Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

VID vārdā izsūta e-pasta vēstules ar datorvīrusu

Kategorija: Ļaunatūra + Pikšķerēšana

VID_viruss4

Pirmdien masveidā internetā tiek izplatīti viltoti ar datorvīrusu inficēti e-pasti it kā no Valsts ieņēmuma dienesta (VID) darbiniekiem, portālu “Delfi” informēja dienestā. VID vērš iedzīvotāju uzmanību, ka elektroniskā pasta vēstules, kas tiek saņemtas ar tādiem tematiem kā “sudziba nodoklu dienestam”, “Informacija par sudzibu” u.tml. it kā no VID darbiniekiem (no @vid.gov.lv) un ar pievienotu failu, kam izmantots dubultais paplašinājums “.DOC.zip”, ir viltotas, satur datorvīrusu un ar VID tām nav nekāda sakara.

Gadījumā, ja minētais e-pasta pielikums tiek atvērts, iegūstams izpildāmais fails ar paplašinājumu “.SCR”, kurš satur datorvīrusu, ko šobrīd neatpazīst vairums antivīrusu programmu. Šis vīruss veic tiešsaistes banku maksājumu datu modificēšanu ar mērķi izkrāpt naudu.

VID norādījuši diezgan bezjēdzīgu un pat kaitīgu ieteikumu, kā pārliecināties par vēstules autentiskumu:

Iedzīvotāji var atšķirt viltotu e-pasta vēstuli no īstas VID sūtītas e-pasta vēstules pēc sekojošām pazīmēm:
1) VID vēstulēs ir gramatiski pareizs teksts, tās ir sastādītas, ievērojot pareizrakstības likumus un valsts pārvaldē pieņemtu rakstības stilu;
2) aplūkojot e-pasta galveni, tajā jābūt minētai IP adresei 194.213.9.57, no kuras VID sūta e-pasta vēstules. Vienlaikus atgādinām, ka VID Elektroniskās deklarēšanas sistēmas lietotājiem VID informāciju nosūta, tikai izmantojot minēto sistēmu.

Ilgtermiņa risinājums varētu būt oficiālā elektroniskā adrese.

Ja e-pasta pielikums tiek atvērts, dators tiek inficēts ar vīrusu. Vīruss paredzēts gan paroļu zagšanai (tas fiksē visu, kas tiek rakstīts uz klaviatūras, un nosūta to ļaundariem), gan internetbanku maksājumu pārtveršanai (veicot maksājumu no inficēta datora, maksājums, lietotājam to nemaz nenojaušot, tiek pārtverts un novirzīts uz ļaundara izvēlētu kontu).

Pēc izpildes vīruss nodibina kontaktus ar vietni morondos.com (šobrīd IP 31.186.100.26), no kuras iegūst papildu failus un konfigurācijas informāciju.
morondos.com <– config/updater server
IP:31.186.100.26

Vīrusa kontroles komandcentrs Krievijā.

Avoti:
Delfi.lv: http://www.delfi.lv/news/national/politics/vid-varda-strauji-izplatas-viltus-vestules-ar-loti-bistamu-datorvirusu.d?id=43882806
VID: http://www.vid.gov.lv/default.aspx?tabid=7&id=15&oid=106430

2013-12-09  »  edgars

  1. Anonymous
    9 December 2013 @ 22:00

    VID`am un pārējiem sen būtu jālieto pgp, sūtot sensitīvu informāciju pa epastu. Nebūtu jāaplūko ne galvenes, ne starpenes.

  2. Nobody anonymous
    10 December 2013 @ 17:56

    PGP ļoti bieži būs liels apgrūtinājums nodokļu maksātājam, bet oficiālā elektroniskā adrese (2015.gadā!) arī neko daudz nelīdzēs, ja būs augstāk minētais faktors un netrenēti lietotāji, kuri ieraugot satraucošu infu e-pastā ne to vien atvērs vaļā ;)
    Viens kardināls veids, kā lietotājam nodrošināties pret feikiem — izvēlēties e-pakalpojumu sniedzēju, kurš pārbauda reverso DNS vai SPF un nepieļauj viltojumu piegādi.

  3. Kāpēc?
    10 December 2013 @ 20:51

    Kāpēc bezjēdzīgs vai pat kaitīgs ieteikums?
    Ja izpildās pirmais nosacījums (tas ir pirmais uz ko vispār vērst uzmanību. arī iepriekšējie banku vīrusi bija ar gramatiskām kļūdām!), tie, kas var skatās arī otro.
    Vēl jau var arī sazināties ar sūtītāju, ko dažs noteikti ir darījis.
    Ja nevar, nu tad tiešām neko…
    Vai varat ieteikt, ko labāku, ko darīt VIENKĀRŠAM lietotājam, kā tikai spiest DELETE?

  4. edgars
    11 December 2013 @ 18:06

    Nav pareizi mācīt cilvēkiem, ka gramatiski noformēts e-pasts ir autentiskuma apliecinājums.

    Tāpat ari e-pasta galvenei nevar uzticēties. Pikšķerētājs SMTP galvenē var samelot, ka e-pastu saņēmis no VID IP 194.213.9.57. Šādi var apmuļķot arī tādus lietotājus, kas māk atrast un aplūkot galveni.

  5. A.
    12 December 2013 @ 12:42

    Jau dzirdu, kā par IT drošību atbildīgās valsts amatpersonas dievojas, ka: ja vien lietotājs zinātu, ka aizdomīgas (huh?) e-pasta vēstules ir jādzēš ārā tās neatverot; ja vien lietotājs zinātu, kā izvēlēties drošu paroli; ja vien mēs varētu vairāk nodokļu maksātāju naudas novirzīt bezjēdzīgiem lietotāju izglītošanas pasākumiem…

    Tajā pat laikā: valsts pārskaita miljonus programmatūras ražotājiem, kuru programmatūra ļauj veikt patvaļīgu koda izpildi vien atverot teksta dokumentu; uzturētie e-pasta serveri akceptē e-pasta vēstules ar izpildāmiem failiem pielikumā (.exe/.scr); informācijas sistēmas ļauj lietotājam uzstādīt paroli 123456, utt.

    No ko jūs no mums gribat? Problēma ir neizglītotais gala lietotājs!

  6. Andron Mc
    15 December 2013 @ 11:19

    Nu, ja jums tāds vīruss ir pienācis tad paši esat vainīgi. Un ja jums kantorī kāds to vīrusu ir atvēris tad…. nekādi kursi nelīdzēs.
    Un ja jums ir pārskaitijusies nauda uz svešu kontu – jūs to esat pelnijuši! Viss ir kārtībā.

Re: VID vārdā izsūta e-pasta vēstules ar datorvīrusu







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>