Üdvözlünk Sin City-ben

2021. január 19. 18:24 - Csizmazia Darab István [Rambo]

Illetve egész pontosan örömmel értesítjük, hogy ügyfele megbízta a Citi Bankot a csatolt dokumentumban részletezett számlák kifizetésének kezelésével. Hát ez a Citi egészen biztosan nem az a bizonyos Citi. További részletek a hajtás után...

Hova máshova, mint a spam mappába érkezett egy újabb ígéretes próbálkozás, amellyel igyekeznek megfertőzni a számítógépünket. Az pedig mindig külön öröm, ha személyesen maga a "Számlázás és fizetés" ír nekünk levelet, nem pedig Doktor Kátrány és Toll Professzor.

A kéretlen üzenet rövid és tömör, "bikkfa" nyelvezetű, Twitteres egyszerűségen edződött stílusában a következőket tartalmazza: "Tisztelt Hölgyem/Uram. Örömmel értesítjük Önt, hogy ügyfele megbízta a Citi Bankot a csatolt dokumentumban részletezett számlák kifizetésének kezelésével. Üdvözlettel, Számlázás és fizetés". Ez most akkor tényleg örömhír nekünk, vagy csak kaptunk egy fizetési felszólítást?

Nézzük akkor meg, milyen klasszikus átverési jellemzőket azonosíthatunk, vehetünk észre benne. Hát kevés magyar bank ír olyan hivatalos levelet, amelynek a feladója "dan PONT iotu KUKAC primariatecuci PONT ro" lenne. Az e-mail traces vizsgálat megerősítette mindezt, Vrancea (Vráncsa) megye és Focsani (Foksány) város a feladó lokációja az IP cím alapján.

A kép szerint mellékletnek látszó PDF állomány valójában egy távoli linkhivatkozás egy onedrive.live.com oldalon található URL címre, amelyre kattintva nem az ígért PDF dokumentum érkezik, hanem egy "Fizetesi felszolitas.tgz" nevű tömörített állomány, benne a "Fizetesi felszolitas.exe" futtatható fájllal, a többi pedig már történelem. Vegyük azért észre a magyar ékezetek hiányát is, nem mintha ezen már múlna bármi is. A címzetteknél szereplő "undisclosed-recipients:;"-ről már nem is beszélve, hiszen ez egy tömeges körlevél Hölgyemnek, Uramnak...

Vicces módon a lábléc még az alábbi kamu biztonsági üzenetet is megjeleníti: "This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean."

Miszerint itt már egy vírusellenőrzött levelet kapunk, amely tisztának és ártalmatlannak osztályozta a látszólag Citi Bank által küldött üzenetet.

Végül vizsgáljuk meg akkor ezek után magát a rakományt is. Ez egy Kryptik trójai, amelyre a VirusTotal weboldal víruskereső motorjai közül 34 antivírus riaszt is.

A fájl hash alapján az állomány első előfordulása: 2021-01-15 07:10:07 volt, viszonylag friss darab. Ezzel hárítottuk is ezt az állítólagos fizetési felszólítást, és mindössze ennyi kis figyelem elég volt mindehhez.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása