Powiadomienie (nie) od Orange
Wygląda na to, że w ostatnich dniach sieciowi oszuści wyjątkowo upodobali sobie klientów usług Orange. Przyjrzyjmy się bliżej najnowszemu przypadkowi z próbą wyłudzenia poświadczeń logowania do konta Mój Orange.
Zaczyna się od SMS-a – to zdecydowanie najpopularniejszy wektor ataku od bardzo dawna.
Orange wysyłając wiadomości do Was nie formułuje ich treści w sposób tak… generyczny. Dodatkowo, ta została nadana z tzw. długiego numeru (czyli zwykłego numeru telefonu, a nie, jak w naszym przypadku z zastrzeżonego nadpisu Orange). Mechanizmy Google/Androida też zorientowały się, że coś jest nie tak, bowiem SMS został opatrzony znakiem ostrzegawczym. No i forma linku – CERT Orange Polska dba o to, by wiadomości wysyłane do naszych klientów wiadomości nie zawierały skracaczy. Jedynym możliwym wyjątkiem od tej reguły jest nasz https://oran.ge.
Wracając do naszej historii. Oczywiście kliknęliśmy za Was, żebyście Wy nie musieli:
Na docelowej stronie hxxps://tmg-wanji[.]com (oczywiście od razu zablokowana) widzimy raczej generyczny formularz logowania, tylko z logo Orange. Po wpisaniu losowych danych pojawia się kolejny, już lepiej przygotowany:
O ile tytuł poprzedniego ekranu brzmiał po prostu „login”, tutaj już widzimy (na samej górze przeglądarki) sugestię, jakobyśmy byli na stronie logowania Orange Polska. Adres w pasku przeglądarki oczywiście się nie zmienia, jednak wiemy z doświadczenia, że niestety zbyt wielu internautów łatwo zwieść taką prostacką sztuczką.
Wpisaliśmy znany Wam numer telefonu i na stronie pojawiło się to:
Tutaj warto spojrzeć na górę strony. „Wysłaliśmy go pod nr 51x xxx xxx”. Jak to się ma do tego, że numer, który wpisaliśmy, zaczyna się od 508? Link do phishingowej witryny był generyczny, nie zawierał hasha, nie wydawał się być skierowany pod konkretnego użytkownika. Czyżby potknięcie/niechlujność oszustów?
Na naszą zgłaszarkę kod oczywiście nie dotarł, a wpisanie dowolnego wywołało komunikat jak poniżej:
To może oznaczać, że oszuści (w miarę) na bieżąco sprawdzają logowania i starają się od razu używać podanych poświadczeń. Gdy jednak za kolejnym razem wpisaliśmy w okno monitu 000000 – zostaliśmy przekierowani na faktyczną stronę Orange Polska (oczywiście niezalogowani).
Co się stanie, jeśli niefrasobliwie podamy prawdziwe poświadczenia logowania i przepiszemy kod? Przestępca będzie miał wtedy dostęp do naszego konta. Teoretycznie z wyłączeniem aktywności wymagających dodatkowego uwierzytelnienia kodem SMS. Z drugiej strony jednak, jeśli daliśmy się oszukać raz, czy na pewno nie wpiszemy kodu po raz drugi?
Co robić? Pilnować się, zawsze sprawdzać adres stron, na których jesteśmy proszeni o podanie loginu i hasła. A my będziemy robić swoje – czyli blokować docelowe strony, używane w kampaniach phishingowych, jak najszybciej.