Tūroperatora vārdā izsūtīti krāpnieciski e-pasti
CERT.LV 16.janvārī no dažādiem avotiem saņēma informāciju par aizdomīga e-pasta izplatību tūroperatora "Travel RSP" vārdā. E-pastā tā saņēmējam tiek lūgts steidzami apmaksāt nokavētu rēķinu ar soda procentiem. Norādīta arī konkrēta naudas summa un links uz rēķinu, kā arī tūroperatora kontaktinformācija. Saņemto informāciju esam izpētījuši un apstiprinām, ka tas ir krāpnieciska rakstura e-pasts, un saņēmējiem lūgums nekādā gadījumā nevērt vaļā e-pastā norādīto saiti uz rēķinu. Esam sazinājušies arī ar pašu uzņēmumu – SIA „Travel RSP PLUS”, kas apstiprina, ka viņu e-pastu sistēma tikusi uzlauzta, un viņu vārdā kāds izsūtījis krāpnieciskus e-pastus. Uzņēmums savā vietnē izvietojis informatīvu brīdinājumu par šādu incidentu. Krāpnieciskā e-pasta mērķis ir panākt, lai e-pasta saņēmējs lejupielādē uz savas ierīces pielikumā esošo izpildāmo failu ar .exe paplašinājumu, un to atver. Fails tiek lejupielādēts no viltus lapas (rsptravel.net). Atverot kaitīgo failu, tas šķietami pazūd no ekrāna, kamēr neredzami fonā tiek palaista programma, kas „ražo” kriptovalūtu.
Ko darīt, ja fails tomēr ir lejupielādēts?
CERT.LV ir sazinājies ar viltus lapas uzturētāju, un lūdzis kaitīgo failu noņemt. Šobrīd failu vairs nav iespējams lejupielādēt (tomēr, lūgums to nemēģināt darīt). Ja e-pasta saņēmējs ir tomēr paguvis to izdarīt, tad, pirmkārt, iesakām noskenēt datoru ar antivīrusa programmatūru. Tāpat vajadzētu iztīrīt Temp mapes, un pārbaudīt vai nav instalētas jaunas, aizdomīgas programmas. Analizējot .exe faila raksturu, secinājām, ka minēto kriptovalūtas ražošanas programmu iespējams atrast šādi (ja šāds fails ir, tad izdzēsiet to un restartējiet datoru) :
1. veids: (Testēts uz Windows 7)
Apskatīties Windows Startup mapē (Start ⇒ Programs ⇒ Startup) vai tur neatrodas fails ar nosaukumu taskhosts.exe
2.veids: (Testēts uz Windows 7)
C:\Users\[lietotājvārds]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ fails taskhosts.exe
*kur [lietotājvārds] ir konta lietotājvārds
vai
atverot dialoglogu Run (Start ⇒ Run) ierakstīt %Appdata%. Atvērsies mape, kur ejiet uz Roaming ⇒ Microsoft ⇒ Windows ⇒ Start Menu ⇒ Programs ⇒ Startup
Pēc mūsu rīcībā esošās informācijas, e-pasta mērķis ir panākt, ka uz e-pasta saņēmēja iekārtas tiek palaista programmatūra, kas ražo kriptovalūtu. Tādā veidā bez atļaujas tiek izmantota lietotāja iekārtas jauda. Konkrētais krāpniecības mēģinājums ir bīstams ar to, ka tā saturs ir noformēts labā latviešu valodā, tādejādi palielinot iespēju, ka saņēmēji lejupielādēs un izpildīs kaitīgo failu. Speciāli šim uzbrukumam 14.01.2018 krāpnieki reģistrējuši domēna vārdu – rsptravel.net, kas ir līdzīgs oriģinālam- rsp.travel. Saņemot e-pasta vēstules, ar tajos iekļautajām saitēm, iesakām, vienmēr pārliecināties, ka tās ved uz tekstā norādītajām interneta vietnēm. Līdzīgos gadījumos, iesakām pielikumā esošās saites vai failus vaļā nevērt un sazināties ar pakalpojuma sniedzēju, izmantojot kontaktinformāciju, kas pārbaudīta viņu vietnē, jo vēstulē iekļautā var būt maldinoša.
