PDF-y wyłudzające dane logowania do poczty firmowej

Najnowsza akcja oszustów mająca na celu uzyskanie cudzych danych logowania do firmowej poczty e-mail polega na wysyłaniu powiadomień rzekomo z usług online firmy Adobe. Tym razem wykorzystują oni dostępny przez internet plik PDF (który podobno znajduje się na stronie internetowej firmy Adobe). Utworzyliśmy prawdziwy plik, aby pokazać, po czym rozpoznać fałszywego e-maila i fałszywy internetowy plik PDF.

Wiadomość wyłudzająca informacje z programu „Adobe PDF Online”

We wspomnianych oszukańczych wiadomościach pierwszą rzeczą, która się wyróżnia, jest opis pliku udostępnionego za pomocą niby bezpiecznego programu „Adobe PDF online”. W pierwszej kolejności należy zadać sobie pytanie, czy taki serwis rzeczywiście istnieje. Mimo że nazwa brzmi wiarygodnie, warto zajrzeć do wyszukiwarki Google. Jak się okazuje, Adobe rzeczywiście oferuje usługę przechowywania plików PDF online, która umożliwia użytkownikom udostępnianie zaszyfrowanych plików. Jednak na prawdziwej stronie internetowej Adobe nie ma nazwy „Adobe PDF online”: są „Adobe Acrobat online” i „Adobe Document Cloud”. Z ciekawości poprosiłem kolegę o wysłanie do mnie pliku, abym mógł porównać oba powiadomienia.

Prawdziwa wiadomość jest po prawej stronie

Załóżmy, że nie wiesz, jak wygląda prawdziwa wiadomość e-mail informująca o tym, że ktoś udostępnił Ci pliki firmy Adobe. Oto kilka oznak, po których można rozpoznać szwindel — żadna z tych informacji nie jest gwarancją oszustwa, a od każdej reguły istnieją wyjątki, ale każda z nich powinna wzbudzić Twoje podejrzenia i skłonić Cię do uważniejszej analizy:

1. Nadawca. Jeśli wiadomość e-mail pochodzi z usługi internetowej, nazwa i adres nadawcy powinny być oczywiste. A jeśli nadawcą jest konkretna osoba, taka wiadomość nie wygląda jak powiadomienie z usługi.
2. Temat. Czy wiadomości skierowanej do osoby o imieniu Tomasz nadałbyś temat w stylu „tomasz@gmail.com otrzymał plik PDF”?
3. Nazwa usługi. Nie musisz pamiętać nazwy wszystkich usług dostępnych w internecie, ale jeśli nie masz całkowitej pewności, użyj wyszukiwarki, aby rozwiać swoje wątpliwości.
4. Hiperłącze/ikona. Zanim klikniesz ikonę Pobierz lub Otwórz, umieść nad nią kursor, aby sprawdzić miejsce, do którego prowadzi naprawdę.
5. Stopka wiadomości. Wiadomość e-mail od firmy Adobe raczej nie będzie zawierać na końcu zapewnienia, że firma Microsoft szanuje prywatność użytkownika.
6. Do oświadczenia o ochronie prywatności nie jest dołączone hiperłącze.

Czy to strona internetowa chmury Adobe Document Cloud?

Szukamy dalej. Załóżmy jednak, że e-mail wygląda świetnie. Dla świętego spokoju sprawdzamy stronę internetową, która w tym przypadku wygląda jak okno uwierzytelniania zasłaniające rozmyty interfejs programu Adobe Acrobat Reader DC. Wygląda wiarygodnie, ale tylko wtedy, gdy osoba, która otrzymała e-mail, nie wie, jak wygląda prawdziwa strona internetowa usług online Adobe oraz jej okno wprowadzania hasła.

Prośba o hasło na stronie phishingowej (u góry) i na prawdziwej stronie internetowej firmy Adobe

Tutaj znaki ostrzegawcze nieco się różnią. Po pierwsze na rozmytym tle ochrona poufnych danych jest na dość nieprofesjonalnym poziomie (część tekstu jest łatwa do rozszyfrowania gołym okiem).

1. Adres URL. Witryna internetowa usługi Adobe powinna mieć w adresie domenę Adobe.
2. Pomimo zastosowania rozmycia można odczytać nazwę pliku: EMInvoice_R6817-2.pdf. Nie nawiązuje ona do okna logowania, w którym z kolei znajduje się plik dostępny do pobrania o nazwie „Wire Transfer Receipt.pdf”.
3. Pomieszanie określeń. Na rozmytym dokumencie znajduje się napis „Invoice” (pol. faktura), co sugeruje, że dokument został wystawiony w celu dokonania płatności, tymczasem w nazwie pliku znajduje się wyraz „Receipt” (pol. paragon) — co sugeruje, że płatność została już dokonana.
4. Wersje programu. Na rozmytym tle widoczna jest nazwa „Adobe Acrobat Reader DC”, natomiast w oknie uwierzytelniania jest wspomniany program „Adobe Reader XI”. Ktoś, kto rzadko używa plików PDF, może nie wiedzieć, że XI jest starszą wersją oprogramowania, ale to nie ma znaczenia — najważniejsza jest tu rozbieżność w nazwach.
5. AdobeDoc Security. Możesz nie śledzić nazewnictwa, jakie firma Adobe stosuje w swoich technologiach, ale obok „AdobeDoc” znajduje się symbol zarejestrowanego znaku towarowego, co warto sprawdzić.
6. Prośba o hasło do poczty e-mail. Legalna usługa Adobe go nie potrzebuje.

Jak chronić firmową pocztę e-mail przed phisherami

Aby chronić pracowników firmy przed wyłudzaniem informacji:

• Regularnie zwiększaj ich świadomość na temat aktualnych zagrożeń cybernetycznych, aby nie dali się nabrać na sztuczki phishingowe.
• Na firmowym serwerze poczty e-mail zainstaluj rozwiązanie chroniące przed wyłudzaniem informacji, aby szkodliwe wiadomości nie docierały do skrzynek odbiorczych pracowników.
• Na każdym komputerze służbowym zainstaluj produkty zabezpieczające zawierające komponenty zapobiegające phishingowowi; ich filtry uniemożliwią pracownikom otwieranie łączy phishingowych.