Uwaga na “kontrole legalności oprogramowania Microsoft”. To nie jest zwykły phishing

Jeden z naszych Czytelników – Grzegorz – odebrał w firmie telefon dotyczący kontroli legalności oprogramowania prowadzonej przez Microsoft. Podał konsultantce w rozmowie swój adres e-mail, a krótko później otrzymał wiadomość ze szczegółowymi informacjami o kontroli. E-mail wyglądał tak jak poniżej. Załączono do niego plik XLSM, którego wypełnienie miało ułatwiać przekazanie Microsoftowi informacji o stosowanych produktach. Brzmi podejrzanie? No właśnie… Ale to nie koniec znaków zapytania, jakie pojawiły się Grzegorzowi w tej sprawie. Popatrzcie zresztą sami i doczytajcie ten artykuł do końca, bo zakończenie Was zaskoczy, gwarantujemy.

Kontrola legalności oprogramowania — wezewanie rzekomo od Microsoftu

Grzegorz, zupełnie słusznie, jak widzicie, dopatrzył się w tym podstępu. W stopce był e-mail w domenie microsoft.com, ale sama wiadomość przyszła z adresu w domenie cz.webhelp.com.

Zawsze powtarzamy na naszych szkoleniach dla pracowników polskich firm, że linki czy telefony umieszczone w stopce, niezależnie od tego na kogo wskazują, o niczym nie świadczą. W przypadku tego e-maila mamy jeszcze jeden powód do zmartwień: dorzucony w załączniku dokument XSLM naładowany makrami mógł albo służyć do wyłudzenia danych, albo mógł zawierać złośliwy kodWielokrotnie o takich atakach pisaliśmy i dobrą praktyką jest od razu kasować e-maile z takimi plikami.

Grzegorz mimo tylu przesłanek, że całość sprawy jest osztustwem, zachował profesjonalizm i odpisał na tę wiadomość:

Prosiłbym jeszcze o jakiekolwiek potwierdzenie Pani współpracy z Microsoft. Wystarczyłaby np. wiadomość e-mail z adresu w Pani stopce (v-trolo@microsoft.com) bądź wykazanie związku pomiędzy webhelp.com, a firmą Microsoft.

Odpowiedzi nie dostał, co utwierdziło go w podejrzeniach, że padł ofiarą — na szczęście nieudanego — ataku. Ucieszył się Grzegorz, bo z rozmowy telefonicznej z “oszustką” wynikało, że w ramach kontroli trzeba będzie przesyłać niektóre klucze licencyjne do weryfikacji oraz zdjęcia plakietek. Ależ to byłaby dla firmy wpadka, gdyby ktoś na takie wyłudzenie dał się nabrać!

Microsoft długo nie odpowiadał na nasze pytania

Przed publikacją tego artykułu, zadzwoniliśmy do rzeczniczki Microsoftu aby dowiedzieć się, czy firma dostawała już sygnały o takich próbach wyłudzeń skierowanych w polskich przedsiębiorców i czy przed nimi ostrzega. Okazało się, że numer rzeczniczki podany na stronie jest numerem ogólnym, pod którym czekaliśmy na zgłoszenie kogoś z recepcji. Próbowaliśmy dwa razy i… nikt się nie zgłosił. Czasami tak bywa z dużymi firmami IT, że dodzwonić się do nich jest naprawdę trudno.

Wysłaliśmy maila i na odpowiedź czekaliśmy… niemal miesiąc.

Nagły zwrot akcji: TO NIE BYŁ ATAK

Ostatecznie pani Joanna Frąckowiak z Microsoftu przesłała nam poniższe oświadczenie:

W odpowiedzi na Pana pytania potwierdzamy, że firma WebHelp prowadzi na zlecenie Microsoft proces o nazwie TeleSAM – Software Asset Management (Zarządzanie Zasobami Oprogramowania), który jest praktyką biznesową zgodną ze standardami ISO/IEC 19770-1:2006. Celem tego procesu jest potwierdzenie zgodności licencyjnej u naszych klientów, żeby w rezultacie ograniczyć ryzyka biznesowe oraz prawne związanego z posiadaniem i użytkowaniem nielegalnego oprogramowania.

Jednocześnie, żeby proces był utożsamiany z firmą Microsoft i nie budził wątpliwości u naszych klientów, upewniliśmy się z dostawcą tej usługi, firmą WebHelp, że wszelka korespondencja będzie wysyłana z adresu w domenie microsoft.com.

A więc kontrola wyglądająca jak typowy atak była jednak autentyczna. Wow.

Potwiedzenie autentyczności nam (a może samemu Microsoftowi?) zajęło aż miesiąc. Nie wróży to chyba dobrze wiarygodności tego typu działań.

Ale przynajmniej już nie straszą!

Kontrole legalności oprogramowania nie są nowością i nie od dziś budzą wątpliwości. Przykładowo w roku 2013 współpracująca z Microsoftem organizacja BSA rozsyłała “wezwania”, w których przytaczano przepisy kodeksu karnego i sugerowano, że BSA ma coś wspólnego z policją. To też była kontrola legalności, ale przedsiębiorcy mieli wrażenie zastraszania i wprowadzania w błąd.

Gwoli ciekawostki zacytujemy fragment jednego z “wezwań” z roku 2013.

W związku z powyższym do BSA i do naszych członków często zwracają się organy państwowe (tj. Policja, urzędy celne, urzędy kontroli skarbowej) z prośbą o informacje dotyczące legalności oprogramowania w związku z prowadzonymi postępowaniami. W celu zapewnienia im wiarygodnych informacji zwracamy się do Państwa z prośbą o potwierdzenie posiadania wyłącznie legalnego oprogramowania (…)
Niewiele także osób zdaje sobie sprawę, że w świetle polskiego Kodeksu karnego jedną z form tzw. piractwa komputerowego jest – zgodnie z art. 278 § 2 – uzyskanie programu komputerowego w celu osiągnięcia korzyści majątkowej bez zgody podmiotu uprawnionego…

Policja nie miała z tym nic wspólnego, ale BSA niemal wprost sugerowała, że stanowi istotne zaplecze dla służb. Do wezwań BSA dołączone było oświadczenie z miejscem na wpisanie różnych danych. Trzeba było je odesłać w ciągu 14 dni. Dopiero później rzecznik BSA tłumaczył, że to “prośba” a nie “żądanie”.

Takie kontrole nie są obowiązkowe

Nie musimy chyba tłumaczyć, że firmy generalnie nie mają prawa kontrolować innych firm. Owszem, każdy może was grzecznie poprosić o sporządzenie wykazu oprogramowania i przesłanie go, ale z waszej strony będzie to tylko grzeczność, na którą możecie się godzić lub nie.

Oszuści już dawno temu wpadli na pomysł, aby podszyć się pod “kontrole legalności”. Przykładowo w roku 2007 w Częstochowie na jednym z bloków zawisła kartka z informacją, że przedstawiciele policji będą chodzić po domach i kontrolować software. Warto to przypomnieć, bo stare numery od czasu do czasu są odgrzewane, a skoro oszustwa na wnuczka ciągle działają to “kontrole legalności” także mogą wrócić w formie oszustw.

Naszym zdaniem jeśli Microsoft lub ktokolwiek inny chce przeprowadzać takie kontrole, powinien szczególnie zadbać o przejrzystość działań i na każdym kroku podkreślać, że udział w akcji jest w 100% dobrowolny. Sugerujemy również, aby całego procesu nie nazywać “kontrolą” ale badaniem lub sondażem.

A Wam radzimy ignorować wszelkie kontrole. Nawet tę, opisaną w niniejszym artykule. Niech im spadnie efektywność. Może dzięki temu ktoś znajdzie chwilę na refleksję i przemyśli proces kontroli tak, aby zarówno firmy realizujące i zlecające kontrole realizowały ją fachowo, wiarygodnie i bez cienia podejrzenia, w sposób nie przypominający typowych ataków komputerowych, scamów i wyłudzeń.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *