Antivírus blog

vírusok, férgek, botnetek, kártevők

Telekom számla vagy mégsem?

2014. január 20. 11:57 - Csizmazia Darab István [Rambo]

Alig pár napja csak, hogy a Picasa képek miatt került egy írásunk a Magyarországon világhírű "Vagy mégsem?" rovatunkba, de máris itt a következő adag, a téma jószerivel kifogyhatatlan. Egyfelől érkezett egy Telekom számla, másfelől villanyszámát is kaptunk "Helló Ügyfél" megszólítással. Pocsék időt semlegesítő poszt következik.

A "Vagy mégsem?" rovat állandó részeit mostantól nem írjuk le minden egyes alkalommal, akit érdekel olvasson vissza például itt. A főlényeg: kéretlen levélként érkező linkre, mellékletre sose kattintsunk, legyen az állítólagos feladó bárki. Másik főlényeg, a primitív vonal szerint sokszor a feladó e-mailcíme is egyből szemet szúr, másrészt az egér mutató kattintás nélküli link fölé húzása (hover) is orbitális ukrajnai, orosz, brazil és egyéb webhelyeket mutat rendre a banki, PayPal és egyéb behazudott URL-ek helyett, ezekre érdemes figyelni.

Mai két versenyzőnk közül az első egy állítólagos villanyszámla, melyben közlik velünk, hogy a 2013-es évi villamos energia fogyasztásunk elérte a limitet (ezmiez?), ám ha igény tartanánk kedvezményes energia tarifára, akkor nincs is más dolgunk, minthogy kattintsunk az új, kedvezőbb fizetési feltételeket tartalmazó számlát tartalmazó mellékletre. Itt legalább adtak a látszatra, mert a feladó "Customer Service Department <editor@iexpressusa.com>", persze ennek fényében már kevésbé logikus, hogy akkor a számlát miért is a hxxp://mc-prokill.4fan.cz domainről kellene letölteni ZIP-ben, de never mind, nem kell mindent érteni ;-) Lekapva a fenti állományt és kicsomagolva a zipet, a korábbi kettős fájlkiterjesztést nyomokban idéző, de azt barbár megoldásként abszolváló fájl tárul elénk: "2013.6734766.pdf____________________________________________________________________________________________________________.exe"
Igen, vállalkozókedvűeknek lehet saccolni, hány darab underscore karakter is van ebben a fájlkiterjesztésben, a választ majd ismertetjük a zárszóban, a helyes tippelők között értékes PDF villanyszámlákat sorsolunk ki ;-)

Dobjuk is be gyorsan kedvenc VirusTotalunkba, ahol aztán azonnal látszik, hogy sajnos nem ezen a kedvezményekkel felruházott tételen fogjuk megspórolni a következő C osztályú Mercink árát. A kártevőt szombaton még egyedül csak az ESET detektálta, mostanra viszont már a motorok mintegy fele jelzi, hogy egy jól fejlett trojan downloader próbálkozott ügyeskedni házunk táján, aztán így járt.

Ma számlás napunk van, jön is rögtön a másik, ami pedig egy német nyelvű telefonszáma, mely pedánsan jelzi, hogy valamilyen rejtélyes okból kifolyólag nem a magyar T csoport, hanem a kinti akar tőlünk úgy mindössze potom 398 Eurót beszedni. A levél feladója a Telekom Deutschland GmbH, akivel jó esetben nem is vagyunk üzleti kapcsolatban. A "Guten tag" kezdetű levelükben egyrészt tájékoztatnak arról, hogy ezt az állítólagos 2014. januári számlát bátran kifizethetjük, hiszen létezik az egységes Euró övezet, másrészt itt is gálánsan mellékelik a számlát, amely rejtélyes módon a "hxxp://alishkasuper.ru/telekom_deutschland/" webhelyre mutat. Ide látogatva kapunk egy index.html állományt, ami valójában egy ZIP, benne egy kacifántosan szép nevű "Mitteilung, Rechnungsruckstande 9901169820005294 Telekom Deutschland GmbH vom Januar 2014.exe" fájlt találunk.

Itt a levél alatt az ügyfélszolgálati vezető, a felügyelő bizottság, és a teljes menedzsment tagság neve ott sorakozik, nyilván amiatt, hogy ezek láttán biztos többen fizetik be a 398 eurót ;-) A készítők vették a fáradságot, és lekoppintották az eredeti oldalról a vezetőség névsorát, amelyben ott van egy igazi van Damme is, aki persze egy másik, és nagy valószínűséggel aligha spárgázik a Volvo kamionok visszapillantó tükrein két T csoportos telefonszámla kontírozása között. Érdekes bizalomépítő trükk, hogy egy létező antivírus ellenőrzési igazolását is ott lehet olvasni a levél alsó sorában, de mi ennek sem dőlünk most be.

Dolgozzanak csak a víruskeresők, ezért itt is bepottyantjuk a "számlát" a VirusTotalba, aminek meg is lesz az eredménye. Szombaton még itt is csak 10 motor detektálta ezt a trójait, a mai hétfőre azonban jelentősen felzárkózott a mezőny, és immáron 29-en is észlelték a 48 közül.

Összegezve, kezeljük óvatosan a kéretlen leveleket, még ha számlás linket vagy mellékletet is tartalmaznak, és olvasás előtt gondosan töröljük ki őket ;-) Másfelől pedig vegyük észre azt is, korántsem biztos, hogy minden spam csak veszélytelen kanadai gyógyszerész oldalakra vezet, mert igen sokszor találhatunk kártevőt is a linkek végén, vagy a csatolt mellékletekben, vagyis tényleg nem árt az óvatosság.
(A helyes válasz: 108 darab aláhúzás karakter :-)

3 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr295771803

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Pa Lee 2014.01.21. 11:52:11

Ó, én ma a Z-Telekomtól kaptam levelet, de sajnos nem tudom megmondani, hogy egyszerű kereskedelmi spam, vagy a fentiekhez hasonló vírusos meglepi volt-e, mert (hogy klasszikust idézzek) olvasás előtt gondosan töröltem.

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.07.28. 15:06:42

aki egy előre nem egyeztetett mailben érkező csatolmányt megnyit, az megérdemli. Úgy tanul a gyerek, ha megnyitja a tefelesegedmeztelenul.jpg.exe -t

_Epikurosz_ 2014.12.02. 11:36:58

Szóltam nekik, hogy csalnak a nevükben. Teljesen jó németséggel van írva az egész, nagyon gáz.

A 108 pedig szent szám az indiai mitológiában. :D