Support http://amicus.ba with small donation

Pošiljalac email-aNedavno sam, na hotmail, dobio email koji me informiše da će sa moje MasterCard biti naplaćeno 2868.01$.
Da bih to spriječio trebam otvoriti dokument u attachment-u.
Priložen je i password za otvaranje dokumenta (!?)

Sve je napisano na Engleskom jeziku.

Refleksno, mnogi bi odmah pokušali spriječiti plaćanje 2868.01$.
Međutim, odmah se treba zapitati - "Šta sam ja to kupio da bih platio toliki iznos?"
Drugo pitanje je - "Zašto je mail na Engleskom jeziku?"
I treće pitanje - "Kako je moguće da otvaranjem jednog Word dokumenta spriječim plaćanje računa od 2868.01$ ?"

Ako uopšte mogu postaviti sebi ijedno od ovih pitanja, primljeni mail odmah postaje sumnjiv.
To je klasični "phishing" odnosno pokušaj da se korisnik natjera da izvrši neku akciju bez da je toga uopšte svjestan.

U ovom slučaju je to download .EXE file-a sa određene web stranice na svoj računar a da toga niste niti svjesni.

Da pojasnim.
Budući da sam dobio mail koji uopšte ne očekujem, od osobe koju ne poznajem i koja nema veze sa mojom bankom te da je mail na Engleskom jeziku i povrh svega, nigdje se ne spomine niti moje ime niti detalji transakcije za koju me terete, sve mi je bilo jasno.
To je pokušaj prevare.

Pošiljalac email-aMail koji sam dobio je stigao sa sljedeće email adrese: "Mireya Boddie" <This email address is being protected from spambots. You need JavaScript enabled to view it.;

Hotmail pošiljaoc aprikazuje kao na slici lijevo.

 

Sadržaj mail-a je sljedeći:

Originalni email

Ili u prijevodu:

Pozdrav amicussamir

Uskoro će vam biti naplaćeno 2868.01$ sa ličnog MasterCard računa.
Pogledajte u attachment da to izbjegnete.
Šifra je 4555

S poštovanjem
Christiana

U attachment-u je bio Word dokument sa imenom Scan_amicussamir.doc što predstavlja prvi dio email adrese.
To upućuje na činjenicu da pošiljalac o meni nezna ništa drugo osim email adrese (što i nije tajna).
Ako je postavljena šifra za otvaranje dokumenta, to upućuje na postojanje macro ili VBA koda unutar dokumenta.
Šifra je postavljena da antvirusni scanner-i email servisa ne mogu skenirati dokument.

Obično takav email prijavim ako phishing scam, blokiram email pošiljaoca i izbrišem ga.
Međutim, sada sam se, prije svega navedenog, malo pozabavio tim dokumentom u attachment-u.

Uz blikadu izvršavanja svih macro i VBA apleta sam otvorio Word dokument.
sadržaj je bio sljedeći:

Word dokument

Sadržaj je još jedna uputa korisniku kako da otvori dokument - uputstvo kako da ISKLJUČI zabranu pokretanja macro-a u dokumentu.
Sve je uvijeno u navodnu preporuku Microsoft-a, sve samo da korisnik "nasjedne" na trik.

Properties Word dokumenta otkriva samo sljedeće:

author: 8n6r2cob
comment: hvaykxy5

Provjerio sam VBA kod dokumenta i dobio potvrdu svoje sumnje.

Kod dokumenta

Pri otvaranju ovog Word dokumenta se izvršava procedura Document_Open() koja, sa navedene web stranice preuzima i pokreće izvršni file explore.exe.
Šta taj file radi ne bih da provjeravam, ali sam potpuno siguran da ne briše račun od 28868.01$ :)

Pored toga, u dokument je ugrađena forma sa tri polja koja sadrže tekst (izvršni kod) sa imenom sljedećeg exe file-a hjtudhbj67.exe, slika ispod.

Forma

Siguan sam da se ovaki pokušaji dešavaju svima nebrojeno puta, ali sam htio samo da skrenem pažnju na to da postoji način da se zaštitimo od ovakvih napada.
Prije svega, NE OTVARATI DOKUMENTE OD NEPOZNATIH POŠILJALACA.
Pored toga, u MS Word-u isključiti pokretanje Macro instrukcija, slika ispod.

disable macros

Stoga, ako dobijete email od nekakve Mireya Boddie slobodno ga izbrišiti jer vam može samo nanijeti zlo.