W ostatnim czasie wykryliśmy phishing wycelowany w naszych klientów. Nadawca podszywał się pod naszą firmę, stosując nasze logo oraz podobną kolorystykę w treści maila.
Zaraz po wykryciu tego incydentu zajęliśmy się jego zbadaniem i zablokowaniem tych niebezpiecznych wiadomości.
Na wstępie chcielibyśmy Państwa uspokoić, że nie jest to powiązane z wyciekiem danych klientów.
Z naszego dochodzenia wynika, że adresy email do wysyłki zostały pobrane ze stron klientów na naszych serwerach, skrypt pobrał adresy zapisane otwartym tekstem na stronach kontaktowych.
Były one podpisane jako "SEOHOST AS" i wysyłane z adresu hola+clientes@tiendanube.com.
Wszystkie nasze wiadomości są wysyłane z adresów email w domenie seohost.pl, głównie bok@seohost.pl.
W mailu znajdowała się informacja zawierająca ponaglenie do zapłaty z linkiem, gdzie można takiej płatności dokonać:
Wiadomości pochodzące od nas różnią się wyglądem: zawsze zawierają zestawienie usług do opłacenia wraz z kosztem. Dodatkowo dostępny jest link do pobrania proformy oraz odnośnik do panelu klienta. Stopka maila zawiera nasze pełne dane wraz z NIPem.
Po kliknięciu w przycisk "Finalizacja płatności" użytkownik był przenoszony do strony www łudząco przypominającą stronę logowania panel.seohost.pl, ale działającą pod adresem:
hxxps://synehost.wpenginepowered.com/wp-admin/poland/login.html
Dalej można było podać numer karty, aby dokończyć proces.
Jeśli ktoś z Państwa zalogował się do tego fałszywego panelu, danymi z konta u nas, proszę bezzwłocznie zmienić hasło do konta oraz do każdego innego konta, korzystającego z tego samego hasła.
Jeżeli podane zostały dane karty, należy natychmiast zastrzec taką kartę w swoim banku.
Stworzył pierwszą stronę w wieku 12 lat w swoim zeszycie, przepisując kod HTML w kawiarence internetowej. Od 2010 roku współwłaściciel marki SEOHOST wspierającej przedsiębiorców, którzy szukają dobrego miejsca w sieci na ulokowanie swoich stron i domen. Prywatnie fan sportów zespołowych i gry na saksofonie.
Komentarze (2)
Adam S
2024-04-27 12:58:14Dziękuje za informacje :)
Admin: Proszę bardzo :)Marcin
2024-04-27 16:27:16Skoro "skrypt pobrał adresy zapisane otwartym tekstem na stronach kontaktowych." to jak najlepiej zabezpieczyć adresy na stronie (Wordpress) ? Jakiś plugin ?
Admin: można zastosować standardowe rozwiązania, takie jak: wpisanie zamiast @ "at" albo jakiegoś innego znaku, podanie adresu e-mail lub samego znaku @ w formie graficznej, prezentacja adresu e-mail z wykorzystaniem kodu JavaScript. Żadne z tych rozwiązań nie jest jednak doskonałe. Jeżeli chodzi o Wordpress, odnośnie phishingu polecane są wtyczki AntiVirus oraz LoginShield for WordPress.
Szymon Perski