Első pillanatra április 1-i viccnek tűnik a "rendőri jelleget" színlelő elektronikus levél (lásd: a fotón), ám egyáltalán nem vicc. A titkosszolgálat azonnal riadót is fújt, ugyanis a levél csatolmányai trójai falovat rejtenek.

NE NYISSATOK MEG MINDENT, amit levélben kaptok!

Nézzük a szakemberek közleményét és tanácsait.

Intézetünk számos bejelentést kapott az Országos Rendőr-főkapitányság nevében kiküldött, káros csatolmányt tartalmazó levéllel kapcsolatban. A levél egy pdf.iso megnevezésű csatolmányt tartalmaz, ami valójában egy tömörített, futtatható (exe) fájl. A csatolmány megnyitásával egy Trójai program (Trojan:Win32/Wacatac.C!ml) települ fel a felhasználó számítógépére.

A káros csatolmányú levelek kiszűrése érdekében a Nemzeti Kibervédelmi Intézet az alább indikátorok tiltását / szűrését javasolja.

E-mail feladójának IP címe / domain:
95.110.200[.]162 / alicomitalia[.]it

Káros csatolmánnyal kapcsolatos indikátorok:
MD5: eaf9064591fbc41ea4f761c0fb0bd5c1
SHA256: 5a36ac00bd4da98cda282ce51a3ecc070a5e37c03154f415016b64735be11a8b
Command-and-control szerver IP: 172.111.188[.]199

A fenti indikátorok szűrésén túl javasolt továbbá a fogadó oldalon az SPF rekordok ellenőrzésének kikényszerítése. Az SPF beállítások megfelelő alkalmazásával biztosítható, hogy ha olyan szervezet nevében érkezik levél, akinek van beállított SPF rekordja, akkor a fogadó oldali levelezőrendszer azt visszaellenőrizve meg tudja állapítani a feladó valódiságát. SPF rekorddal kapcsolatos információ a https://nki.gov.hu/it-biztonsag/tartalom/eszkoztar/spf/ oldalon található. Az elektronikus levelezés biztonsági beállításaival kapcsolatban további javaslatok a Közigazgatási Kibervédelmi Eszköztárban találhatóak. (Forrás: Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) )