Uudenlainen haittaohjelmahyökkäys on lähtenyt leviämään maailmalla, kertoo Tom’s Guide. Erikoisen tästä hyökkäyksestä tekee tapa, joka saa ihmiset asentamaan haitakkeen koneelleen.

Ensin tulee työsähköpostiin viesti, jossa kiitellään jonkin lääketieteellisen kokeilun tai muun vastaavan saattamisesta loppuun. Viestissä kiitetään osallistumisesta maksuttomaan kokeiluun ja todetaan, että seuraavaksi palvelu jatkuu maksullisena.

Valpas käyttäjä tietysti ajattelee, että kyse on huijauksesta, joka kohta kysyy luottokortin numeroa, mutta sellaista kohtaa ei viestillä kuitenkaan ole. Ei outoa linkkiä tai muuta, mihin voisi omia tietojaan antaa. Sen sijaan viestissä on vain puhelinnumero, jonka kautta maksullisen palvelun saa peruttua. Eipä kiinnosta maksaa selvästi jollekin toiselle tarkoitusta palvelusta, ja eihän soitto mitään haittaa.

Siispä soittamaan.

Soitettaessa vastaaja kysyy saapuneessa viestissä näkyvää asiakastunnusta tai vastaavaa. Tuon tunnuksen kanssa vastapuoli saa selville vastaanottajan ja hänen edustamansa organisaation. Väärän tunnuksen antaminen johtaa ”palvelun” perumiseen ja puhelun nopeaan päättämiseen, mutta oikealla tunnuksella hyökkääjä pääsee jäljille.

Seuraavaksi ystävällinen vastaaja kertoo, kuka tilauksen on tehnyt ja että luottokortin numerokin on jo annettu. Tilaaja on tietysti joku muu kuin soittaja, eli jokin sekaannus on tapahtunut. Koska kyse on terveydenhuollon palveluista, pitää soittajan tehdä peruutus kirjallisesti, ja sitä varten pitää suunnata verkkoon täyttämään lomake.

Vastaaja kertoo osoitteen, ja sivulla kysytään jälleen asiakastunnusta. Tunnusta lähetettäessä selain ryhtyy lataamaan Excel- tai Word-tiedostoa, jonka asiakaspalvelu kertoo olevan peruutuslomake. Lomake pitää allekirjoittaa digitaalisesti, että tilaus saadaan peruttua.

Kun lomake avataan, Office varoittaa, että makrot eivät lomakkeella ole aktivoituina. Ne pitää tietenkin aktivoida, että lomakkeen saa allekirjoitettua. Tässä vaiheessa Office-tiedosto asentaa pienen haittaohjelman, joka pääsee käsiksi koneeseen ja verkkoon ja pääsee näin lataamaan lisää haittaohjelmia verkosta. Koska viesti oli tullut työsähköpostiin, pääsevät haittaohjelmat rönsyilemään firman verkossa. Samaan aikaan käyttäjä on vain tyytyväisenä puhelimessa perumassa outoa tilausta.

Seuraavalla videolla nähdään, miten huijaus käytännössä toimii. Varsinainen toiminta alkaa kohdasta 2:45.