Kontynuując wątek oszustwa na policjanta, podjęliśmy próbę sprawdzenia, na co dokładnie narażona jest ofiara tego ataku.
Na wstępie zauważyliśmy, że załącznik od oszustów nie zawiera złośliwego oprogramowani, sprawdziliśmy to przy pomocy app.any.run. Plik PDF nie zawierał też żadnych zagrożeń w postaci złośliwych linków, zdolności trackingowych czy zawartych w pliku PDF złośliwych funkcjonalności.
Był jednak napisany w formie sugerującej podejmowanie przez organy ściągania działań operacyjnych przeciwko odbiorcy. Sprawdziliśmy więc, co jeśli odbiorca skontaktuje się z przestępcami.
Kontakt z oszustem
Wysłaliśmy więc wiadomość o następującej treści:
Szanowny Panie Adamie,
Przepraszam ale to chyba pomyłka?! Nie wchodzę na takie strony! Z kim mam się kontaktować w celu wyjaśnienia sprawy?Adresując go do, podszywającego się pod komendanta, oszusta z CBZC. Po niespełna dobie otrzymaliśmy wiadomość z kolejnym załącznikiem:
Szanowny Pana XXX XXX,
Do wiadomości,
Potwierdzamy otrzymanie wiadomości. Jeśli wolisz, policjanci zajmujący się cyberprzestępczością mogą zostać wysłani do Twojego domu lub możesz postępować zgodnie z procedurą, odpowiadając na nasze wiadomości dotyczące śledztwa.
W związku z Pana uwagami informujemy, że nasze dochodzenie jest bardzo dokładne i dlatego nie pozostawia miejsca na błąd w zakresie tożsamości osób, z którymi się kontaktujemy.
Proszę zapoznać się z dokumentem załączonym do tej wiadomości, a następnie skontaktować się z nami odpowiadając na tę wiadomość.
Z poważaniem
ODPOWIEDZIALNY ZA SPRAWE
Wiktoria NowakWiadomość z błędem w samym nagłówku pochodziła z innego niż pierwotny adres:
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=217.70.183.196; helo=relay4-d.mail.gandi.net; envelope-from=cyber-kgp@policja-cbzc-gov-pl.tech; receiver=<UNKNOWN>
Załączony plik ponownie nie zawierał żadnych form malware. Był przygotowany dość solidnie, charakter oficjalnego pisma zachowany, widoczny jest powyżej, można się nabrać.
Nabraliśmy się więc na oszustwo na CBZC. Tłumacząc naszą niewinność i pewność braku udziału w procederze przestępczym, postanowiliśmy zapłacić kaucję, którą obiecano nam zwrócić po 6 miesiącach:
Szanowny Pana XXX XXX,
Do wiadomości,
Potwierdzamy, że otrzymaliśmy od Państwa wolę polubownego załatwienia tego sporu w ramach opcji 2.
Dla przypomnienia :
2- TRANSAKCJA POLUB0WN : system sądowy mógłby rozwiązać ten problem polubownie, więc w tym przypadku rozwiązania, będziesz musiał zapłacić kaucję w wysokości 23.065,00 zł (dwadzieścia trzy tysiące sześćdziesiąt pięć złotych równowartość 4.900,00 EURO) przewidzianą przez prawo na ten cel.
Popełnił pan przestępstwo zagrożone karą pozbawienia wolności. Aby uregulować swoją sytuację, musi Pan zatem wpłacić kaucję w wysokości 23.065,00 zł (dwadzieścia trzy tysiące sześćdziesiąt pięć złotych równowartość 4.900,00 EURO) przewidzianą w przepisach na ten cel. Kwota ta zostanie zatrzymana i zwrócona w całości po upływie 6 (sześciu) miesięcy, co odpowiada okresowi nadzoru.
NB: W załączniku znajdziecie Państwo RIB księgowego, do którego należy dokonać regulacji w ciągu 48 godzin. Po dokonaniu przelewu bankowego prosimy o przesłanie kopii polecenia przelewu jako załącznika. Zdjęcie lub plik pdf.
Z poważaniem
ODPOWIEDZIALNY ZA SPRAWE
Wiktoria NowakDo pisma załączono dokument księgowy, tym razem już nieco mniej oficjalny i budzący jasne skojarzenia z oszustwem. Usunęliśmy z niego częściowo dane. Rachunek zapewne nie należy do przestępców. Najprawdopodobniej jest to rachunek założony na “słupa” lub konto osoby, której dane autoryzacyjne do banku zostały wykradzione.
Podsumowanie
Po wpłaceniu kaucji ofiara oczywiście nigdy nie zobaczy jej z powrotem. Czytajmy uważne maile, sprawdzajmy pola nadawcy, nie klikajmy w załączniki od nadawców których nie znamy.
