Do mailových schránek přicházejí stále nové verze mailů, které uživatele upozorňují na expirující mailový účet, zaplněný mailbox, přesun mailboxu z důvodu napadení virem, zablokování účtu pro jeho napadení… Zde je jeden z mnoha:

Od: cPanel Admin cpaneladmin@norton.com
Komu: zmenena.adresa@seznam.cz
Datum: 24. 4. 2019 0:10:29
Předmět: Violation detected! Your Webhosting Account will be shut down!

Dear zmenena.adresa@seznam.cz,
Your cPanel webhosting account has been transmitting viruses to our servers and will be deactivated permanently if not resolved.

In respect to the above, you are urgently required to sanitize your webhosting account with Norton FTP Scanner; otherwise, your access to cPanel webhosting services will be deactivated


Click here now to scan and sanitize your webhosting account

Note that failure to sanitize your webhosting account immediately will lead to permanent deactivation without warning.

We are very sorry for the inconveniences this might have caused you and we assure you that everything will return to normal as soon as you have sanitized your webhosting account.

cPanel Admin

Co se za těmito maily skrývá? Každý tento mail obsahuje odkaz, který vede na server, kde po uživateli chtějí jeho přihlašovací údaje k mailové schránce, popřípadě jakékoliv, které uživatel zadá. Když kliknete na uvedený odkaz, uvidíte formulář, který se tváří jako chráněný portál (produktem Norton account login, který neexistuje), a čeká na vyplnění vaší domény, serveru, uživatelského jména a samozřejmě i hesla:

Pokud nějaké údaje zadáte, proběhne jakési skenování (naoko) a pak se zobrazí „Scan complete“ a tím byly všechny zadané údaje uloženy do sbírky podvodníků.

Ti tak snadno získali server, doménu i s jménem a heslem, kterými se pak pokusí v nejbližší době přihlásit. Podle toho, co tam najdou, provedou nějaké vytěžení napadeného zdroje. Když jde o server se soubory, dokumenty a dalšími daty, mohou je zašifrovat a požadovat zaplacení částky za jejich dešifrování. Z napadeného mailboxu mohou pro změnu rozesílat nevyžádanou poštu nebo si odemknout další účty, ke kterým je mailbox vázaný.

Pokud k vyplnění podvodného formuláře došlo, je nutné provést co nejdříve změnu hesla u tohoto účtu a také u dalších služeb, které jsou na tento účet vázané (například úložiště Dropbox, které posílá požadavek na změnu hesla mailem).

Jak poznat, že je podobný mail podvrh a podvod?

1. sledujte, z jaké adresy mail přišel. Ale pozor, i kdyby mail byl z adresy např. admin@seznam.cz, nemusí to být opravdu od seznamu,
2. dávejte pozor, kam odkaz v mailu míří. V našem případě je to podivná doména amda.org.np, která zcela jistě s mailem na seznam.cz nesouvisí,
3. text mailu bývá špatnou češtinou (překlad google translator) nebo v angličtině, což je u seznam.cz nelogické,
4. vyzývat k zadání hesla přes webový formulář nikdo dnes nechce. Zvlášť, když ho sám posílá jako odkaz v mailu. Pokud by vás kontaktoval poskytovatel nějaké služby, obvykle vás sám navede slovy „přihlašte se do vašeho mailu a zkontrolujte…“, a nebude po vás chtít zadat doménu nebo i dokonce server.

Pokud si nejste jistí, zda jde o podvrh, raději se raději pětkrát zeptejte, než jednou předat své údaje podvodníkům.

Zde je ještě několik ukázek dalších, podobně cílených mailu:

From: Domain_Admin info@apivalidatedomain.cf
Sent: Friday, April 19, 2019 12:51 PM
To: novakova@sample.cz
Subject: [Email_Disconnection]

Important Notice!

Dear novakova

Our server detects that your email storage has exceeded its limit and needs to be upgraded immediately

Click here now to upgrade your email storage
If you fail to comply, we will lock your account and all email data will be permanenly lost.
Source: Domain Administrator

Podobný mail, který ale nepodstrkuje odkaz na stránky s formulářem, zase obsahuje trojského koně “ JS/Danger.ScriptAttachment“ v připojeném souboru info_cc26080.zip. Samotný text jen oznamuje, byl překročený limit na kreditní kartě a účet byl tak dočasně zablokovaný. V příloze můžeme nalézt všechny položky provedených transakcí a další instrukce. Mail se snaží vylekat uživatele, že někdo čerpá peníze z jeho účtu a navádí k otevření zavirované přílohy. Proto je důležité používat spolehlivý antivirus, který i v případě nepozornosti uživatele nedovolí spuštění škodlivé přílohy (na konci mailu je vidět poznámku antiviru ESET, který z mailu odstranil nebezpečný soubor):

From: Priscilla Bishop <Bishop.Priscilla@wonderblues.com>
Sent: Wednesday, November 9, 2016 12:45 PM
To: INFO <info@sample.com>
Subject: Account temporarily suspended

Dear Customer.

You have exceeded the limit of operations on your credit card.
Thus, we have temporarily blocked your account.
The full itemization of transactions and instructions are given in the document attached to this message.

Best regards.

(Upozorneni od ESET Endpoint Security, verze virove databaze 14414 (20161109)
Pozor, ESET Endpoint Security nasel ve zprave nasledujici infiltrace:
info_cc26080.zip – varianta infiltrace JS/Danger.ScriptAttachment trojsky kun – vymazan
http://www.eset.cz)

Zde pro změnu došlo k „zablokování“ zpráv a je opět nutné provést ověření účtu. To po kliknutí proběhne na kliknutím sem, což je link na adresu: https://www.supersimplesurvey.com/survey/22509/
Už jen samotný název domény supersimplesurvey je zkouška uživatelovy pozornosti, zda mu nebude něco divné:

From: IT- Podpora [mailto:CRM@clever-corp.com]
Sent: Thursday, February 27, 2020 8:53 AM
To: Me <CRM@clever-corp.com>
Subject: ‚Účet je omezen, 8 zpráv je zablokováno !

Vzhledem k tolika nevyžádaným E-mailům je nutné znovu provést ověření účtu kliknutím sem během následujících 12 hodin, abyste zabránili trvalému deaktivaci účtu.
Pozn .: Toto je poslední varování!
© IT Podpora.
   CX110T287VCL