Nebezpečný mail z Obchody24 obsahuje malware, jak se bránit?

Přišel vám mail z Obchody24.cz, ve kterém vám poděkovali za nákup zboží, které jste si neobjednali? Určitě nejste jediní. Neotvírejte přílohu v ZIP souboru, protože obsahuje nebezpečný malware.

Do emailových schránek jednotlivců chodí poděkování za nákup drobností – sluchátek, USB disků, pamětí, klávesnic nebo myší, s hodnotou zpravidla do 1000 Kč. Na firemní schránky přicházejí zprávy o nákupu zboží v hodnotě několika desítek nebo stovek tisíc. Vše vypadá jako informace o uzavřené objednávce a v mailu jste vyzváni, abyste otevřeli přílohu (např. Potvrzení platby a fakturu najdete v přiloženém souboru ucet30XB.zip). Patříte-li mezi zkušenější uživatele internetu, tuhle chybu určitě neuděláte. Pokud nejste dost ostražití, kliknete na přílohu, abyste se podívali na fakturu. A váš počítač je „bohatší“ o počítačový malware…

Co k tomu říká nešťastná firma Obchody24.cz? Zástupci e-shopu všechny příjemce důrazně varují před otevíráním příloh, které podle bezpečnostních odborníků obsahují počítačový malware, označovaný mimo jiné jako winpe/Kryptik.CEDX. Doporučují zprávy smazat a nijak na ně nereagovat. Obsahují totiž náhodně zadaná jména a kontaktní údaje smyšlených i skutečných osob, které ovšem s tímto podvodem ani s e-shopem Obchody24.cz nemají nic společného. Jejich údaje pachatelé zneužili stejně, jako jméno Obchody24.cz. Věc šetří Policie ČR a snad se jí podaří zjistit, kdo v tom všem má prsty..

Jen pro ilustraci, jak takový podvodný mail vypadá:

Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.
Číslo objednávky (variabilní symbol): O5CE69164B40539
Datum a čas objednávky: 11.01.15 57:26
Kontaktní údaje:
Alena Brabcova 
+420 607 193 770
Vaše objednávka:
------------------------------
KW-2580E4, 4 x USB 2.0 port, imt. PCI, bílá: 1 x 287,00 Kč =287,00 Kč
Doúprava PPL: 117 Kč
------------------------------
Celková cena nákupu vč. DPH: 404,00 Kč
Způsob platby: Platba předem – platební karta
Poznámka: Potvrzení platby a fakturu najdete 
v přiloženém souboru (ucet30DB642.zip) 
-
Nyní prosím vyčkejte na našeho operátora,
který se s vámi spojí maximálně do 1 pracovního dne 
a dohodne podrobnosti ohledně Vaší objednávky.

Rozum do hrsti

Máte-li dobrou paměť, jistě víte, co jste kdy kupovali. Zřejmě rovnou poznáte, že zboží není vaše. Nepanikařte. Nevolejte, nepište, nečekejte na odezvu operátora. NEOTEVÍREJTE ZIP SOUBOR. Chovejte se k mailu stejně jako k nabídkám zázračných pilulek na zvětšení poprsí o tři velikosti, prodloužení penisu o 20 centimetrů a zázračné hubnutí o 30 kilogramů za pět dnů (kdo by nechtěl, že…?). Prostě vše smažte a vysypte koš.

Možná jste neodolali a soubor ZIP otevřeli… Není to tak neobvyklé. Mail je totiž sestaven velmi dobře a využívá tzv. sociálního inženýrství. Informuje vás, že platba byla uskutečněna předem pomocí platební karty. Vzbudil ve vás obavy. Možná si nejste jisti, zda vaši kartu někdo nezneužil a jen jste chtěli nahlédnout do faktury, zda je na ní skutečně číslo vaší karty. Už jste zapomněli, že na každou platbu u každé normální banky potřebujete následnou notifikaci, třeba s využitím kódu zaslaném mobilním telefonem… A jak to bylo dál? Zřejmě jste objevili další soubor, například faktura30DB642.scr (čísla a písmena jsou generována automaticky a mohou se proto lišit). Právě ten vás hrozně zajímal. Nevšimli jste si, že má příponu .scr, není to běžný dokument. A v něm se malware ukrývá. Máte-li aktuální antivirový program, měl by váš počítač ochránit. Jestliže nezachytil hrozbu už při otevírání souboru, pak v antiviru zkontrolujte celý disk. Ten hrozbu v některém adresáři jistě objeví a už si s ní poradí…

Více o použitém malware například zde