Itt az SZJA szezon, amikor a delikvensek megkapják a 2024-es évre kiszámolt személyi jövedelemadó kiszámolt tervezetét az adóhatóságtól.
Normál esetben mindez egy olyan ügyfélkapura mutató e-maillel érkezik, amely azontúl, hogy a tarhely.gov.hu oldalra irányít, a legitim üzenetek feladója pedig ertesites KUKAC tarhely PONT gov PONT hu.
Igaz, annyi változás azért szerencsére történt, hogy végre itt is beindult a kéttényezős hitelesítés, aminek révén jött az ügyfélkapu+ azoknak, akik valami miatt ódzkodnak a DÁP (Digitális Állampolgárság) elnevezésű korszerűsítéstől.
És hogy néz ki mindez egy csaló levélben? A levél feladója jelen esetben escconf2022 KUKAC mke PONT org PONT hu, ami jól látható kicsit sem hasonlít a hivatalos címre. A valódi levelek tárgysora ilyen szerkezetű szokott lenni: "Átvételi értesítő (Feladó: NAV, Dokumentum: 24SZJA tervezet elérhetősége - xxxxxxxxxxxxxx - Címzett: xxxxxxxxxxxx - ÉÉÉÉ.HH.NN. ÓÓ:PP:MM)"
Ezzel szemben a csaló levél subjectje ilyen volt: "Adóbevallási értesítés (Feladó: NAV, Bizonylat: Adóbevallási okmány: 94 - 022835271202502122332871983)", ahol ez a dokumentumazonosító vélhetően úgy keletkezett, hogy a macska random rákönyökölt a numerikus billentyűzetre.
Az üzenet szövegezése is igyekszik nagyon hivatalos megjelenésű lenni, és ehhez sok panelt, szövegrészletet ollóznak ki a legitim formalevelekre jellemző kinézetből. Lényeges eltérés azonban, hogy az eredeti üzenetekben az elküldött fájlok kiterjesztése általában .pdf szokott lenni, valamint a levélben szerepel olyan SHA-256 hash ellenőrző összeg is, amivel az eredetiségét is le lehet ellenőrizni.
Ugye ez azoknak is ismerős lehet, akik telepítőfájlokat vagy bootolható operációs rendszer .ISO anyagokat töltenek le, ahol ez kihagyhatatlan kulcsfontosságú biztonsági lépés.
A hamis levélben emellett szokatlan módon csatolt melléklet is található, ez a netes beszámolók szerint többféle néven is szerepelhet: Adó-visszaírási_tervezet.img, Adóbevallás.img, Adó-visszaírási_tervezet.img.exe, Adóbevallás.img.exe. A mi postaládánkba az Adóbevallás.img.exe csatolmány érkezett meg, ami egy MSIL/TrojanDownloader.Agent.RWE nevű letöltő kártevő.
Ez a trójai elsősorban Windows operációs rendszereket céloz meg, amelyet a Microsoft .NET keretrendszerében írtak (innen az MSIL - Microsoft Intermediate Language előtag megnevezés). Az ilyen kártékony kódok fő funkciója, hogy további rosszindulatú programokat töltsön le és telepítsen a megfertőzött számítógépekre.
Hogy miért éppen IMG, az olyan rejtély (mint pl. hogyan jutnak el télen a hóekevezetők a munkahelyükre), amit most nem igazán tudunk megfejteni, de azt azért vegyük észre, hogy ahol az ismert fájltípusok elrejtése opció aktív, ott a 2001-es Anna Kournikova vírus óta (akármi.jpg.vbs) könnyen fertőzhetnek, ráadásul a Windowsokban AZÓTA IS ez maradt az alapértelmezés - logikát ne keressen itt senki. Végül is csak 24 év telt el egy tipikus fertőzési módszer óta, ami azóta is szedi a kattintgató áldozatokat, de hát jól van ez így ;-)
Összegezve mindenkinek érdemes megjegyeznie, hogy a NAV nem küldözget mellékletben sem dokumentum fájlokat, sem pedig futtatható állományokat, a dokumentumokat kizárólag az ügyfélkapus rendszeren belül kapjuk tőlük.
A jó hír viszont, hogy a vírusvédelmünk szépen kiszűri, blokkolja az ilyen fertőzési próbálkozásokat, de persze az a legjobb felállás, ha az aktív naprakész védelmi megoldás mellett az egészséges gyanakvó óvatosság, és a biztonságtudatos hozzáállás is jelünk volt az óvodában.
