Ovih dana javilo nam se petnaestak klijenata koji su dobili predračune i opomenu pred utuženje zbog neplaćenih usluga. Radi se o klijentima koji su već obnovili svoje usluge i usluge su uveliko aktivne o čemu smo ih odmah i uputili i umirili. Međutim, pomislili smo da se radi o grešci sa naše strane (sistem poslao predračune) ili pokušaju prevare koji pogađa naše klijente.
Od klijenata smo zatražili primerke mejlova sa detaljima pošiljaoca kako bismo otkrili o čemu se tačno radi. Odmah smo videli da su mejlovi slati sa office@adriadoo.com koji nije naš mejl i u ime firme koja se zove Adria DOO. Ni jedan od ovih podataka nije naš pa ni mejlovi nisu poslati sa naše strane i to je u redu sada. Sve smo brzo proverili i utvrdili da naši serveri nisu kompromitovani i da ne postoji sigurnosni propust sa naše strane. Postalo je jasno da se radi o PHISHING napadu.
Odmah smo utvrdili i da je ovaj napad globalan i da hiljade ljudi u Srbiji i Repulici Srpskoj dobija ovakve mejlove. Evo i obaveštenja koje je postavilo Odjeljenje za informacionu bezbjednost – CERT Republike Srpske: HITNO – OBAVJEŠTENJE ODJELJENJA ZA INFORMACIONU BEZBJEDNOST – CERT REPUBLIKE SRPSKE povodom širenja „Spider“ ransomvera
Danas je objavljena i kompletna analiza Spider ransomver-a od strane CERT RS koju možete pročitati ovde: Analiza Spider ransomvera
Šta smo dalje uradili po pitanju ovog problema?
Rešili smo da probamo da blokiramo pošaljioca poruka. Prvo smo istražili ko je vlasnik domena što se može videti u javnom WhoIs listingu ukoliko nije uključena zaštita:
S obzirom da se vlasnik domena nije javljao na telefon koji je naveden u WhoIs podacima domena, prijavili smo zloupotrebu domena registraru gde je domen registrovan, poslali smo potrebne dokaze i ubrzo je domen ušao u #clientHold status što znači da je onemogućeno dalje korišćenje domena dok vlasnik ne kontaktira registrar.
Kontaktirali smo i hosting kompaniju u Americi koja je hostovala mail server odakle su se slali mejlovi i prijavili Phishing. Dobili smo povratnu informacija da je već bilo prijava po ovom pitanju i da je u toku rešavanje problema sa vlasnikom, dok su usluge suspendovane.
Ovim smo zaustavili divljanje Spider Ransomware-a sa adriadoo.com, međutim radi se o privremenom rešenju. Maliciozni vlasnici ovog domena sada mogu zakupiti drugi hosting i registrovati novi domen i nastaviti sa širenjem Malspam-a.
Kako da ne budete žrtva Malspam Spider Ransomware-a?
Na prvom mestu i pre svega, najpre proverite ko šalje mejl koji ste dobili (proverite koja adresa stoji u “From:” polju). Nikako nemojte kliktati na linkove ili preuzimati fajlove dok ne proverite ko šalje mejl i da li očekujete mejl po kojem treba da platite određene usluge.
Mejlove koje vam mi šaljemo (Adriahost DOO) mogu doći samo sa email adrese prodaja@adriahost.rs. Sve mejlove po pitanju usluga koje imate kod nas, a koji su došli sa drugih email adresa možete ignorisati.
Evo kako izgledaju polja mejla koji dobijate od nas, obratite pažnju na From polje:
i kako je izgledao sumnjivi mejl:
Evo i nekoliko saveta o tome kako da saznate više o tome ko vam šalje mejlove: Osam načina da otkrijete ko vam šalje sumnjivi e-mail
Kontaktirajte nas ukoliko niste sigurni kakav ste mejl dobili
Ukoliko dobijete bilo kakav mejl po pitanju vaših usluga u Adriahostu, a navodi se neka druga ili firma sa sličnim nazivom, taj mejl možete ignorisati. Ukoliko ste dobili sumnjivi mejl i niste sigurni da li je povezan sa uslugama koje imate u Adriahost DOO, možete nas kontaktirati preko naše kontakt forme ili otvaranjem tiketa kako bismo zajedno proverili da li se radi o validnom mejlu. Pre toga nemojte preduzimati bilo kakve korake.
Meni samo nije jasno zašto otvarate nešto a ne znate od koga je niti šta je. To je kao kada biste pustili dete da priča sa nepoznatima na ulici. Ista pravila važe i na netu.
U pravu ste Miljane, međutim, greške se dešavaju. Ljudi često prelete pogledom poštu i ukoliko vide deo reči ili naziva od poverenja jednostavno poveruju da se radi o mejlu koji je baš njima namenjen.