2 sierpnia 2017

Specjaliści Doctor Web zauważyli ostatnio tendencję do coraz to większego upowszechniania się w Internecie wiadomości e-mail o charakterze phishingowym. Cyberprzestępcy wysyłają te wiadomości e mail poszywając się pod rosyjską firmę zarządzającą rejestracją domen “RU-CENTER”. W ciągu ostatnich dwóch tygodni takie masowe wysyłki maili zostały zarejestrowane dwa razy. W tych e-mailach cyberprzestępcy sugerują administratorom stron www umieszczenie na serwerze specjalnego pliku PHP. To działanie doprowadzi do narażenia danego zasobu internetowego na niebezpieczeństwo.

Najwyraźniej do dystrybucji tych fałszywych mailingów cyberprzestępcy użyli bazy kontaktów administratorów domen zarejestrowanych w RU-CENTER. Cyberprzestępcy odnoszą się do pewnych zmian w regułach ICANN i proponują administratorowi domeny utworzenie pliku PHP z określoną zawartością w głównym katalogu serwera. Utworzenie tego pliku jest rzekomym potwierdzeniem prawa do użycia danej domeny przez odbiorcę takiego e-maila. Sam e-mail zawiera logo RU-CENTER i jest rzekomo wysłany w ich imieniu.

Plik proponowany do zapisania w głównym katalogu zawiera polecenie, które wykonuje niezależny kod określony w zmiennej. Cyberprzestępcy mogą wysyłać ten kod do skryptu umieszczonego na serwerze jako żądanie GET lub POST. Specjaliści Doctor Web ostrzegają, że spełnienie żądań cyberprzestępców będzie prowadzić do narażenia strony www na niebezpieczeństwo. Jeśli odbierzesz taki e-mail, zignoruj go. Jeśli masz przypuszczenia, że nadawcą e-maila jest rzeczywiście rejestrator nazw domen, sprawdź tą informację ze wsparciem technicznym firmy rejestrującej.