział w pilotażowym programie, przejdź
do strony pomocy
https://www.interia-token[.]pl/pomoc/news-smart-token-DMARC,nId,2357382.html, lub do strony usługi https://www.interia-token[.]pl/iwa_source=sg_ikona i postępuj zgodnie ze wskazówkami. Cały
proces aktywacji zabezpieczenia dla Twojego konta potrwa około minuty. W razie
jakichkolwiek pytań prosimy o kontakt z Biurem Obsługi Klienta firma.pomoc@interia.pl.
Pozdrawiamy,
Zespół Poczty Interii
Wiadomości do użytkowników interii wysyłane są z różnych adresów sugerujących ich wiarygodność
firma.pomoc@interia.pl
system.ochrony@interia.pl
ochrona.danych@interia.pl
pomoc.system@interia.pl
Problem polega na tym tak spreparowana wiadomość sugeruje użytkownikowi, że faktycznie może uzyskać pomoc a już na pewno nic się nie stanie jeśli dodatkowo zabezpieczy swoje konto.
Atak polega na tym, że użytkownik klikając w link jest kierowany na podrobioną stronę interii, sprawca zadał sobie nawet trud aby dopasować loga i kolorystykę portalu. Po wejściu proszeni jesteśmy o podanie swojego loginu i obecnego hasła – Pamiętajmy żeby tego nie robić !
Problem w tym że jeśli ktoś ma zastrzeżenie to nawet jeśli sprawdzi mechanizm DMARC to znajdzie jego wiarygodny opis bo taka funkcjonalność faktycznie istnieje.
SPF i DKIM są to dwa najpopularniejsze zabezpieczenia przed pishingiem. Aby podnieść bezpieczeństwo ochronę można rozszerzyć o mechanizm DMARC.
Domain-based Message Authentication (DMARC) jest to mechanizm definiujący jak ma zachować się serwer pocztowy, który otrzyma wiadomość nieprzechodzącą weryfikacji za pomocą SPF i DKIM. Czyli mniej technicznym językiem pisząc. Jeśli wiadomość zostanie zakwalifikowana jako spam – mechanizm ten umożliwia utworzenie polityki co ma dziać się z taką wiadomością. Możemy zdefiniować czy taka wiadomość ma trafić do np. kwarantanny lub ma zostać usunięta.