Wiadomość wygląda profesjonalnie, ton jest rzeczowy, a sytuacja – pilna. Klikasz w załączony plik PDF i postępujesz zgodnie z instrukcjami. W ten sposób nieświadomie przekazujesz cyberprzestępcom dane logowania do swojego banku. To nie fikcja. To rzeczywisty przypadek, zgłoszony do naszego zespołu przez jednego z użytkowników, który na szczęście w porę zorientował się, że coś jest nie tak. Pokazujemy krok po kroku, jak działa ten mechanizm, dlaczego jest taki skuteczny i jak można się przed nim obronić.

Pierwszy kontakt z „Otomoto”

Wszystko zaczyna się w momencie, gdy wystawiasz ogłoszenie na Otomoto. Zaledwie kilkanaście minut później w Twojej skrzynce na portalu pojawia się wiadomość prywatna od użytkownika o nazwie „Otomoto  Security Team” (nazwa nie jest elementem stałym, oszust może przybrać również inny nick). Sama nazwa ma budzić zaufanie – wygląda oficjalnie, a wielu użytkowników może nie zauważyć czegoś podejrzanego. 

Wiadomość brzmi bardzo przekonywująco (pisownia oryginalna):

Szanowny Użykowniku,
System bezpieczeństwa Otomoto
wykrył nietypową aktywność związaną z Twoim kontem.
W celu ochrony danych dostep do konta może zostać tymczasowo ograniczony.

Aby potwierdzić tożsamość i przywrócić pełny dostęp, otwórz załączony plik PDF i postępuj zgodnie z instrukcjami.

Dziękujemy za zrozumienie.

Z poważaniem,
Zespół Bezpieczeństwa Otomoto

Na pierwszy rzut oka – komunikat jakich wiele. Brzmi technicznie, zawiera ostrzeżenie o ograniczeniu konta i odwołuje się do bezpieczeństwa. Jest prawdopodobne, że ofiara potraktuje go poważnie. Załączony plik PDF wydaje się być elementem „oficjalnej procedury”. W rzeczywistości to pierwszy krok w przemyślanej kampanii phishingowej.

Fałszywy PDF – pozory profesjonalizmu

Otwierając dokument użytkownik widzi starannie przygotowaną grafikę. Nagłówek z logotypem Otomoto, sekcja z instrukcjami oraz duży, niebieski przycisk „Przejdź do weryfikacji”. Tekst utrzymany jest w formalnym tonie:

Wymagane potwierdzenie tożsamości

Szanowny użytkowniku,

Aby kontynuować korzystanie z naszych usług, musisz potwierdzić
swoją tożsamość. Jest to ważne dla zapewnienia bezpieczeństwa
Twojego konta.

Jak przejść weryfikację:
Kliknij przycisk „Przejdź do weryfikacji” poniżej. Postępuj zgodnie z
instrukcjami na wyświetlonej stronie. Zakończ proces weryfikacji w
ciągu 12 godzin, aby uniknąć ograniczeń dostępu do konta.

Ważne:
Jeśli nie zakończysz weryfikacji w wyznaczonym czasie, dostęp do konta
zostanie całkowicie zablokowany.

Kliknij przycisk poniżej, aby kontynuować proces:

Przejdź do weryfikacji

To moment w którym zaczyna się manipulacja. Użytkownikowi sugeruje się, że sytuacja jest pilna, a brak reakcji doprowadzi do utraty dostępu do konta. Tego rodzaju presja czasu to klasyczna technika socjotechniczna – działa na emocje, mogąc wyłączyć racjonalne myślenie. Kliknięcie przycisku prowadzi na stronę wyglądającą niemal identycznie jak prawdziwa witryna Otomoto.

Fałszywa strona – 1:1 kopia oryginału

Wystarczy spojrzeć na adres w pasku przeglądarki, by nabrać wątpliwości. Domena na którą jesteśmy przekierowani, wygląda bardziej jak losowy ciąg znaków i nie przypomina niczego związanego z marką Otomoto. To powinna być ostateczna czerwona flaga. Na stronie widnieje komunikat o „konieczności potwierdzenia tożsamości” oraz formularz logowania.

Ku zaskoczeniu użytkownika, zamiast danych do Otomoto, strona prosi o… zalogowanie się do banku. Z punktu widzenia laika wygląda to logicznie – przecież bankowość to potwierdzenie tożsamości, prawda? Nie. To oszustwo. Mamy do czynienia z mechanizmem kradzieży danych bankowych w czasie rzeczywistym.

Jak działa oszustwo na Otomoto „na żywo”

Po wpisaniu loginu i hasła do bankowości elektronicznej, strona wyświetla komunikat o „trwającej weryfikacji”. Jesteśmy informowani, że proces „przetwarzania transakcji” trwa do pięciu minut. W tym czasie cyberprzestępca – działający „z drugiej strony komputera” – natychmiast używa wpisanych danych, próbując zalogować się do prawdziwego systemu bankowego.

Dzięki wprowadzeniu przez ofiarę nazwy użytkownika, hasła oraz numeru telefonu, przestępcy mogą przejąć kontrolę nad kontem, a także próbować autoryzować transakcję w aplikacji mobilnej ofiary. Często równolegle ofiara otrzymuje SMS z banku – np. z kodem logowania lub prośbą o potwierdzenie operacji. Jeśli przestępcy socjotechnicznymi zabiegami przekonają ofiarę do wpisania kodu na stronie/akceptacji w aplikacji mobilnej – autoryzuje ona tym samym działania oszustów na własnym koncie bankowym. 

Dlaczego to działa i jak rozpoznać oszustwo?

Tego typu ataki są skuteczne, ponieważ łączą w sobie kilka czynników:

• Zaufanie do marki. Otomoto to znany i ceniony serwis, więc komunikaty „od bezpieczeństwa” wydają się wiarygodne.
• Presja czasu. Groźba blokady konta w ciągu 12 godzin wywołuje pośpiech. Tym bardziej, że zależy nam na sprzedaży auta, zapłaciliśmy za ogłoszenie. 
• Profesjonalny wygląd. PDF i strona są dopracowane graficznie, zawierają poprawne logo, fonty i kolory identyczne z oryginałem.
• Socjotechnika. Komunikat brzmi spokojnie i rzeczowo, nie wzbudzając podejrzeń.
• Nowy kontekst. Wcześniej podobne ataki dotyczyły głównie portali zakupowych. Teraz cyberprzestępcy przenoszą się do segmentu motoryzacyjnego, gdzie stawki są wyższe.

Choć strona na pierwszy rzut oka wygląda wiarygodnie, warto zwrócić uwagę na pewne subtelne sygnały ostrzegawcze:

• Adres. Zamiast https://www.otomoto.pl widnieje inny adres, często z dodatkowymi słowami: verification, secure, confirm. Nigdy to nie będzie domena z końcówką otomoto.pl (bądź innej firmy, pod którą będą się podszywać przestępcy).
• Nietypowe prośby – żadne prawdziwe serwisy nie wymagają logowania do banku w celu potwierdzenia konta ogłoszeniowego.
• Załączony plik PDF – to rzadkość w komunikacji platform internetowych. Oficjalne powiadomienia trafiają przez e-mail lub panel użytkownika, a nie przez pliki w prywatnej korespondencji od użytkownika. 

Jak się chronić

Oto kilka prostych, ale skutecznych zasad, które pozwolą uniknąć tego typu zagrożeń:

• Nie otwieraj załączników z nieznanych źródeł. Serwisy takie jak Otomoto nigdy nie przesyłają plików PDF z instrukcjami bezpieczeństwa.
• Nie klikaj w linki z wiadomości prywatnych. Jeśli coś budzi wątpliwości, zawsze zaloguj się do serwisu bezpośrednio – wpisując adres ręcznie w przeglądarce.
• Korzystaj z ochrony antyphishingowej. CyberTarcza Orange automatycznie blokuje dostęp do znanych stron phishingowych, zanim zdążysz wprowadzić dane.
• Zachowaj spokój. Cyberprzestępcy grają na emocjach – straszą blokadą, utratą środków lub konta. W większości przypadków to blef.

Phishing ewoluuje – czujność to klucz

Takie oszustwa dowodzą, że cyberprzestępcy stale udoskonalają swoje metody. Jeszcze kilka lat temu ataki phishingowe były łatwe do rozpoznania – z błędami ortograficznymi, amatorskimi grafikami i niezgrabnymi tłumaczeniami. Dziś mamy do czynienia z profesjonalnie przygotowanymi kampaniami, które potrafią zmylić nawet doświadczonych użytkowników.

Najlepszą obroną pozostaje świadomość i zdrowy rozsądek. Zawsze warto zadać sobie kilka prostych pytań:

• Czy naprawdę ktoś z serwisu napisałby do mnie przez wiadomość prywatną? Dlaczego pisze do mnie z konta security_team_3114@? 
• Dlaczego weryfikacja konta w serwisie ma wymagać logowania do banku? 
• Czy sytuacja naprawdę jest tak pilna, że muszę reagować natychmiast? Może zadam pytanie oficjalnym kanałem.

Jeśli którakolwiek z tych odpowiedzi brzmi „nie wiem” – lepiej się zatrzymać i sprawdzić źródło informacji lub potwierdzić to na oficjalnym kanale komunikacji.

Podsumowanie

Fałszywe wiadomości od „Otomoto  Security Team” to przykład, jak daleko poszli cyberprzestępcy w dopracowywaniu swoich metod. Wykorzystują zaufanie użytkowników do znanych marek, tworząc pozory profesjonalizmu i bezpieczeństwa.

Dlatego zapamiętaj:

• Otomoto nigdy nie prosi o logowanie do banku w celach weryfikacji.
• Nie klikaj w linki z wiadomości prywatnej o „weryfikacji” konta.
• Zgłaszaj takie przypadki do CERT Orange Polska.

Każde takie zgłoszenie pomaga nam szybciej zidentyfikować nowe kampanie i chronić kolejnych użytkowników. Jeśli byłeś świadkiem podobnego oszustwa, daj znam znać w sekcji kontakt. Być może, dzięki Tobie uda się uchronić również innych. Zalecamy również zgłaszanie takich oszustw bezpośrednio na platformach sprzedażowych. W tym przypadku, już prawdziwy Zespół Bezpieczeństwa Otomoto zadziałał błyskawicznie blokując oszusta.

The post Ty chcesz sprzedać auto, a przestępcy podszywają się pod „zespół bezpieczeństwa Otomoto” appeared first on CERT Orange.

Powiecie, że przecież do przygotowania Wigilii i poszukiwania „zawartości pod choinkę” zostało jeszcze sporo czasu? Tymczasem statystyki wykazują, że w ostatnich latach Polacy coraz rzadziej zostawiają świąteczne aktywności na ostatnią chwilę. Przestępcy też o tym wiedzą, więc można postawić dolary przeciwko orzechom, że dopinają przygotowania na ostatni guzik. Czasy się zmieniają! Choć według badań zakupy spożywcze wciąż chętniej robimy stacjonarnie (choć akurat przed świętami sklep online pomaga ominąć kolejki!), tak z zakupami prezentów gremialnie przenieśliśmy się do sieci. A tam czyhają pokusy…

Nie daj się złapać na „inwestycje”

Koszty życia rosną, a w magiczny świąteczny czas chcielibyśmy sprawić, by cała rodzina poczuła bezpieczna, najedzona i szczęśliwa. To kosztuje i niektórym z nas czasami pieniędzy może zabraknąć. A na to czekają – nie tylko na Boże Narodzenie – oszuści. Ci sami, którzy regularnie przez cały rok – głównie za pośrednictwem Facebooka (choć zdarza się np. Youtube) – zarzucają nas reklamami, roztaczającymi miraże wielkich zarobków.

A jak jest naprawdę? Wersji oszustw jest co najmniej kilka. Przykładowo jedna z nich zakłada, iż ofiara wpłaci „na konto inwestycyjne” relatywnie niską kwotę. Później, mamiona rzekomymi zyskami, będzie wpłacać kolejne. Szybkie rozmnożenie naszych pieniędzy w sam raz na święta może niektórych skusić. Schemat takiego oszustwa opisaliśmy niedawno na naszych łamach.

W powyższej opcji stracimy tylko to, co wpłaciliśmy. Druga wersja, znacznie groźniejsza – to „konsultant inwestycyjny” namawiający nas do instalacji „specjalnej aplikacji”, która de facto jest programem do zdalnego pulpitu. Wtedy dajemy oszustowi pełny dostęp do naszego komputera, co może się skończyć okradzeniem nas ze wszystkich pieniędzy (że o dostępie do wszelkich naszych danych zapisanych na komputerze już nie wspomnimy).

Wymarzone promocje w nieistniejących sklepach

Ile jest sklepów w internecie? Policzenie tych rzetelnych wydaje się być niemożliwe, a przecież prowadzonych przez oszustów znajdziemy w sieci wielokrotnie więcej. Im bliżej Boże Narodzenie tym bardziej musisz – niczym za kierownicą – korzystać z zasady ograniczonego zaufania.

Jeśli coś wydaje się zbyt piękne, by było prawdziwe – załóż, że prawdziwe nie jest.

Chyba, że lubisz ryzyko, jednak doświadczenie wskazuje, że taka zabawa niemal na pewno skończy się źle. Jasne, można założyć, że w sklepach trafimy na wyjątkowe okazje, ale nie pozwól, by obniżka ceny zasłoniła Ci zdrowy rozsądek. Szukasz promocji? Najlepiej po prostu wchodź na witryny sklepów które znasz. Korzystaj ze sklepów o jakimś poziomie renomy, najlepiej takich, gdzie kupowałeś/aś Ty lub ktoś z Twoich znajomych. Na pewno godne zaufania są sieciowe oddziały sklepów fizycznych.

Jeśli sklep jest nowy – dokładnie sprawdź jego adres. Domeny (końcówki adresu, po ostatniej kropce) .pl i .com budzą większe zaufanie niż przykładowo .xyz, .online, czy .top. Uważaj też na pułapki w stylu:

• orange-pl.com (na pierwszy rzut oka jeśli się nie przyjrzymy, może wyglądać jak poprawna)
• organge.pl (mózg widzi coś co „wygląda jak Orange” i jeśli się nie skupimy, podświadomość wyśle nam sygnał, że to prawidłowy adres)
• orangepl.top
• onrage.com
• orarige.pl
• rnicrosoft.com (zbitka liter r i n, szczególnie na małym ekranie smartfona, łudząco przypomina m)

Czytaj zanim klikniesz (nie tylko w Boże Narodzenie)

Jak często zdarza Ci się kliknąć odruchowo w cokolwiek, żeby zamknąć uporczywie wyskakujące okienko w przeglądarce? Czy za każdym razem sprawdzasz szczegóły informacji do kogo robisz przelew? A gdy wyskakuje powiadomienie z aplikacji bankowej – zawsze sprawdzasz o jaką transakcję chodzi, na jaką kwotę i do kogo? Jeśli Twoja odpowiedź na którekolwiek z tych pytań brzmi: „Nie” – masz szczęście, że oszuści do Ciebie jeszcze nie dotarli.

Gdy Boże Narodzenie o krok, a my jesteśmy w „choinkowym amoku”, e-mail, czy SMS mogą wyprowadzić z równowagi. Szczególnie, gdy są to treści wywołujące emocje – pierwszy wyznacznik phishingu. Brudne ręce w kuchni, odkurzacz czy mop w dłoni, biegające naokoło dzieci … Kto w takiej sytuacji nigdy nie kliknął linka, żeby już mieć go z głowy, niech pierwszy rzuci kamieniem.

Widzisz monit? Poświęć kilka sekund i przeczytaj go. Dziwny, niestandardowy link? Zwalcz FOMO, jeśli nie zareagujesz teraz, nic się nie stanie. A potem, gdy przeczytasz treść wiadomości na spokojnie – łatwiej będzie Ci zauważyć, że masz do czynienia z oszustwem. Samo kliknięcie w link to nie problem – ale jeśli to zrobisz, ryzyko, że kolejnym krokiem będzie wpisanie loginów, haseł, czy danych karty płatniczej, znacząco rośnie.

Nie daj się oszukać. W Boże Narodzenie i na każde inne okazje kupuj prezenty swoim bliskim. Nie bliskim oszusta. Jeśli masz wątpliwości co do wiadomości, która do Ciebie trafiła:

• jeśli to e-mail – wyślij go na adres cert.opl@orange.com
• budzące obawę SMS – prześlij dalej na nr 508 700 900

A najświeższych informacji, dotyczących cyberzagrożeń, szukaj na stronie CERT Orange Polska oraz na naszym koncie w serwisie X.

The post Nie rób przestępcom prezentów na Boże Narodzenie appeared first on CERT Orange.

Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

• wideo z nagrodami
• banery
• treści pełnoekranowe
• reklamy typu playable

Okazuje się jednak, że popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

• Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
• Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
• Brak rejestracji – nie wymagają tworzenia konta użytkownika
• Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
• Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
• Są dostępne w sklepie Google Play

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, że prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, że aplikacje wysyłają powiadomienia push, prawda? Nawet jeśli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, że wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, że klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

• zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
• zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
• prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
  • imię i nazwisko
  • numer telefonu
  • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

• nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
• wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
• informacja o tym, że z każdej inwestycji „firma” bierze 5% prowizji
• uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
• podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
• dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
• ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, że „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, że wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, że to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, że próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, że to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeśli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

• weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
• sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zazwyczaj wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
• do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
• zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
• jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeśli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. Jeśli masz wątpliwości – napisz do nas, pomożemy.

The post Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień appeared first on CERT Orange.

Oszustwo zaczyna się od rozmowy telefonicznej. W opisywanej kampanii najczęściej mieliśmy do czynienia z numerami z Wlk. Brytanii (strefa numeracyjna +44), zdarzyła się też próba połączenia z Holandii.

Po odebraniu telefonu odzywa się syntetyczny głos i… oferta pracy:

Interesuje Cię łatwa, wysokopłatna praca? Mam dla Ciebie ofertę, skontaktuj się ze mną przez WhatsApp

To tylko jeden z przykładów, treści mogą być różne, jednak niosą ten sam przekaz.

Wędka zarzucona przez WhatsApp

Skontaktowałem się zatem za pośrednictwem WhatsApp pod podany numer. Tam po krótkiej rozmowie dowiedziałem się, że oferta pracy polega na „lajkowaniu” przedmiotów na Allegro. Jako dowodów rozmówca oczekiwał wysyłania zrzutów ekranu z serwisu aukcyjnego. Miały być na nich widoczne produkt oraz serduszko, oznaczające dodanie do ulubionych.

Na początku trochę marudziłem i dopytywałem, sprawdzając cierpliwość rozmówcy. W pewnym momencie zdarzyło mu się wkleić do rozmowy treść po francusku, którą po chwili skasował. Ciekawe, w ilu jeszcze językach oszust prowadził równoległe rozmowy? Przyglądając się dokładnie treściom po polsku zakładam, że w przypadku naszego języka używał gotowych skryptów.

Linki (zarówno ten podany na WhatsApp jak i pozostałe, o których napiszę później) prowadziły faktycznie do serwisu Allegro, a w moim przypadku otwierały stronę produktu w aplikacji mobilnej. Polubiłem więc pierwszy produkt i wysłałem zrzut ekranu. W odpowiedzi rozmówca postawił przede mną kolejne zadanie:

Czyli wypłata mi się należy. By jednak ją otrzymać, muszę zrobić kolejny krok. Przejść spod kurateli werbownika na poziomie 1 pod opiekę „menedżera biznesowego”. W tym celu muszę zainstalować aplikację Telegram (i podać swój wiek). Rozmówca na WhatsApp mocno naciskał, by zrobić to szybko. Czyżby w kolejce czekali kolejni, których zainteresowała oferta pracy?

Co ciekawe, szybko okazało się, że „Marie” to niekoniecznie Marie. Po prostu obsługującemu mnie oszustowi musiało się trafić akurat zdjęcie kobiety i kobiece imię. Treść wypowiedzi mojego rozmówcy bezdyskusyjnie bowiem dowodziła, że rozmawiam z osobą płci męskiej, dla której język polski nie jest językiem natywnym. Ale póki co, po pierwszym kontakcie z „Marie” musiałem jeszcze podać dane do przelewu pierwszej wypłaty. Kolejne zadania miały na mnie czekać od rana.

Oferta pracy? Ciesz się życiem na Telegramie, klikaj lajki na Allegro

Przelew faktycznie przyszedł (i od razu został zgłoszony odpowiednim służbom w banku). Dane nadawcy są ukryte, bowiem z dużym prawdopodobieństwem można założyć, że był nim inny ze „słupów”. W trakcie śledztwa miałem też do czynienia z kilkudziesięcioma innymi potwierdzeniami przelewów. Jako bank nadawcy dominowały Revolut i Santander, pojawiały się też PKO, czy mBank.

Kolejnego dnia rano „Marie” dodała mnie do grupy o optymistycznie brzmiącej nazwie „Ciesz się życiem”. Grupa okazała się być zabezpieczona nie tylko przed wykonywaniem zrzutów ekranu, ale także przed wyeksportowaniem archiwum! Na poniższych zdjęciach warto zwrócić uwagę na kilka rzeczy. Personalia członków grupy wydają się być losowane z bazy imion i nazwisk (Chwalibóg Spychalski zrobił wyjątkowe wrażenie). Treści ich wypowiedzi generuje skrypt. A prowadzący grupę… ostrzegają przed oszustami.

Grupa grupą, na mnie czekała oferta pracy, którą trzeba było wprowadzić w życie. Nudne i mozolne otwieranie kolejnych pozycji w Allegro, serduszkowanie, screenshotowanie, wysyłanie. I raz na jakiś czas potwierdzanie, że otrzymałem kolejny przelew (mimo, iż był zatrzymywany zanim dotarł do celu). I tak zastanawiałem się, o co tu chodzi, aż nadeszło zadanie 10:

OK, udawać, że przyjmuję przelew to jedno. Wykonanie takiego przelewu to już jednak nie tylko naiwność – przecież nie wiadomo, czy dostanę przelew zwrotny. Znalazłem jednak pewien sposób, by przekonać „Marie”, że przelew pod podany adres wyszedł. Trick okazał się na tyle dobry, że oszust uwierzył. I (zapewne) odesłał przelew powiększony o kwotę podaną w zadaniu.

Ciągle Allegro, aż tu nagle… kryptowaluty

Pierwszy pełny „dzień pracy” udało się zakończyć. Gdybym faktycznie odbierał te przelewy, na moje konto trafiłoby nieco poniżej 200 złotych. Monotonię ciągłego klikania w Allegro przełamało nagle wrzucone przez „Marie” zadanie związane z… kryptowalutami. Po wysłaniu „menedżerowi sprzedaży” kolejnego zdjęcia z lajkiem dostałem niespodziewanie polecenie założenia konta na stronie udającej giełdę kryptowalut i skontaktowania się z „trenerką”.

„Trenerka” potrzebowała mój adres e-mail, numer telefonu, wiek i zawód. Po co? Jeśli nie wyjdzie przekręt to przynajmniej sprzeda/wykorzysta dane osobowe. Jej rola ograniczyła się do wyjaśnienia mi w co muszę klikać, żeby za kwotę widniejącą w pozycji PLN na moim koncie kupić BTC. Co ciekawe „menedżerka” podała mi inny adres do założenia konta, niż „trenerka” do aktywności.

Oszust poczuł się oszukany

Drugiego dnia niestety trafiła kosa na kamień. Choć w zasadzie powinna dzień wcześniej, bo wtedy miałem wykonać Zadanie 18 – kolejne, gdy to ja wysyłałem przelew, tym razem na 200 złotych – czego z różnych względów nie mogłem zrobić. „Marie” chciała mnie życzliwie przeprowadzić przez zadanie, ale tym razem nie doceniła moich umiejętności, które wykorzystałem w poprzedniej takiej sytuacji. Stawiam, że dlatego, iż kwota, która miała trafić na docelowe konto – o dziwo – nie znalazła się tam.

Prośby, błagania, groźby, sugestie ponownego spojrzenia na docelowe konto, że może wpłata się zagubiła, prośba o zaufanie do „wiernego pracownika”. Nic nie pomogło. Marie najpierw szukała błędów po swojej stronie, okazało się, że mogła pomylić nazwisko odbiorcy przelewu, więc… zwróciła mi pieniądze, które ja „wysłałem” jeszcze raz. Potem szukała winy po stronie banku, aż wreszcie zrozumiała, gdzie tkwi wina:

Próbujesz mnie oszukać! Jesteś oszustem!

Cóż – to ty zaczęłaś. Ja tylko dołączyłem do zabawy. I tym samym oferta pracy wygasła, a ja zostałem zwolniony. Czy żałuję? Początkowo trochę tak, bo liczyłem, że uda mi się ciągnąć narrację tak, by dotrzeć do momentu, gdy dowiem się o co tu naprawdę chodzi. Przeszła mi przez myśl pralnia pieniędzy, ale przy tak małych kwotach musiałaby to być olbrzymia liczba transakcji. Na pomoc przyszedł Facebook i grupy, zrzeszające tych, którzy niestety nie wiedzieli od początku, że to oszustwo…

Oferta pracy trwa tylko do dużego przelewu

Odpowiedź znajdujemy na grupie Oszustwa internetowe na Facebooku. Co jakiś czas pojawia się tam pytanie: „Czy ta oferta pracy wydaje się Wam wiarygodna?”. I o ile w komentarzach przewijają się podstawowe ostrzeżenia, w stylu by nie podawać w takich miejscach danych wrażliwych, pani Arleta zdecydowała się upublicznić to, co zdarzyło się jej, by ostrzec innych przed padnięciem ofiarą oszustwa (cytat oryginalny).

Praca miała polegać na laikowaniu reklam na YouTube, a później okazało się że trzeba inwestować z gwarancją zarobku… jak się okazało to ściema na początku przelewali grosze a później ukradli mi prawie 20000 zl…

Jak szybko dostałbym „zadanie” z przelewem na taką kwotę? Biorąc pod uwagę, że pierwszego dnia były to przelewy na 70 i następnie na 200 lub 500 PLN, myślę, że najpóźniej trzeciego dnia trafiłoby do mnie zadanie na 20 tysięcy, kuszące pewnie zarobkiem w wysokości 10 procent od tej kwoty. Wtedy oferta pracy by się skończyła, „Marie” by mnie zablokowała i zostałaby tylko frustracja z własnej zachłanności.

Jak ustrzec się takiego oszustwa?

Strzeż się WhatsAppa niosącego finansowe oferty! Po prostu nie ufaj obcym ludziom, piszącym do Ciebie ni z tego ni z owego na komunikatorze. Niektóre z mediów ostrzegających niedawno o analizowanym tutaj schemacie sugerowały, iż możemy mieć do czynienia z mutacją ataku „mamo/tato, telefon wpadł mi do sedesu”. Faktycznie jednak łączy je jedno – zaufanie obcej osobie na komunikatorze. Nie róbcie tego. Nie dajcie się oszukać.

Michał Rosiak

The post Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze appeared first on CERT Orange.