Eksperci z firmy ESET, znanej z rozwiązań antywirusowych dla komputerów i urządzeń mobilnych, przechwycili serię wiadomości e-mail, których nadawca, podszywając się pod słowacki urząd skarbowy, nakłania do pobrania z sieci konia trojańskiego. W treści maila oszust informuje o zaległym podatku, który należy uiścić na indywidualne konto podatnika. Numer tego konta wskazany jest w dokumencie, który należy pobrać z Internetu. Kliknięcie we wskazany odnośnik skutkuje zainfekowaniem komputera koniem trojańskim Win32/Sazoora.A, który wykrada loginy i hasła zapisane w przeglądarkach internetowych.
Analitycy zagrożeń z laboratorium antywirusowego firmy ESET podkreślają, że nadawcą fałszywych wiadomości nie był słowacki urząd skarbowy. Ktoś dokonał tzw. spoofingu, czyli rozesłał wiadomości, w których podszył się pod tę instytucję. Taki rodzaj ataku możliwy jest dzięki odpowiedniej modyfikacji w nagłówku wiadomości, dzięki temu odbiorca maila ma wrażenie, że otrzymana wiadomość została wysłana albo przez znaną osobę, albo przez zaufaną instytucję, np. bank, firmę wysyłkową lub (jak w omawianym przypadku) przez urząd skarbowy.
Pułapka przechwycona przez ekspertów z firmy ESET została przygotowana bardzo starannie - treść wiadomości nie zawiera błędów gramatycznych, a całość pisana jest w urzędowym stylu. O tym, że oszustwo okazało się skuteczne może świadczyć fakt, iż według laboratorium antywirusowego ESET koń trojański Win32/Sacoora.A próbował przeniknąć do systemów informatycznych kilku słowackich firm i organizacji. Co zdecydowało o tym, że oszustwo okazało się skuteczne?
- Atakujący wykorzystał to, że większość Słowaków rozlicza teraz podatek za ubiegły rok oraz fakt obowiązującego zaledwie od dwóch lat prawa, które określa, że należny podatek każdy podmiot wpłaca na indywidualnie przydzielonemu konto. To właśnie te dwa czynniki sprawiły, że w pułapkę zastawioną przez cyberoszusta wpadło już kilka firm - podkreśla Peter Stančík, ekspert firmy ESET.
W jaki sposób działa Win32/Sazoora.A? Zagrożenie po przedostaniu się na dysk komputera wykrada loginy i hasła do setek serwisów internetowych, które zapisano wcześniej w pamięci przeglądarek Internet Explorer, Google Chrome oraz Mozilla Firefox. Zgromadzone dane koń trojański przesyła następnie do zdalnego komputera.Należy podkreślić, że atak zidentyfikowany przez ekspertów z firmy ESET wymierzony jest wyłącznie w słowackie firmy. Nie można jednak wykluczyć, że bardzo szybko znajdą się naśladowcy, którzy spróbują skopiować oszustwo w innych krajach, np. w Polsce. Peter Stančík z ESET zwraca również uwagę, że o skuteczności tego typu ataków decydują zwykle użytkownicy lub pracownicy firm. Brak odpowiedniej wiedzy i doświadczenia może spowodować, że odbiorca wiadomości kliknie odnośnik i sprowadzi w ten sposób spore problemy na siebie lub przedsiębiorstwo, w którym pracuje. Przed wspomnianym zagrożeniem chronią rozwiązania firmy ESET, które blokują zagrożenie zanim przedostanie się ono na dysk chronionego komputera.