Nowa fala phishingu „na Netflixa”
Uwaga na nowy phishing z podszyciem pod Netflixa! Od ok. godziny CERT Orange Polska obserwuje wzmożony ruch przy nowej kampanii, poniżej znajdziecie szczegóły i całą drogę, którą przechodzi potencjalna ofiara.
SMS-y przychodzą z nadpisu NTFX, prowadzą do zarejestrowanej w okolicy godz. 13 witryny hxxps://obszarabonenta[.]com/ (oczywiście od razu została zablokowana przez CyberTarczę). Może się zdarzyć, że wiadomość przyjdzie też ze zwykłego numeru.
Treść SMS-a, zaobserwowanego przez nas, brzmiała:
Twoje ostatnie rozliczenie zostało odrzucone. Aby nadal korzystać z naszych usług, przejdź do : [ADRES]
Doświadczenie ze wcześniejszych kampanii wskazuje, że oszuści wysyłają różne treści (zazwyczaj były to 2-3 wersje).
Kliknięcie przenosi nas do strony umieszczonej w domenie Google Translate (hxxps://strefaabonencka-com.translate[.]goog). Dlaczego? Oczywiście po to, by automatyczne systemy bezpieczeństwa nie blokowały domeny o domyślnie wysokiej – z racji na główną – reputacji.
Co dalej?
Pierwsza strona – poza adresem – wygląda całkiem rzetelnie. Jeśli jednak podkusiłoby Was, żeby sprawdzić numer rzekomej pomocy technicznej – przekonacie się, że nie istnieje.
Kolejny krok? Jest konsekwentnie – skoro w SMS-ie ostrzegamy o zawieszeniu konta, to faktycznie sytuacja wciąż wygląda poważnie.
Co dalej? Pora na potwierdzenie informacji o płatności. Można by na upartego przyczepić się do treści ostrzeżenia (dużo powtórzeń), jednak językowo nie mamy zastrzeżeń.
No to może wpiszmy dane i zobaczmy co będzie się działo?
W kolejnym kroku padło pytanie o dane rozliczeniowe karty płatniczej, gdzie podaliśmy standardowy, łatwy do znalezienia w internecie, jeden z testowych numerów karty.
Mamy pierwszą wpadkę oszustów. Choć można sobie zażartować, że została im krztyna uczciwości i pisząc „Proszę przestań…” sugerują natychmiastową ucieczkę z poniższej strony, sprawa jest dużo bardziej poważna. Przez te kilkadziesiąt sekund, gdy nieświadomy internauta czeka na potwierdzenie, oszuści błyskawicznie dokonują transakcji, wykorzystując podane dane.
Jak oszuści przekonują ofiarę, że tak długie oczekiwanie miało sens?
Jesteście zdezorientowani? Cóż, Netflix też. Co ciekawe, za pierwszym razem nie zauważyliśmy napisu w prawym górnym rogu. Jeśli jednak ofiara dotarła do tego momentu, musi się wyjątkowo szybko zorientować i zadzwonić do wystawcy karty, z nadzieją, że zdoła zatrzymać transakcje!
Im dłużej czeka na kod (nie przyjdzie, nasz spamtrap był pusty przeszło godzinę po rzekomej wysyłce SMS-a, gdy powstał ten tekst), tym mniejsza nadzieja, że coś uda się uratować. My prawdziwego numeru karty nie podaliśmy, a skoro kod nie przyszedł – wpisaliśmy go sami.
Niestety dopiero wtedy algorytmy przeglądarki ostrzegły nas, że mamy do czynienia z oszustwem. By zakończyć analizę, zdecydowaliśmy się wejść na niebezpieczną stronę, gdzie zobaczyliśmy to:
By następnie „odbyć wycieczkę” na faktyczną stronę Netflixa.
Co robić?
Tu odpowiedź jest prosta. KAŻDY SMS, pochodzący od firmy, z której usług korzystacie, traktować zgodnie z zasadą ograniczonego zaufania. Jeśli masz wątpliwości – wejdź na stronę, używając znanego Ci adresu, zaloguj się i sprawdź, czy wszystko jest w porządku.
A SMS – wybierz opcję „Prześlij dalej”/”Forward” i wyślij go na nr 508 700 900. Być może w kolejnym tekście to Twoją historię opiszemy?
