Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

• wideo z nagrodami
• banery
• treści pełnoekranowe
• reklamy typu playable

Okazuje się jednak, że popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

• Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
• Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
• Brak rejestracji – nie wymagają tworzenia konta użytkownika
• Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
• Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
• Są dostępne w sklepie Google Play

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, że prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, że aplikacje wysyłają powiadomienia push, prawda? Nawet jeśli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, że wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, że klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

• zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
• zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
• prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
  • imię i nazwisko
  • numer telefonu
  • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

• nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
• wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
• informacja o tym, że z każdej inwestycji „firma” bierze 5% prowizji
• uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
• podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
• dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
• ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, że „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, że wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, że to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, że próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, że to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeśli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

• weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
• sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zazwyczaj wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
• do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
• zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
• jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeśli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. Jeśli masz wątpliwości – napisz do nas, pomożemy.

The post Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień appeared first on CERT Orange.

Oszustwo zaczyna się od rozmowy telefonicznej. W opisywanej kampanii najczęściej mieliśmy do czynienia z numerami z Wlk. Brytanii (strefa numeracyjna +44), zdarzyła się też próba połączenia z Holandii.

Po odebraniu telefonu odzywa się syntetyczny głos i… oferta pracy:

Interesuje Cię łatwa, wysokopłatna praca? Mam dla Ciebie ofertę, skontaktuj się ze mną przez WhatsApp

To tylko jeden z przykładów, treści mogą być różne, jednak niosą ten sam przekaz.

Wędka zarzucona przez WhatsApp

Skontaktowałem się zatem za pośrednictwem WhatsApp pod podany numer. Tam po krótkiej rozmowie dowiedziałem się, że oferta pracy polega na „lajkowaniu” przedmiotów na Allegro. Jako dowodów rozmówca oczekiwał wysyłania zrzutów ekranu z serwisu aukcyjnego. Miały być na nich widoczne produkt oraz serduszko, oznaczające dodanie do ulubionych.

Na początku trochę marudziłem i dopytywałem, sprawdzając cierpliwość rozmówcy. W pewnym momencie zdarzyło mu się wkleić do rozmowy treść po francusku, którą po chwili skasował. Ciekawe, w ilu jeszcze językach oszust prowadził równoległe rozmowy? Przyglądając się dokładnie treściom po polsku zakładam, że w przypadku naszego języka używał gotowych skryptów.

Linki (zarówno ten podany na WhatsApp jak i pozostałe, o których napiszę później) prowadziły faktycznie do serwisu Allegro, a w moim przypadku otwierały stronę produktu w aplikacji mobilnej. Polubiłem więc pierwszy produkt i wysłałem zrzut ekranu. W odpowiedzi rozmówca postawił przede mną kolejne zadanie:

Czyli wypłata mi się należy. By jednak ją otrzymać, muszę zrobić kolejny krok. Przejść spod kurateli werbownika na poziomie 1 pod opiekę „menedżera biznesowego”. W tym celu muszę zainstalować aplikację Telegram (i podać swój wiek). Rozmówca na WhatsApp mocno naciskał, by zrobić to szybko. Czyżby w kolejce czekali kolejni, których zainteresowała oferta pracy?

Co ciekawe, szybko okazało się, że „Marie” to niekoniecznie Marie. Po prostu obsługującemu mnie oszustowi musiało się trafić akurat zdjęcie kobiety i kobiece imię. Treść wypowiedzi mojego rozmówcy bezdyskusyjnie bowiem dowodziła, że rozmawiam z osobą płci męskiej, dla której język polski nie jest językiem natywnym. Ale póki co, po pierwszym kontakcie z „Marie” musiałem jeszcze podać dane do przelewu pierwszej wypłaty. Kolejne zadania miały na mnie czekać od rana.

Oferta pracy? Ciesz się życiem na Telegramie, klikaj lajki na Allegro

Przelew faktycznie przyszedł (i od razu został zgłoszony odpowiednim służbom w banku). Dane nadawcy są ukryte, bowiem z dużym prawdopodobieństwem można założyć, że był nim inny ze „słupów”. W trakcie śledztwa miałem też do czynienia z kilkudziesięcioma innymi potwierdzeniami przelewów. Jako bank nadawcy dominowały Revolut i Santander, pojawiały się też PKO, czy mBank.

Kolejnego dnia rano „Marie” dodała mnie do grupy o optymistycznie brzmiącej nazwie „Ciesz się życiem”. Grupa okazała się być zabezpieczona nie tylko przed wykonywaniem zrzutów ekranu, ale także przed wyeksportowaniem archiwum! Na poniższych zdjęciach warto zwrócić uwagę na kilka rzeczy. Personalia członków grupy wydają się być losowane z bazy imion i nazwisk (Chwalibóg Spychalski zrobił wyjątkowe wrażenie). Treści ich wypowiedzi generuje skrypt. A prowadzący grupę… ostrzegają przed oszustami.

Grupa grupą, na mnie czekała oferta pracy, którą trzeba było wprowadzić w życie. Nudne i mozolne otwieranie kolejnych pozycji w Allegro, serduszkowanie, screenshotowanie, wysyłanie. I raz na jakiś czas potwierdzanie, że otrzymałem kolejny przelew (mimo, iż był zatrzymywany zanim dotarł do celu). I tak zastanawiałem się, o co tu chodzi, aż nadeszło zadanie 10:

OK, udawać, że przyjmuję przelew to jedno. Wykonanie takiego przelewu to już jednak nie tylko naiwność – przecież nie wiadomo, czy dostanę przelew zwrotny. Znalazłem jednak pewien sposób, by przekonać „Marie”, że przelew pod podany adres wyszedł. Trick okazał się na tyle dobry, że oszust uwierzył. I (zapewne) odesłał przelew powiększony o kwotę podaną w zadaniu.

Ciągle Allegro, aż tu nagle… kryptowaluty

Pierwszy pełny „dzień pracy” udało się zakończyć. Gdybym faktycznie odbierał te przelewy, na moje konto trafiłoby nieco poniżej 200 złotych. Monotonię ciągłego klikania w Allegro przełamało nagle wrzucone przez „Marie” zadanie związane z… kryptowalutami. Po wysłaniu „menedżerowi sprzedaży” kolejnego zdjęcia z lajkiem dostałem niespodziewanie polecenie założenia konta na stronie udającej giełdę kryptowalut i skontaktowania się z „trenerką”.

„Trenerka” potrzebowała mój adres e-mail, numer telefonu, wiek i zawód. Po co? Jeśli nie wyjdzie przekręt to przynajmniej sprzeda/wykorzysta dane osobowe. Jej rola ograniczyła się do wyjaśnienia mi w co muszę klikać, żeby za kwotę widniejącą w pozycji PLN na moim koncie kupić BTC. Co ciekawe „menedżerka” podała mi inny adres do założenia konta, niż „trenerka” do aktywności.

Oszust poczuł się oszukany

Drugiego dnia niestety trafiła kosa na kamień. Choć w zasadzie powinna dzień wcześniej, bo wtedy miałem wykonać Zadanie 18 – kolejne, gdy to ja wysyłałem przelew, tym razem na 200 złotych – czego z różnych względów nie mogłem zrobić. „Marie” chciała mnie życzliwie przeprowadzić przez zadanie, ale tym razem nie doceniła moich umiejętności, które wykorzystałem w poprzedniej takiej sytuacji. Stawiam, że dlatego, iż kwota, która miała trafić na docelowe konto – o dziwo – nie znalazła się tam.

Prośby, błagania, groźby, sugestie ponownego spojrzenia na docelowe konto, że może wpłata się zagubiła, prośba o zaufanie do „wiernego pracownika”. Nic nie pomogło. Marie najpierw szukała błędów po swojej stronie, okazało się, że mogła pomylić nazwisko odbiorcy przelewu, więc… zwróciła mi pieniądze, które ja „wysłałem” jeszcze raz. Potem szukała winy po stronie banku, aż wreszcie zrozumiała, gdzie tkwi wina:

Próbujesz mnie oszukać! Jesteś oszustem!

Cóż – to ty zaczęłaś. Ja tylko dołączyłem do zabawy. I tym samym oferta pracy wygasła, a ja zostałem zwolniony. Czy żałuję? Początkowo trochę tak, bo liczyłem, że uda mi się ciągnąć narrację tak, by dotrzeć do momentu, gdy dowiem się o co tu naprawdę chodzi. Przeszła mi przez myśl pralnia pieniędzy, ale przy tak małych kwotach musiałaby to być olbrzymia liczba transakcji. Na pomoc przyszedł Facebook i grupy, zrzeszające tych, którzy niestety nie wiedzieli od początku, że to oszustwo…

Oferta pracy trwa tylko do dużego przelewu

Odpowiedź znajdujemy na grupie Oszustwa internetowe na Facebooku. Co jakiś czas pojawia się tam pytanie: „Czy ta oferta pracy wydaje się Wam wiarygodna?”. I o ile w komentarzach przewijają się podstawowe ostrzeżenia, w stylu by nie podawać w takich miejscach danych wrażliwych, pani Arleta zdecydowała się upublicznić to, co zdarzyło się jej, by ostrzec innych przed padnięciem ofiarą oszustwa (cytat oryginalny).

Praca miała polegać na laikowaniu reklam na YouTube, a później okazało się że trzeba inwestować z gwarancją zarobku… jak się okazało to ściema na początku przelewali grosze a później ukradli mi prawie 20000 zl…

Jak szybko dostałbym „zadanie” z przelewem na taką kwotę? Biorąc pod uwagę, że pierwszego dnia były to przelewy na 70 i następnie na 200 lub 500 PLN, myślę, że najpóźniej trzeciego dnia trafiłoby do mnie zadanie na 20 tysięcy, kuszące pewnie zarobkiem w wysokości 10 procent od tej kwoty. Wtedy oferta pracy by się skończyła, „Marie” by mnie zablokowała i zostałaby tylko frustracja z własnej zachłanności.

Jak ustrzec się takiego oszustwa?

Strzeż się WhatsAppa niosącego finansowe oferty! Po prostu nie ufaj obcym ludziom, piszącym do Ciebie ni z tego ni z owego na komunikatorze. Niektóre z mediów ostrzegających niedawno o analizowanym tutaj schemacie sugerowały, iż możemy mieć do czynienia z mutacją ataku „mamo/tato, telefon wpadł mi do sedesu”. Faktycznie jednak łączy je jedno – zaufanie obcej osobie na komunikatorze. Nie róbcie tego. Nie dajcie się oszukać.

Michał Rosiak

The post Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze appeared first on CERT Orange.

Zaczyna się od SMS-a. W polu nadawcy widnieje nadpis „Binance”. Treści mogą być różne, ale zawsze dotyczą aktywności na koncie. Oszuści stosują rzadko używaną socjotechniczną sztuczkę, sugerującą, że już stało się coś potencjalnie złego, a odbiorca SMS-a może to odwrócić jeśli natychmiast zadzwoni. Warto zwrócić uwagę, że treść wiadomości może być zarówno po polsku, jak i w języku angielskim.

Przykłady wiadomości:

Twoj kod weryfikacyjny logowania to 353423. Jesli to nie Ty, zadzwon pod +48223072501 natychmiast. REF/53642.

A new d3vice h4s logg3d in fr0m Bucharest, Romania. N0T Y0U? Please c4ll us at +48223970181

You have successfully updated a new device from Malaga, Spain. If this was NOT you, contact us immediately on +48858760006 Ref/BM6382

You’ve successfully linked a third-party app to your account allowing direct access to your funds. If you didn’t authorize this, call us at +48223072899

Zatem zadzwoniliśmy.

Najpierw po angielsku, potem po polsku 

Na początku połączenia automatyczny komunikat poinformował nas, że obsługa polskojęzyczna jest obecnie niedostępna i zostaniemy przełączeni do anglojęzycznej. Spotkaliśmy się jednak z przypadkiem, gdy rozmowa zaczyna się od razu od języka polskiego.

Po odebraniu konsultant zadał kilka pytań. M.in. o termin ostatniego logowania, stan środków na koncie (być może dlatego, by wiedzieć, czy warto zawracać sobie głowę ofiarą z pustym kontem) oraz o numer referencyjny z treści SMS-a. Po uzupełnieniu wiedzy anglojęzyczny konsultant poinformował, że za chwilę oddzwoni do nas osoba mówiąca po polsku.

Po upływie dwóch minut faktycznie zadzwonił inny oszust. Numer telefonu prezentował się jako prywatny.

Osoba dzwoniąca poinformowała, iż dzwoni z “sekcji reagowania w sytuacjach kryzysowych”. Może się też zdarzyć, że przedstawi się jako “wsparcie techniczne”. Rozpoczął od pytania, czy ktoś korzystający z naszego konta logował się ostatnio z Madrytu. Co ciekawe, ofiara tej sytuacji ma właśnie zaprzeczyć! Bo skoro się nie logowała, to znaczy, że z kontem dzieje się coś złego. Kontynuując “sprawdzanie” zaznaczył, że… nie spyta o dane logowania, bo to niebezpieczne. Kolejna wykorzystująca socjotechnikę próba podniesienia wiarygodności oszustwa.

Ile Pan ma pieniędzy w Binance? 

Rozmówca wyjaśnił, że w celu weryfikacji wystarczy podać dokładny stan naszego konta.Jeśli ktokolwiek miałby jeszcze wątpliwości, czy rozmawiamy z prawdziwym konsultantem Binance, w tym momencie ostatecznie by się rozwiały. W sytuacji, gdy nie mając konta w serwisie i podając wymyśloną kwotę (w naszym przypadku 10 tys. dolarów) dowiadujemy się, że nasze konto (!) jest zagrożone, przestępcy mogą je wyczyścić i rozmówca przeprowadzi nas przez proces zabezpieczenia naszych pieniędzy.

Jak możemy to zrobić? “Konsultant” zapytał z jakiej mobilnej platformy korzystamy. Gdy dowiedział się, że dysponujemy telefonem z systemem Android – podał link do aplikacji Trustwallet.

Fakt skorzystania z Trustwallet to kolejna sprytna socjotechniczna sztuczka atakujących. Jest to bowiem autentyczna, rzetelna, niezłośliwa aplikacja. Służy ona obsługi portfela kryptowalutowego. Warto zaznaczyć, że przestępca nie podaje żadnego linku – informuje, by zainstalować aplikację bezpośrednio ze Sklepu Play.

Wpisz hasło i przelej środki Binance (do oszusta) 

W kolejnym kroku atakujący informuje, że po zainstalowaniu aplikacji należy wpisać do niej 12-wyrazowe “hasło”, by uzyskać dostęp do “naszego konta”. Gdy to zrobimy, rozmówca deklaruje, że przeprowadzi nas krok po kroku przez proces przesłania naszych kryptowalut na rzekomo bezpieczne konto.

SMS z 12 wyrazami faktycznie przyszedł, również – jak pierwszy SMS – z nadpisu “Binance”. My jednak musieliśmy się wycofać, bowiem nie mamy konta w Binance, a nawet gdybyśmy je mieli – wiedzielibyśmy, że jedyne zagrożenie dla naszych finansów to oszust, z którym rozmawiamy. Próbowaliśmy przeciągnąć rozmowę, prosząc o więcej czasu. Ostatecznie rozmówca poinformował nas, że konto zostanie dezaktywowane, a on przekaże raport do Działu Bezpieczeństwa, w efekcie czego będziemy musieli ustawiać od nowa dane logowania.

Co mogło się stać, gdybyśmy mieli konto w Binance i złapali się na oszustwo? Oddajmy głos naszemu ekspertowi od bezpieczeństwa oraz kryptowalut, Adamowi Pichlakowi:

12 wyrazów, które zostało przysłane SMS-em to forma zapisu klucza prywatnego portfela. W momencie wpisania tego kodu i przelania na “nasze” konto kryptowalut, trafią one również do portfela przestępcy (ofiara i oszust współdzielą klucz prywatny portfela). Biorąc pod uwagę, że utrzymuje on na bieżąco połączenie telefoniczne z ofiarą, można założyć, że od razu wyprowadzi je on na inne konto.

Co robić? 

Jeśli nie macie konta na Binance, nie ma ryzyka, że stanie się Wam coś złego. Można też założyć, że jeśli atakujący trafi na faktycznego użytkownika Binance, ten okaże się osobą na tyle świadoma, by wiedzieć, do czego służy Trustwallet i nie dać się oszukać. Z drugiej strony, liczba kampanii i wysyłanych w ich ramach SMS-ów dowodzi, że tego typu działania mają istotną skuteczność.

Niezależnie od powyższych, warto zapoznać się ze schematem działania przestępców. Może się bowiem zdarzyć, że pojawią się kampanie skierowane pod kątem użytkowników innych giełd/platform kryptowalutowych. Choć wydaje się, że osoby świadomie inwestujące w kryptowaluty dojrzą w tym schemacie dużo czerwonych flag, warto pamiętać o podstawowych czynnikach ryzyka, które powtarzają się również w wielu innych kampaniach phishingowych, niekoniecznie opartych o kryptowaluty.

• Ignoruj wiadomości, dotyczące usług, z których nie korzystasz. 
• Stosuj zasadę ograniczonego zaufania do SMS-ów. Jeśli masz wątpliwości co do treści wiadomości – zaloguj się do aplikacji, bądź na stronie usługodawcy. Jeśli z Twoim kontem dzieje się coś złego – to tam otrzymasz odpowiednią informację. 
• Jeśli treść wiadomość wywołuje w Tobie wysokie emocje – załóż, że to socjotechniczna sztuczka. 
• Nie podawaj przez telefon loginów, haseł, a nawet stanu konta. 
• Działań związanych z Twoimi pieniędzmi nie podejmuj pod wpływem emocji. 

The post Oszustwo “na Binance” – szczegółowa analiza  appeared first on CERT Orange.

Prośba o pomoc w poradzeniu sobie z takim problemem trafiła dziś do CERT Orange Polska od jednego z pracowników, a dotyczyła jego potomstwa.

My też zdziwiliśmy się dość mocno, zobaczywszy coś takiego, sami przyznacie, że całkiem zapchany kalendarz. Próba kliknięcia w linki powiązane z kolejnymi wpisami przekierowywała nas na różne, ewidentnie scamowe serwisy. Wśród nich znalazły się niezmiennie popularne „wygrałeś Samsunga”, ale także – to nowość – sugestia zainstalowania VPNa na iPhone’a. Każde z zagrożeń na swój sposób niebezpieczne – z jednej strony ryzyko utraty pieniędzy przy opłacaniu „kosztów wysyłki”, z drugiej zaś – wpuszczenie przestępcy bezpośrednio w nasz ruch sieciowy.

Skąd to się wzięło?

Po krótkiej rozmowie z ofiarą dowiedzieliśmy się, że potomstwo chwilę wcześniej odwiedzało stronę vider.info. Zacznijmy od tego, że do „egzotycznych” domen wyższego rzędu (.info, .online, .xyz, itp.) radzimy podchodzić z duuuuużym dystansem. Sama strona natomiast to serwis, umożliwiający „oglądanie plików video”. Cudzysłów nie bez przyczyny – to, jakie to będą pliki, zależy tylko od osób, które je tam umieszczą, więc można zakładać, że niektórzy traktują tego typu serwisy jako alternatywy dla płatnych serwisów VOD. A skoro tak, nie powinni się dziwić, że mogą tam znaleźć „nieco więcej”.

Wg. sandboxu Hybrid-Analysis Vider.info nie jest – łagodnie mówiąc – serwisem godnym zaufania. I właśnie podczas wizyty tam nasza ofiara musiała odruchowo, bądź nieświadomie zgodzić się na instalację rozszerzenia do przeglądarki, które wywołało całe zamieszanie. Co ciekawe, instrukcja usunięcia tego paskudztwa pojawiła się w sieci… kilkanaście minut przed mailem do nas, co oznacza, że przestępcy mogą się dopiero rozkręcać.

Uważajcie na tego typu serwisy, naprawdę wybór jest tak duży, że warto zastanowić się nad legalnymi źródłami. Szkoda nerwów, naprawdę sporo można stracić.

Aktualizacja wrzesień 2025

Ze statystyk strony wynika, że ten tekst, choć liczy sobie przeszło 5 lat, jest jednym z popularniejszych na naszej stronie! A teraz jego popularność może wzrosnąć jeszcze bardziej, bowiem wygląda na to, że scam „Spam w kalendarzu na iPhone” wraca!

Zagraniczna prasa informuje o pojawieniu się tego samego oszustwa. Sposób „infekcji” jest wciąż ten sam – nieumyślna zgoda na dodanie do swojego kalendarza wpisów przygotowanych przez oszustów. Sam etap udzielonej zgody nie jest niebezpieczny. Niebezpieczne jest natomiast klikanie w linki, które są tam podczepione. Wyjaśnijmy pokrótce schemat działania:

• Gdy przeglądamy internet na smartfonie, pojawia się powiadomienie o treściach zachęcających nas do kliknięcia w link / przycisk np. „wygrałeś iPhone”, „odbierz swoją kryptowalutę”

• Po kliknięciu w przycisk – wyrażeniu zgody, w kalendarzu pojawiają się nowe, nie nasze, powiadomienia oraz wpisy

• Wpisy oszustów wraz ze scamowymi linkami, dodane do naszego kalendarza, tworzą powiadomienia w telefonie

Jak możemy się uchronić przed tym zjawiskiem? Nie dajmy się nabierać na niespodziewane treści w internecie, które chcą jedynie, żebyśmy w nie kliknęli. Niespodziewane wygrane kryptowalut czy też drogiego sprzętu elektronicznego w internecie na losowej stronie są równie częste, co znalezienie na ulicy wygranego losu na loterię.

A jeśli już zostaliśmy poszkodowani i swój kalendarz w iPhone mamy zapchany „wygranymi kryptowalutami” oraz innymi oszustwami, poradnik udostępniony przez Apple 4 lata temu jest wciąż aktualny:

Marek Olszewski

The post Zbuntowany kalendarz appeared first on CERT Orange.