Posted in STOP dezinformacji

Anatomia dezinformacji: „akcje Tesli” w poczcie mailowej

on
obywatelskiwschod


Dzisiaj, podczas robienia porządków na skrzynce mailowej, okazało się, że w Sylwestra do Fundacji Obywatelski Wschód trafiła wiadomość, która na pierwszy rzut oka mogłaby wywołać zdumienie, a u mniej doświadczonych odbiorców — ekscytację.


Wiadomość informuje o „losowym wyborze” adresu e-mail i przypisaniu do niego ponad 18 tysięcy akcji Tesli o wartości przekraczającej 4 miliony dolarów. Nadawca prosi o pilny kontakt na adres w domenie Yandex w celu „uzyskania dalszych instrukcji”.

To dobra okazja, aby pokazać na co zwracać uwagę w przypadku podobnych wiadomości trafiających do naszych skrzynek mailowych.


8 dowodów na to, że masz do czynienia z oszustwem

1. Nadawca i domena (pierwsza czerwona flaga 🚩)

Adres wysyłkowy to sara.ochoa@cu.ucsg.edu.ec. Jest to domena katolickiej uczelni wyższej w Ekwadorze:
https://www.ucsg.edu.ec/

  • Fakt: Elon Musk ani żadna z jego spółek (Tesla, SpaceX, X) nie prowadzi korespondencji inwestycyjnej za pośrednictwem akademickich kont e-mail z Ameryki Południowej. W analizowanej wiadomości adres nadawcy wskazuje na domenę instytucjonalną, co może oznaczać wykorzystanie legalnej infrastruktury pocztowej (np. konta instytucjonalnego), często spotykane w kampaniach spamowych i phishingowych.

Uwaga: fakt, że e-mail przechodzi weryfikację SPF, DKIM i DMARC, nie oznacza, że jest bezpieczny. Coraz więcej oszustw wysyłanych jest z przejętych, legalnych kont instytucjonalnych, co pozwala ominąć filtry antyspamowe. O zagrożeniu decyduje treść i kontekst, a nie wyłącznie nagłówki techniczne.

Co bowiem widzimy w szczegółach wiadomości?

Authentication-Results: mx.google.com;
dkim=pass header.i=@cu.ucsg.edu.ec header.s=selector1;
spf=pass (google.com: domain of sara.ochoa@cu.ucsg.edu.ec designates 2a01:111:f403:d800::1 as permitted sender) smtp.mailfrom=sara.ochoa@cu.ucsg.edu.ec;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=cu.ucsg.edu.ec
Return-Path: sara.ochoa@cu.ucsg.edu.ec
Accept-Language: es-MX, en-US
Content-Language: es-MX

Ten e-mail NIE jest spoofingiem technicznym.
To jest prawdziwa wiadomość wysłana z prawdziwego konta w domenie uczelni.
Oszustwo dotyczy treści, a nie infrastruktury.

Serwer, z którego wysłano maila, ma prawo wysyłać pocztę w imieniu domeny cu.ucsg.edu.ec.

Wiadomość:

  • nie została zmieniona po wysłaniu,
  • została podpisana kluczem domeny uczelni: dkim=pass header.i=@cu.ucsg.edu.ec

Domenę skonfigurowano poprawnie i restrykcyjnie.
➡️ To nie jest domena „spamowa” ani porzucona: dmarc=pass (p=REJECT sp=REJECT)

Mail przechodził przez:

  • Microsoft Exchange Online (Office 365),
  • zabezpieczenia Google,
  • bez naruszeń integralności.

Wnioski:
📌 Mail jest autentyczny infrastrukturalnie.

📌 Nikt nie podszył się pod domenę.

📌 Jest to najprawdopodobniej przejęte lub nadużyte konto realnej osoby (pracownika, współpracownika uczelni lub studenta), co jest częstą praktyką w kampaniach phishingowych i spamowych.

📌 Prawdopodobne scenariusze przejęcia konta:

  • wcześniejszy phishing (ktoś wyłudził hasło),
  • malware na komputerze,
  • masowa wysyłka przez skrzynkę ofiary.

Język i ustawienia regionalne:

Konto skonfigurowane jako:

  • hiszpański (Meksyk),
  • angielski (USA).

➡️ Treść po polsku generowana automatycznie:

  • translator,
  • model AI,
  • masowa personalizacja.

Czego nie ma w nagłówku wiadomości?

Brak śladów relacji z:

  • Teslą,
  • SpaceX,
  • jakąkolwiek instytucją finansową,
  • brak mailingów korporacyjnych,
  • brak list dystrybucyjnych.

Cały „autorytet” Elona Muska istnieje wyłącznie w treści maila, nie w metadanych.

2. Brandjacking i efekt aureoli 🚩

Oszuści wykorzystują wizerunek osób ekstremalnie bogatych i budzących emocje. To zjawisko określane jako brandjacking.

  • Mechanizm: przekopiowanie „CV” Muska oraz jego majątku (416,6 mld USD) z Wikipedii ma na celu wywołanie respektu i uśpienie czujności odbiorcy. Prawdziwy lider biznesu nie zaczyna listu od cytowania swojej notki z Wiki.

3. „Losowy wybór” a prawo (compliance) 🚩

Twierdzenie, że adres e-mail został „losowo wybrany z bazy danych w USA, Kanadzie i Europie”, jest otwartym przyznaniem się do naruszenia RODO.

  • Wniosek: żadna legalnie działająca korporacja nie zaryzykowałaby gigantycznych kar finansowych za przetwarzanie danych bez podstawy prawnej i wysyłkę niesubskrybowanej wiadomości o charakterze finansowym, ogłaszając to w pierwszym zdaniu maila.

4. Fikcja finansowa: akcje „znikąd” 🚩

W świecie finansów akcje nie istnieją w próżni e-mailowej. Nie są „przyznawane” mailowo na losowo wybrany adres.

  • Rzeczywistość: akcje spółek giełdowych są zapisane na rachunkach maklerskich lub w systemach depozytowych. Nie można „posiadać” akcji Tesli dlatego, że ktoś tak napisał w mailu.

5. Chaos w danych liczbowych 🚩

Zapis ceny akcji jako „228,0 (TSLA)” bez podania waluty, daty notowania czy giełdy jest nieprofesjonalny. Oszuści podają precyzyjne liczby (np. 18 087,71 akcji), ponieważ szczegółowość buduje ułudę autentyczności.

6. Presja czasu i emocji 🚩

Wezwanie do „niezwłocznej odpowiedzi” i „potraktowania maila poważnie” to klasyczna socjotechnika. Ma ona na celu ograniczenie czasu na racjonalną analizę i wymuszenie reakcji pod wpływem impulsu (strachu przed utratą okazji).

7. Adres do odpowiedzi (nokaut logiczny) 🚩

Prośba o kontakt na adres teslastockfoundation.team23@yandex.com jest ostatecznym dowodem oszustwa.

  • Geopolityka i bezpieczeństwo: yandex to rosyjski portal. Wykorzystanie darmowej, rosyjskiej skrzynki w sprawach dotyczących amerykańskiego giganta technologicznego jest niewiarygodne, nielogiczne i charakterystyczne dla infrastruktury często wykorzystywanej w międzynarodowych oszustwach.

8. Wykorzystanie AI w personalizacji 🚩

Warto zauważyć, że mail jest napisany poprawną polszczyzną. Sugeruje to użycie zaawansowanych translatorów lub modeli AI. To nowa generacja scamów – czas „łamanego” języka minął, teraz oszuści brzmią płynnie i wiarygodnie.


Co może wydarzyć się dalej?

Ten etap oszustwa jest szczególnie niebezpieczny, ponieważ łączy presję emocjonalną z pozorami legalności.

Jeśli odpowiesz na taki e-mail, wejdziesz w proces tzw. oszustwa na przedpłatę:

  1. Otrzymasz „oficjalne” dokumenty do podpisania (wyłudzenie skanu dowodu).
  2. Zostaniesz poproszony o wniesienie „opłaty aktywacyjnej”, „podatku od darowizny” lub „kosztów notarialnych”.
  3. Po wpłaceniu np. 500 USD, kontakt się urywa, a Twoje dane trafiają na tzw. sucker lists (listy osób podatnych na manipulację).


Rekomendacje Fundacji „Obywatelski Wschód”

Edukacja to najskuteczniejsza tarcza przed dezinformacją. Publikujemy tę analizę, aby wzmocnić Państwa odporność na cyfrowe zagrożenia.

Zasady bezpieczeństwa:

  1. Nie odpowiadaj na podejrzane wiadomości.
  2. Nie klikaj w żadne linki i nie pobieraj załączników.
  3. Zgłaszaj incydenty do odpowiednich służb, np. CERT Polska:

https://incydent.cert.pl/#!/lang=pl,entityType=notObligatedEntity

Instrukcja jak pobrać wiadomość w formacie eml:

https://incydent.cert.pl/instrukcje-email (klikamy we właściwą ikonę w zależności od tego gdzie mamy skrzynkę mailową).

Ciekawostka dla zaawansowanych (z przymrużeniem oka)

W lipcu 2023 r. Adam Haertle (Zaufana Trzecia Strona) przeprowadził webinar pt. „JAK TROLLOWAĆ PRZESTĘPCÓW„:
https://wideo.zaufanatrzeciastrona.pl/trolowanie

Poradnik dobrego trolla

Wygrane na loterii, nieoczekiwane spadki, tanie samochody, zakochani żołnierze lub pracownicy platform wiertniczych – codziennie tysiące osób dostają oferty życia. Oferty od oszustów, świetnych manipulatorów. Na webinarze odwracamy role i oszukujemy oszustów. Utrudniamy im życie, wpędzamy w koszty, a może i problemy.

Odradzamy jednak tę „zabawę” osobom bez podstawowych umiejętności fact-checkingowych i OSINT.

Podobne

Cyberprzestępca jako muza. O ironii losu, konkursie Scamming Out!, zjawisku scamu i bardzo realnych ofiarach

Zapraszamy na bezpłatne warsztaty o zagrożeniach w sieci

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *