Phishingi „na wypadek”, które łączy… policja

Od początku kwietnia CERT Orange Polska obserwuje lawinowy wzrost kampanii phishingowych „na wypadek”. Klasyczny motyw z drastycznym zdarzeniem, z którego rzekomo istnieje film, ale by obejrzeć, musimy potwierdzić wiek. Najlepiej logowaniem do Facebooka, bo przecież on wie, ile mamy lat.

Widząc posta na Facebooku mamy zaregować emocjonalnie, najlepiej nie spoglądając w pasek adresu przeglądarki, i podać oszustom nasz login i hasło. Co mogą potem z nimi zrobić? Ogranicza ich tylko wyobraźnia, wiele tego typu przypadków już opisywaliśmy. Czemu zatem ten zasłużył na oddzielny materiał? W czym jest inny?

Ano w tym:

Zaintrygowało nas, czemu fałszywa strona odwołuje się do AS 198704, czyli sieci Biura Łączności i Informatyki Komendy Głównej Policji? O ile fakt, że witryny, do których dostęp ograniczyła CyberTarcza, „odbijają” się na naszym sinkhole’u jest oczywisty, ale tutaj mówimy o witrynach ciągle aktywnych (spoza sieci Orange Polska oczywiście).

Rzut okiem w szczegóły URLScana wszystko wyjaśnia:

Nie wiemy, czy to bezczelność, czy oszustwo, ale autorzy fałszywych stron po prostu biorą obrazek znaku ostrzegającego przed wypadkiem bezpośrednio ze strony mazowieckiej policji!

Wystarczy więc wyszukać ten konkretny png, by odnaleźć (i zablokować) wszystkie 154 strony z obecnie trwających kampanii.

Czy po tej publikacji odwołania znikną? Być może tak, skoro oszuści będą wiedzieć, jak łatwo można odkryć ich przekręt. Z drugiej strony, ciężko nam uwierzyć, że w którejś z kolejnych serii kampanii nie pojawi się inny element, wiążący je wszystkie, równie prosty do wykrycia.

No i nie logujcie się na Facebooka z dziwnych adresów, ok?