SCAM / Phishing – atakujący podszywają się pod HitMe.pl

Jak wyglądał ten fałszywy e-mail?

Oto fragment otrzymanej wiadomości:

Temat: Twoja domena korzystne wygaśniecie – odnowienie wymaganeKwota: 18,45 zł
Link do płatności: [skrót linku np. shortifyme.co]
Termin płatności: dzisiaj!

Treść informuje o rzekomej proformie nr 285616 za odnowienie domeny.

– Wygląda znajomo? Tym bardziej trzeba uważać.

Jak działa ten atak?

To klasyczny przykład phishingu – czyli próby wyłudzenia Twoich danych lub pieniędzy przez podszywanie się pod znaną firmę.

Na czym polegał trik?

1. Podszycie się pod znaną markę – w treści wiadomości występowała firma “HitMe.pl”, która faktycznie istnieje i zajmuje się m.in. rejestracją domen.
2. Fałszywy adres e-mail – wiadomość została wysłana z domeny @demondzorgzaak.nl, która nie ma nic wspólnego z HitMe.pl.
3. Skrócony link do płatności – kierował na zewnętrzną stronę, która może przypominać system płatności, ale tak naprawdę może:
   • wyłudzać dane logowania do banku
   • przejmować dane karty płatniczej
   • instalować złośliwe oprogramowanie
4. Presja czasu – “Link ważny tylko 2 dni!” – to typowy sposób na wywarcie presji i ominięcie zdrowego rozsądku.

Do jakich stron kierują linki / przyciski?

Chcąc to sprawdzić, kierujemy w to miejsce kursor, ale NIE KLIKAMY.

Sporo przycisków pozostała nieaktywna – link do: # (czyli nigdzie nas nie przekieruje)

Jednak główny przycisk (“Zapłać online”) kieruje nas na niebezpieczną stronę: WHOLEHEARTEDLIVING.DK (ukrywając jednak prawdziwy link za pomocą serwisu SHORTIFYME.CO, służącego do skracania adresów)

FINAŁ ATAKU – zdobycie danych logowania i danych karty kredytowej

Wpisane na tej stronie dane logowania – adres e-mail i hasło trafią w ręce atakujących!

… ale to jeszcze nie koniec …

Kolejne okno to już próba zdobycia danych karty kredytowej!

Trochę analizy technicznej – Jak rozpoznać podejrzaną wiadomość?

5 rzeczy, które zawsze warto sprawdzić:

Co sprawdzić?	Na co uważać?
Adres nadawcy	Czy domena wygląda podejrzanie (np. @demondzorgzaak.nl zamiast @hitme.pl)?
Link do płatności	Czy używa serwisów do skracania linków (bit.ly, shortifyme.co)? Lepiej nie klikać.
Styl wiadomości	Czy są literówki, nienaturalny język lub „automat”?
Presja czasu	Czy e-mail straszy konsekwencjami natychmiastowymi?
Zgodność z rzeczywistością	Czy rzeczywiście korzystasz z usług tej firmy? Jeśli nie — ignoruj i usuń.

Co zrobić, gdy dostaniesz taki e-mail?

1. Nie klikaj w linki — nawet z ciekawości.
2. Nie podawaj danych logowania ani numeru karty.
3. Zweryfikuj wiadomość u źródła:
   • Zaloguj się na konto u usługodawcy z własnoręcznie wpisanego adresu.
   • Napisz lub zadzwoń do firmy – używając danych z oficjalnej strony.
4. Zgłoś incydent do CERT Polska → https://incydent.cert.pl
5. Oznacz wiadomość jako phishing lub spam w swojej skrzynce.

Ocena Bezpieczeństwa: Prawdopodobny SPAM / PHISHING

Zapamiętaj: lepiej dmuchać na zimne

Jeśli masz wątpliwości, zawsze możesz nas zapytać – pomożemy przeanalizować wiadomość i doradzić, co zrobić.

Bezpieczeństwo w sieci zaczyna się od świadomości. Udostępnij ten artykuł znajomym — ktoś może właśnie być o krok od kliknięcia w zły link.

Wnioski techniczne

Dysponując zacięciem technicznym, możesz próbować przeanalizować dodatkowo źródło wiadomości:

• SPF i DKIM na poziomie GrooveHQ działają poprawnie, ale nie oznacza to, że nadawca jest zaufany. Jak już ustaliliśmy powyżej, prawdziwa domena, do której jesteśmy kierowani jest inna!
• Brak polityki DMARC to istotny czerwony sygnał – oznacza możliwość podszycia się.
• Adres nadawcy i domena są fałszywe. Nie mają związku z marką HitMe.pl.
• Link do płatności (shortifyme.co) jest skrócony, może ukrywać fałszywą stronę płatności.

Rekomendacja techniczna

• Nie klikaj żadnych linków.
• Dodaj regułę do systemu antyspamowego, aby blokować wiadomości od @demondzorgzaak.nl.
• Zgłoś incydent do CERT Polska: https://incydent.cert.pl
• Możesz też zgłosić domenę shortifyme.co jako phishing np. w Google Safe Browsing.