Opět se množí pokusy proniknout a napadnout počítače přes přílohy mailu. Snahou útočníka je donutit adresáta mailu, aby otevřel přílohu mailu a povolil spuštění makra nebo skriptu. Tím by došlo k infikování počítače trojským koněm. Po úspěšném spuštění trojského koně dojde ke stažení dalších nástrojů, které buď vytěží citlivé údaje z profilu uživatele (uložená hesla, soubory, kontakty…) nebo instalují do počítače další nástroje, které například zašifrují uživateli data a pak požadují výkupné (ransomware). Nebezpečný je především tím, že autor generuje neustále nové verze, které antiviry několik hodin po rozšíření nedetekují. Hrozí tedy riziko, že u právě doručeného mailu může antivir povolit otevření přílohy.

Maily s nebezpečnou přílohou chodí už i v češtině, přesto je vidět, že je po jazykové stránce tet nedokonalý. Zde je ukázka čestvé verze jednoho takového mailu, u které byl připojený soubor Faktura179113637.doc:

Už jen odesílatel a jeho mailová adresa jsou na první pohled podezřelé – Kateřina Karlová má mailovou adresu Dede.Richiusa08721@gmx.com, která je založená na freemailu gmx.com. Další alarmující detail je ten, že se v poli „Komu“ nachází naprosto cizí adresa stoklaska@ekhodonin.cz. Pokud ale mail dorazil do našeho PC, musela být naše adresa v poli „Skrytá kopie“ a kdo by to proč dělal, když nám posílá fakturu nebo upomínku.

Ten samý mail byl poslaný i jinému uživateli, s tím samým textem i přílohou, pouze z jiné adresy odesilatele i adresáta. ESET v příloze detekuje variantu PDF/Fraud.AQP trojan:
From: Renata Vyskocilova [mailto:Karolyn.Bobbitt60768@gmx.com]
Sent: Monday, January 13, 2020 12:19 PM
To: lakda@openn.cz
Subject: [detection PDF/Fraud.AQP trojan] [SPAM] Datum faktury 14 965,90 Kč, nedoplatky na platbách ke dni 10/01/2020

V samotné wordovsé příloze – dokumentu se nachází obrázek. V levé části obrázku je rozostřený doklad nebo účtenka a v pravé části nás už anglicky autor navádí k tomu, abychom povolili ve Wordu editaci dokumentu a následně i jeho obsah, čímž bychom spustili makra v dokumentu vložená:

Zde je další verze z celé řady variant, které útočníci dokáží vymyslet:

———- Původní e-mail ———-
Od: Andrea Kejsalová <michelle@criticalmerchandise.mncriticalthinking.com>
Komu: josef.novak@seznam.cz
Datum: 22. 1. 2020 10:21:42
Předmět: RE: Upominka 22. ledna 2020
kontrolou naší účetní evidence jsme zjistili, že jste nám dosud neuhradili dlužnou částku ve výši 5307,0- Kč.

Současně vás tímto upozorňujeme, že pokud k úhradě uvedené částky na základě této písemné výzvy dobrovolně nedojde, případně se ani neozvete, a to obratem, za účelem návrhu akceptovatelného řešení této situace, jsme připraveni se domáhat uvedeného nároku právní cestou, především pak podáním žaloby k místně příslušnému soudu prostřednictvím zvolené advokátní kanceláře.

Informace o fakturaci prilohy.

S pratelskym pozdravem,

advokát/attorney at law Andrea Kejsalová.

Opět platí zásady:
– než otevřu mail nebo přílohu od známého i neznámého uživatele, zkontroluju, zda je vše v pořádku a není na adresách i textu něco podezřelého (odesílatel mi místo tykání vyká, divný slovosled, chyby…),
– faktury a další dokumenty neotevírám z komprimovaných archivů (ZIP, RAR, CAB…), protože je odesílatel se zlým úmyslem schválně komprimuje, aby je antivirus nemohl otestovat,
– mám aktuální a spolehlivý antivirus (nejlépe ESET),
– pravidelně zálohuji všechna důležitá tada (nebo nejlépe celý počítač – ideální nástroj je Acronis True Image), aby v případě ztráty dat bylo možné v případě jejich ztráty obnovit data nebo celý počítač.