hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 maja 2023

Powiadomienie (nie) od Orange

Wygląda na to, że w ostatnich dniach sieciowi oszuści wyjątkowo upodobali sobie klientów usług Orange. Przyjrzyjmy się bliżej najnowszemu przypadkowi z próbą wyłudzenia poświadczeń logowania do konta Mój Orange.

Zaczyna się od SMS-a – to zdecydowanie najpopularniejszy wektor ataku od bardzo dawna.

Orange wysyłając wiadomości do Was nie formułuje ich treści w sposób tak… generyczny. Dodatkowo, ta została nadana z tzw. długiego numeru (czyli zwykłego numeru telefonu, a nie, jak w naszym przypadku z zastrzeżonego nadpisu Orange). Mechanizmy Google/Androida też zorientowały się, że coś jest nie tak, bowiem SMS został opatrzony znakiem ostrzegawczym. No i forma linku – CERT Orange Polska dba o to, by wiadomości wysyłane do naszych klientów wiadomości nie zawierały skracaczy. Jedynym możliwym wyjątkiem od tej reguły jest nasz https://oran.ge.

Wracając do naszej historii. Oczywiście kliknęliśmy za Was, żebyście Wy nie musieli:

Na docelowej stronie hxxps://tmg-wanji[.]com (oczywiście od razu zablokowana) widzimy raczej generyczny formularz logowania, tylko z logo Orange. Po wpisaniu losowych danych pojawia się kolejny, już lepiej przygotowany:

O ile tytuł poprzedniego ekranu brzmiał po prostu „login”, tutaj już widzimy (na samej górze przeglądarki) sugestię, jakobyśmy byli na stronie logowania Orange Polska. Adres w pasku przeglądarki oczywiście się nie zmienia, jednak wiemy z doświadczenia, że niestety zbyt wielu internautów łatwo zwieść taką prostacką sztuczką.

Wpisaliśmy znany Wam numer telefonu i na stronie pojawiło się to:

Tutaj warto spojrzeć na górę strony. „Wysłaliśmy go pod nr 51x xxx xxx”. Jak to się ma do tego, że numer, który wpisaliśmy, zaczyna się od 508? Link do phishingowej witryny był generyczny, nie zawierał hasha, nie wydawał się być skierowany pod konkretnego użytkownika. Czyżby potknięcie/niechlujność oszustów?

Na naszą zgłaszarkę kod oczywiście nie dotarł, a wpisanie dowolnego wywołało komunikat jak poniżej:

To może oznaczać, że oszuści (w miarę) na bieżąco sprawdzają logowania i starają się od razu używać podanych poświadczeń. Gdy jednak za kolejnym razem wpisaliśmy w okno monitu 000000 – zostaliśmy przekierowani na faktyczną stronę Orange Polska (oczywiście niezalogowani).

Co się stanie, jeśli niefrasobliwie podamy prawdziwe poświadczenia logowania i przepiszemy kod? Przestępca będzie miał wtedy dostęp do naszego konta. Teoretycznie z wyłączeniem aktywności wymagających dodatkowego uwierzytelnienia kodem SMS. Z drugiej strony jednak, jeśli daliśmy się oszukać raz, czy na pewno nie wpiszemy kodu po raz drugi?

Co robić? Pilnować się, zawsze sprawdzać adres stron, na których jesteśmy proszeni o podanie loginu i hasła. A my będziemy robić swoje – czyli blokować docelowe strony, używane w kampaniach phishingowych, jak najszybciej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2025
Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze
Dowiedz się więcej
22 kwietnia 2025
(nie)Bezpieczna Sieć – seniorzy, ten film jest dla Was!
Dowiedz się więcej
16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance