Podvodníci sa snažia vydávať za slovenského profesora a rozosielajú infikované ponuky v mene našej univerzity.

Po svete sa začal rozširovať zaujímavý automatický pokus o emailovú infekciu, ktorý hromadne skenuje weby univerzít jednotlivých štátov a v ich „mene“ v daných krajinách zasiela podvodné e-maily.

Postihnuté je aj Slovensko. E-mail ako taký má podvrhnutú hlavičku a javí sa ako odoslaný z e-mailu Technickej univerzity v Bratislave.

Jeho odosielateľom je z pohľadu príjemcu „Slovenská technická univerzita admin@stuba.sk“, pričom bez hlbšieho pohľadu do zdrojovej hlavičky nemá bežný používateľ ako zistiť, že ide o podvod.

Ako sme však už mnohokrát v našich článkoch vysvetľovali, adresu odosielateľa e-mailu je možné relatívne triviálne podvrhnúť (podobne ako adresu odosielateľa na fyzickom liste). Samotný infikovaný a podvodný e-mail z mailového serveru Technickej univerzity nepochádza a ani ňou nikdy neprešiel.

V skutočnosti vyšiel zo serveru v Kalifornii, konkrétne z hostingu na adrese vigil.lunarbreeze.com (IP: 64.50.163.75).  Ten však automatický mailer podvodníka len hosťuje a s podvodom pravdepodobne nemá nič spoločné. Ide skrátka len o server, z ktorého sa e-mail naozaj poslal.

Pozrime sa, ako to automatický systém zvládol so Slovenskom:

Automat ukradol titulné logo univerzity a ďalej zo stránky vyextrahoval kontaktné adresy, telefónne číslo a e-mail. Z nich vytvoril obrazovú hlavičku a pätku e-mailu.

To v základe nie je nič špeciálne. Automatický systém však pokračoval tým, že úspešne vyextrahoval meno a titul jedného z profesorov univerzity, ako dôveryhodnú osobu, v ktorej mene sa posiela.

To už je pomerne raritný krok. Ako si môžete ľahko overiť vyhľadávačom, meno a titul danej osoby je vyextrahovaný správne a daná osoba naozaj na univerzite figuruje.

V maile môžeme takisto vidieť logo projektu UltimateGaN, čo je európsky výskumný projekt, financovaný EU s podporou mnohých štátov, vrátane Slovenska. Slúži na podporu vývoja pokročilých polovodičov z nitridu gália, za účelom dosiahnutia energeticky úspornejšej elektroniky.

Nesený náklad v podobe falošného PDF dokumentu, ktorý je v skutočnosti spúšťacím EXE súborom

Text je viditeľne výstupom z automatického prekladacieho mechanizmu. Pôsobí teda dreveno, ale nie zase nijako obzvlášť. Preložené je takisto meno infikovanej prílohy, ktorá sa nazýva ŽIADOSŤ O PONUKU, doplnená o súčasný dátum.

Ide o ZIP archív, v ktorom sa nachádza falošný PDF dokument, ktorý je v skutočnosti spúšťacím EXE súborom (všimnite si falošný symbol bodky v prípone, ktorý je v strede namiesto na spodku).

Ide o injektor a trójskeho koňa z rodiny ZelphiF.34084 (klasifikácia BitDefenderu), respektíve EKIE podľa klasifikácie Esetu.

Detekcia prílohy v rozsiahlom zástupe rôznych antivírusov

E-mail pravdaže kričí nezrovnalosťami.

Aj keď je „zaslaný“ z ozajstnej schránky Slovenskej technickej univerzity admin@stuba.sk (to je samozrejme len podvrh na povrchu, z tejto schránky v skutočnosti nepochádza), v texte nás zdraví slovenský text začínajúci pozdravom z univerzity v Andorre.

Najzaujímavejším prvkom je však pätka. Automatický systém správne vyextrahoval kontaktné údaje Slovenskej technickej univerzity, avšak hľadal na nej aj odkazy na sociálne siete. Keďže tie na slovenskej stránke nenašiel, zostali v e-maile zrejme posledné vyplnené údaje z predošlého pokusu pre iný štát.

V tomto prípade teda vidíme, že na spodku zostali odkazy na sociálne siete Univerzity v Bulharskom Belehrade, kde sa e-mail šíri zas v danej lokálnej podobe. Každopádne celý mail je peknou ukážkou, kam sa automatický spam a pokusy o emailovú infekciu posúvajú.

Už dlhé mesiace sú na Slovensku mimoriadne populárne aj e-maily, snažiace sa vylákať z ľudí peniaze falošným vydieraním. Týkajú s obvykle tajného natáčania web kamerou pri masturbácii a podobne. Tomu sme sa venovali v samostatnom článku, na ktorý nájdete odkaz nižšie.

Poznám tvoje heslo do e-mailu, sledujem ťa na kamere a vidím tvoju internetovú históriu – ZAPLAŤ!

 

Značky: