A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet (NBSZ NKI) riasztást adott ki március 30-án a Magyarország Ügyészségének nevével és arculati elemeivel visszaélő, zsarolóvírus fertőzéshez vezető adathalász üzenetekről.
A Magyar Ügyészség nevében küldenek e-maileket
A bejelentések alapján a támadók hamis, hivatalos megkeresés látszatát keltő leveleket küldenek, amelyekben ügyészségi alkalmazottak nevével élnek vissza. A kampány célja elsődlegesen az, hogy a felhasználó a levélben szereplő hivatkozásra kattintson, majd a megtévesztő oldalon keresztül rosszindulatú fájlt töltsön le. A fertőzés végső célja a végponton található dokumentumok, képek, archívumok és más állományok titkosítása, majd váltságdíj követelése. Egy másik, de hasonlóan új Gmail-os csalásról az Index cikkében is olvashatsz.
Fotó: Corbis/VCG / Getty Images Hungary
A támadás több lépcsőben zajlik. A címzett egy olyan e-mailt kap, amely hivatalos eljárás megindítására hivatkozik. A levelek “Tájékoztatás a [Cég neve] Kft.-vel kapcsolatos eljárási dokumentumokról” tárgyban érkeznek, és az alábbi tartalommal:
„Tisztelt [Címzett]!
Ezúton értesítjük, hogy a [Cégnév] Kft. (adószám: ***, székhely: ***) tekintetében a hatályos magyar jogszabályok alapján büntetőeljárás van folyamatban.
Az ügyhöz kapcsolódó iratok elektronikus formában az alábbi linken érhetők el:
[Ransomware letöltési linkje]
Kérjük, hogy a fenti hivatkozáson elérhető dokumentumokat megismerni szíveskedjen.
Amennyiben az ügyben nyilatkozatot kíván tenni, illetve észrevételt kíván előterjeszteni, azt a vonatkozó jogszabályi rendelkezések szerint, a meghatározott határidőn belül teheti meg.
Jelen értesítés kizárólag tájékoztatásul szolgál.
Tisztelettel:
xy
Magyar Ügyészség”
A levél egy olyan linket tartalmaz, amely első ránézésre hivatalos oldalra mutatónak tűnhet, valójában azonban megtévesztő domainre vezet. Ezen az oldalon a címzettet további kattintásra ösztönzik, amelynek eredményeként elindul a zárolás. A zsarolóprogram a titkosítás megkezdése után a fájlnevek elé „ZÁROLT_” előtagot helyez, miközben a fájl kiterjesztése változatlan maradhat. A fertőzéshez kapcsolódó váltságdíj üzenet magyar nyelven jelenik meg, és több esetben a „BlackBit-v2.0” megnevezés szerepel benne.
A megjelenített üzenet szerint a támadók e-mailes kapcsolatfelvételt kérnek, és azt állítják, hogy kizárólag ők képesek a fájlok visszaállítására. Erről képet az NKI tájékoztatásában találsz.
Itt pedig megnézheted, hogy ellopták-e az e-mail címed és a jelszavad.
Így lehet felismerni
Az ügyészség hivatalos e-mail címeinek végződése: @mku.hu. Gmail-es vagy más e-mail címről nem érkezhet az Ügyészségtől levél.
Az üzenetben szereplő link látszólag hasonlíthat egy hivatalos oldalra, ténylegesen azonban megtévesztő domainre mutat.
A hivatkozás megnyitása után további kattintásra, dokumentum megtekintésére vagy letöltésre próbálják rávenni a felhasználót.
Az NKI az alábbi intézkedéseket javasolja:
Ne kattintsunk az ilyen levelekben szereplő hivatkozásokra!
Mindig ellenőrizzük a weboldal címét a böngésző címsorában!
Ne töltsünk le és ne futtassunk a levélből, illetve az abban szereplő oldalról elérhető fájlt.
Mindig ellenőrizzük a feladó valódi elnevezését, vezetőjének nevét, e-mail címét.
Az ügyészség honlapján ezek az adatok naprakészen megtalálhatók: www.ugyeszseg.hu/elerhetosegek/ugyeszsegek
Ha az ellenőrzés sem ad egyértelmű választ, akkor érdemes az ügyészség tényleges elérhetőségein rákérdezni arra, hogy tőlük érkezett-e az e-mail.
Amennyiben a felhasználó a linkre kattintott vagy futtatható állományt indított el, az érintett eszközt haladéktalanul le kell választani a hálózatról.
Javasolt a kapcsolódó levelezési naplók, proxy-naplók, végponti események és letöltési előzmények azonnali vizsgálata.
A fertőzött vagy gyanús rendszer újraindítása, illetve további használata előtt javasolt az incidenskezelési eljárás megindítása és a bizonyítékok megőrzése.
Nagyon vigyázz, ha ilyen üzenetet kapsz: egy rossz kattintás és minden pénzed elveszítheted
Különösen veszélyes SMS terjed az országban.
Fotók: Getty Images