Zavřít reklamu

V pátek ráno jsem i já stejně jako tisíce dalších uživatelů obdržel mail, který se na první pohled tvářil jako zcela legitimní email ze společnosti Active 24, která je důležitým hráčem na poli webhostingů a registrace domén v ČR. Email byl doručen na oficiální emailovou adresu naší společnosti s tím, že právě doména společnosti textfactory.cz nemá zaplaceno prodloužení registrace doménového jména a je nutné tuto platbu udělat do 24 hodin, jinak dojde k zastavení domény. Mail, jak můžete vidět v galerii, skutečně odpovídal oficiálním mailům, které provideři posílají a proto jsem se na něj podíval a přihlásil se do systému.

Zde je důležité podotknout, že systém akceptoval jakékoli heslo a jméno, které jste zadali a okamžitě vás přesměroval na vložení informací o platební kartě. Celá stránka přitom vypadala opravdu extrémně důvěryhodně a jediné, co na ni bylo podezřelé byla url adresa, kterou však vidíte až po jejím rozkliknutí, což lidé běžně nedělají. Naštěstí mi v ten moment došlo, že Text Factory stejně jako drtivou většinu domén máme registrované u jiného poskytovatele a proto jsem se na mail i url podíval podrobněji a v ten moment bylo jasné, že se jedná o jeden z nejsofistikovaněji vypadajících phishingových útoků, které kdy v ČR proběhly.

Mail i web totiž vypadaly skutečně extrémně věrohodně a zjistit, že jde o podvod nebylo vůbec snadné. Útok mířil na klienty společnosti Active 24 a těchto mailů bylo odesláno tisíce. Exkluzivně se nám k útoku vyjádřila Country manažerka Active 24 pro ČR paní Martina Pohořelická, která uvedla, jakým způsobem probíhal během pátečního dne útok na jejich klienty. Její vyjádření naleznete níže:

  • 10:27 zaznamenali jsme phishingový útok (tisíce doručených podvodných mailů) na naše zákazníky, který poměrně důvěryhodně napodoboval rozhraní adminpanelu ACTIVE 24 a měl za cíl podvodně přimět uživatele k vložení údajů o platební kartě do falešného formuláře (pod záminkou urgentní úhrady doménového jména).
  • 10:38 během deseti minut jsme zablokovali emaily došlé z adresy @st-email.com a ověřili jsme, zda z se stejných IP adres nechodí další phishing, což se nepotvrdilo, proto jsme nemuseli přistoupit k dalším zásahům naší straně. Také jsme zveřejnili upozornění na phishingové zprávy na našem Facebooku, login page do adminpanelu a homepage.
  • 12:12 dále jsme kontaktovali registrátora v Rusku, u kterého byla provozovaná podvodná stránka, a požádali ho o její zablokování.
  • 12:23 Odkazy v emailu přestaly fungovat (a tedy sbírat případná data z kreditních karet podvedených uživatelů) – 404 Not Found.

Active 24 tedy zareagoval poměrně rychle a situaci řešil již během doručení prvních emailů. Je však vidět, že phishingové útoky jsou v poslední době čím dál tím sofistikovanější a už se zdaleka nejedná jen o maily vyzývající k zaplacení dovozního cla za balíček od pošty nebo kurýrní společnosti, které každému chodí na denní bázi. Dávejte si tedy opravdu velmi dobrý pozor a věnujte zvýšenou pozornost i emailům od známých společností, jejichž služby skutečně využíváte.

Související články

Dnes nejčtenější

.