SCAM / Phishing – atakujący podszywają się pod HitMe.pl

SupportIT > Bez kategorii > SCAM / Phishing – atakujący podszywają się pod HitMe.pl

📬 Jak wyglądał ten fałszywy e-mail?

Oto fragment otrzymanej wiadomości:

Temat: Twoja domena korzystne wygaśniecie – odnowienie wymagane
Nadawca: HITME.pl info@demondzorgzaak.nl
Kwota: 18,45 zł
Link do płatności: [skrót linku np. shortifyme.co]
Termin płatności: dzisiaj!

📄 Treść informuje o rzekomej proformie nr 285616 za odnowienie domeny.

– Wygląda znajomo? Tym bardziej trzeba uważać.

🧠 Jak działa ten atak?

To klasyczny przykład phishingu – czyli próby wyłudzenia Twoich danych lub pieniędzy przez podszywanie się pod znaną firmę.

⚙️ Na czym polegał trik?

  1. Podszycie się pod znaną markę – w treści wiadomości występowała firma “HitMe.pl”, która faktycznie istnieje i zajmuje się m.in. rejestracją domen.
  2. Fałszywy adres e-mail – wiadomość została wysłana z domeny @demondzorgzaak.nl, która nie ma nic wspólnego z HitMe.pl.
  3. Skrócony link do płatności – kierował na zewnętrzną stronę, która może przypominać system płatności, ale tak naprawdę może:
    • wyłudzać dane logowania do banku
    • przejmować dane karty płatniczej
    • instalować złośliwe oprogramowanie
  4. Presja czasu – “Link ważny tylko 2 dni!” – to typowy sposób na wywarcie presji i ominięcie zdrowego rozsądku.

⚙️ Do jakich stron kierują linki / przyciski?

Chcąc to sprawdzić, kierujemy w to miejsce kursor, ale NIE KLIKAMY.

Sporo przycisków pozostała nieaktywna – link do: # (czyli nigdzie nas nie przekieruje)

Jednak główny przycisk (“Zapłać online”) kieruje nas na niebezpieczną stronę: WHOLEHEARTEDLIVING.DK (ukrywając jednak prawdziwy link za pomocą serwisu SHORTIFYME.CO, służącego do skracania adresów)

🛡️ Jak rozpoznać podejrzaną wiadomość?

✅ 5 rzeczy, które zawsze warto sprawdzić:

🔍 Co sprawdzić?Na co uważać?
Adres nadawcyCzy domena wygląda podejrzanie (np. @demondzorgzaak.nl zamiast @hitme.pl)?
Link do płatnościCzy używa serwisów do skracania linków (bit.ly, shortifyme.co)? Lepiej nie klikać.
Styl wiadomościCzy są literówki, nienaturalny język lub „automat”?
Presja czasuCzy e-mail straszy konsekwencjami natychmiastowymi?
Zgodność z rzeczywistościąCzy rzeczywiście korzystasz z usług tej firmy? Jeśli nie — ignoruj i usuń.

🚨 Co zrobić, gdy dostaniesz taki e-mail?

  1. Nie klikaj w linki — nawet z ciekawości.
  2. Nie podawaj danych logowania ani numeru karty.
  3. Zweryfikuj wiadomość u źródła:
    • Zaloguj się na konto u usługodawcy z własnoręcznie wpisanego adresu.
    • Napisz lub zadzwoń do firmy – używając danych z oficjalnej strony.
  4. Zgłoś incydent do CERT Polskahttps://incydent.cert.pl
  5. Oznacz wiadomość jako phishing lub spam w swojej skrzynce.

🛡️ Ocena Bezpieczeństwa (Prawdopodobny SPAM / PHISHING)

Rekomendacja:

🔥 Nie klikaj w żadne linki i nie dokonuj płatności. Potwierdź niezależnie (np. przez oficjalną stronę HitMe lub kontakt telefoniczny), czy faktycznie masz zaległość za domenę.

🔥 FINAŁ ATAKU

– zdobycie danych logowania i danych karty kredytowej

🧠 Zapamiętaj: lepiej dmuchać na zimne

Jeśli masz wątpliwości, zawsze możesz nas zapytać – pomożemy przeanalizować wiadomość i doradzić, co zrobić.

Bezpieczeństwo w sieci zaczyna się od świadomości. Udostępnij ten artykuł znajomym — ktoś może właśnie być o krok od kliknięcia w zły link.

🧷 Wnioski techniczne

Dysponując zacięciem technicznym, możesz próbować przeanalizować dodatkowo źródło wiadomości:

  • ✅ SPF i DKIM na poziomie GrooveHQ działają poprawnie, ale nie oznacza to, że nadawca jest zaufany. Jak już ustaliliśmy powyżej, prawdziwa domena, do której jesteśmy kierowani jest inna!
  • ⚠️ Brak polityki DMARC to istotny czerwony sygnał – oznacza możliwość podszycia się.
  • ⚠️ Adres nadawcy i domena są prawdopodobnie fałszywe. Nie mają związku z marką HitMe.pl.
  • ⚠️ Link do płatności (shortifyme.co) jest skrócony, może ukrywać fałszywą stronę płatności.

🔒 Rekomendacja techniczna

  • Nie klikaj żadnych linków.
  • Dodaj regułę do systemu antyspamowego, aby blokować wiadomości od @demondzorgzaak.nl.
  • Zgłoś incydent do CERT Polska: https://incydent.cert.pl
  • Możesz też zgłosić domenę shortifyme.co jako phishing np. w Google Safe Browsing.

Powiązane posty:

Hosting SupportIT

Bezpieczeństwo klientów oraz płynność działania usług to dla firmy SupportIT priorytet. W tym celu zdecydowaliśmy się przenieść nasze usługi hostingowe na nową znacznie wydajniejszą infrastrukturę. Aktualne wdrożenie pozwala także na wniesienie naszego bezpiecznego hostingu na najwyższy poziom. Nowe narzędzia zapobiegają wielu zagrożeniom w wiadomościach email a także informują nas o podejrzanych sytuacjach jeszcze dokładniej niż do tej pory. W tym artykule opiszemy najważniejsze jawne mechanizmy jakie stosujemy. Na samej poczcie nie poprzestajemy chronimy także strony i serwisy internetowe naszych klientów.

Czytaj więcej >

Co to jest domena Active Directory?

Usługi katalogowe Active Directory są szeroko stosowane w firmach i instytucjach na całym świecie. Pomimo że korzystają z nich na co dzień to wielu użytkowników nie zdaje sobie sprawy czym jest domena AD. W tym wpisie odpowiemy na to pytanie oraz opiszemy za jakie zadania w organizacji odpowiada domena Active Directory. Wspomnimy także jakie wymagania musi spełniać infrastruktura IT, aby móc wdrożyć w niej domenę.

Czytaj więcej >