Sytuacją podzieliła się z nami jednak z internautek, którą zaniepokoiła seria SMS-ów od operatora. W wątku oznaczonym nadpisem swojego dostawcy usług zobaczyła informację o pobranej opłacie.

Zapytana o szczegóły sprecyzowała, że wcześniej odwiedziła stronę, na której można sprawdzić reputację numeru telefonu. Chciała sprawdzić, czy nękający ją rozmówca naprzykrzał się również innym. Po wejściu na witrynę pojawiło się wyskakujące okno. Ale skąd PIN?

Emocje biorą górę

Monit dotyczący PIN-u i jeden z cytowanych powyżej SMS-ów pojawiły się zaraz po sobie. Dlaczego internautka wpisała kod, skoro treść wiadomość wyraźnie wskazywała, że ma on potwierdzić subskrypcje niechcianych usług? Łatwo ocenić zza biurka, tymczasem odpowiada za to mechanizm tunelowania poznawczego. Chodzi o sytuację, gdy pod presją wpływem stresu i/lub pośpiechu nasze postrzeganie sytuacji zawęża się, przez co możemy nie dostrzec rzeczy, które w innej sytuacji byłyby dla nas oczywiste.

Dlatego jeśli przeżywamy silne emocje (np. po raz kolejny dzwoni do nas ktoś z „banku”, bądź z „fantastyczną ofertą”), możemy zrobić coś odruchowo. Co jednak robić potem? Jak zminimalizować ryzyko i/lub koszty? Przede wszystkim tym razem powstrzymać nerwy.

Subskrypcje niechcianych usług – jak to usunąć?

To nie jest taka sytuacja, jak w przypadku kradzieży loginu i hasła do banku. Wtedy trzeba reagować natychmiast. W opisywanym przypadku będzie nas to kosztować co najwyżej jednego SMS-a. Co zatem robić? Być może zwróciliście uwagę, że odpowiedź widać na wcześniejszym zrzucie ekranu. „Rezygnacja STOP na nr 80xxxx (0 zł)”.

Emocje naszej internautki były jednak na tak wysokim poziomie, że odruchowo zinterpretowała sugestię wysłania wiadomości na tzw. numer specjalny jako kolejny element… oszustwa. Faktycznie, SMS-y na takie numery mogą kosztować nawet ponad 40 PLN za jeden. W dzisiejszych realiach pierwsze co w takiej sytuacji zrobi wielu internautów to zapytanie sztucznej inteligencji. A tymczasem AI… ostrzega przed ryzykiem wiadomości tekstowej na podany numer.

Dlatego trzeba odsunąć od siebie emocje. A następnie poszukać samemu w internecie – najlepiej na stronach swojego dostawcy – czy podany numer wyłącza subskrypcje niechcianych usług, nie pobierając za to żadnej opłaty. A po potwierdzeniu – tym razem my upewniliśmy bohaterkę tekstu – wysłać SMS-a, I zapomnieć o sprawie.

Skąd to się bierze

Uprzedzając pytanie – nie, nie od operatora. To prawda, że SMS z PIN-em przychodzi właśnie od niego, operator jest w tym przypadku dostawcą usługi płatności (w naszym przypadku nazywa się ona „Płać z Orange”). Wiadomości widoczne na zrzucie ekranu to po prostu elementy procesu.

Skąd zatem subskrypcje niechcianych usług? Od działających nieetycznie dostawców/brokerów płatnych usług. W opisywanym przypadku nie mowy o rzetelnej reklamie. Tu mamy do czynienia z wyskakującą na popularnej stronie reklamą i oszustem liczącym na to, że klient nie zwróci na to uwagi. A kolejne 14,99 zł wpadnie do kieszeni oszusta.

Mogę Was zapewnić, że każdy operator dba o swoje dobre imię i nie chce być kojarzony z tego typu nadużyciami. Jeśli zdarzy się Wam takie podstępne naciągnięcie na subskrypcję – piszcie do niego. I warto wbić sobie w głowę, że klikanie czegokolwiek/gdziekolwiek, by tylko zamknąć wyskakujące okienko, jest złym pomysłem. Bardzo złym. I potencjalnie kosztownym.

Nie dajcie się oszukać.

The post Skąd biorą się subskrypcje niechcianych usług appeared first on CERT Orange.

Wiadomość wygląda profesjonalnie, ton jest rzeczowy, a sytuacja – pilna. Klikasz w załączony plik PDF i postępujesz zgodnie z instrukcjami. W ten sposób nieświadomie przekazujesz cyberprzestępcom dane logowania do swojego banku. To nie fikcja. To rzeczywisty przypadek, zgłoszony do naszego zespołu przez jednego z użytkowników, który na szczęście w porę zorientował się, że coś jest nie tak. Pokazujemy krok po kroku, jak działa ten mechanizm, dlaczego jest taki skuteczny i jak można się przed nim obronić.

Pierwszy kontakt z „Otomoto”

Wszystko zaczyna się w momencie, gdy wystawiasz ogłoszenie na Otomoto. Zaledwie kilkanaście minut później w Twojej skrzynce na portalu pojawia się wiadomość prywatna od użytkownika o nazwie „Otomoto  Security Team” (nazwa nie jest elementem stałym, oszust może przybrać również inny nick). Sama nazwa ma budzić zaufanie – wygląda oficjalnie, a wielu użytkowników może nie zauważyć czegoś podejrzanego. 

Wiadomość brzmi bardzo przekonywująco (pisownia oryginalna):

Szanowny Użykowniku,
System bezpieczeństwa Otomoto
wykrył nietypową aktywność związaną z Twoim kontem.
W celu ochrony danych dostep do konta może zostać tymczasowo ograniczony.

Aby potwierdzić tożsamość i przywrócić pełny dostęp, otwórz załączony plik PDF i postępuj zgodnie z instrukcjami.

Dziękujemy za zrozumienie.

Z poważaniem,
Zespół Bezpieczeństwa Otomoto

Na pierwszy rzut oka – komunikat jakich wiele. Brzmi technicznie, zawiera ostrzeżenie o ograniczeniu konta i odwołuje się do bezpieczeństwa. Jest prawdopodobne, że ofiara potraktuje go poważnie. Załączony plik PDF wydaje się być elementem „oficjalnej procedury”. W rzeczywistości to pierwszy krok w przemyślanej kampanii phishingowej.

Fałszywy PDF – pozory profesjonalizmu

Otwierając dokument użytkownik widzi starannie przygotowaną grafikę. Nagłówek z logotypem Otomoto, sekcja z instrukcjami oraz duży, niebieski przycisk „Przejdź do weryfikacji”. Tekst utrzymany jest w formalnym tonie:

Wymagane potwierdzenie tożsamości

Szanowny użytkowniku,

Aby kontynuować korzystanie z naszych usług, musisz potwierdzić
swoją tożsamość. Jest to ważne dla zapewnienia bezpieczeństwa
Twojego konta.

Jak przejść weryfikację:
Kliknij przycisk „Przejdź do weryfikacji” poniżej. Postępuj zgodnie z
instrukcjami na wyświetlonej stronie. Zakończ proces weryfikacji w
ciągu 12 godzin, aby uniknąć ograniczeń dostępu do konta.

Ważne:
Jeśli nie zakończysz weryfikacji w wyznaczonym czasie, dostęp do konta
zostanie całkowicie zablokowany.

Kliknij przycisk poniżej, aby kontynuować proces:

Przejdź do weryfikacji

To moment w którym zaczyna się manipulacja. Użytkownikowi sugeruje się, że sytuacja jest pilna, a brak reakcji doprowadzi do utraty dostępu do konta. Tego rodzaju presja czasu to klasyczna technika socjotechniczna – działa na emocje, mogąc wyłączyć racjonalne myślenie. Kliknięcie przycisku prowadzi na stronę wyglądającą niemal identycznie jak prawdziwa witryna Otomoto.

Fałszywa strona – 1:1 kopia oryginału

Wystarczy spojrzeć na adres w pasku przeglądarki, by nabrać wątpliwości. Domena na którą jesteśmy przekierowani, wygląda bardziej jak losowy ciąg znaków i nie przypomina niczego związanego z marką Otomoto. To powinna być ostateczna czerwona flaga. Na stronie widnieje komunikat o „konieczności potwierdzenia tożsamości” oraz formularz logowania.

Ku zaskoczeniu użytkownika, zamiast danych do Otomoto, strona prosi o… zalogowanie się do banku. Z punktu widzenia laika wygląda to logicznie – przecież bankowość to potwierdzenie tożsamości, prawda? Nie. To oszustwo. Mamy do czynienia z mechanizmem kradzieży danych bankowych w czasie rzeczywistym.

Jak działa oszustwo na Otomoto „na żywo”

Po wpisaniu loginu i hasła do bankowości elektronicznej, strona wyświetla komunikat o „trwającej weryfikacji”. Jesteśmy informowani, że proces „przetwarzania transakcji” trwa do pięciu minut. W tym czasie cyberprzestępca – działający „z drugiej strony komputera” – natychmiast używa wpisanych danych, próbując zalogować się do prawdziwego systemu bankowego.

Dzięki wprowadzeniu przez ofiarę nazwy użytkownika, hasła oraz numeru telefonu, przestępcy mogą przejąć kontrolę nad kontem, a także próbować autoryzować transakcję w aplikacji mobilnej ofiary. Często równolegle ofiara otrzymuje SMS z banku – np. z kodem logowania lub prośbą o potwierdzenie operacji. Jeśli przestępcy socjotechnicznymi zabiegami przekonają ofiarę do wpisania kodu na stronie/akceptacji w aplikacji mobilnej – autoryzuje ona tym samym działania oszustów na własnym koncie bankowym. 

Dlaczego to działa i jak rozpoznać oszustwo?

Tego typu ataki są skuteczne, ponieważ łączą w sobie kilka czynników:

• Zaufanie do marki. Otomoto to znany i ceniony serwis, więc komunikaty „od bezpieczeństwa” wydają się wiarygodne.
• Presja czasu. Groźba blokady konta w ciągu 12 godzin wywołuje pośpiech. Tym bardziej, że zależy nam na sprzedaży auta, zapłaciliśmy za ogłoszenie. 
• Profesjonalny wygląd. PDF i strona są dopracowane graficznie, zawierają poprawne logo, fonty i kolory identyczne z oryginałem.
• Socjotechnika. Komunikat brzmi spokojnie i rzeczowo, nie wzbudzając podejrzeń.
• Nowy kontekst. Wcześniej podobne ataki dotyczyły głównie portali zakupowych. Teraz cyberprzestępcy przenoszą się do segmentu motoryzacyjnego, gdzie stawki są wyższe.

Choć strona na pierwszy rzut oka wygląda wiarygodnie, warto zwrócić uwagę na pewne subtelne sygnały ostrzegawcze:

• Adres. Zamiast https://www.otomoto.pl widnieje inny adres, często z dodatkowymi słowami: verification, secure, confirm. Nigdy to nie będzie domena z końcówką otomoto.pl (bądź innej firmy, pod którą będą się podszywać przestępcy).
• Nietypowe prośby – żadne prawdziwe serwisy nie wymagają logowania do banku w celu potwierdzenia konta ogłoszeniowego.
• Załączony plik PDF – to rzadkość w komunikacji platform internetowych. Oficjalne powiadomienia trafiają przez e-mail lub panel użytkownika, a nie przez pliki w prywatnej korespondencji od użytkownika. 

Jak się chronić

Oto kilka prostych, ale skutecznych zasad, które pozwolą uniknąć tego typu zagrożeń:

• Nie otwieraj załączników z nieznanych źródeł. Serwisy takie jak Otomoto nigdy nie przesyłają plików PDF z instrukcjami bezpieczeństwa.
• Nie klikaj w linki z wiadomości prywatnych. Jeśli coś budzi wątpliwości, zawsze zaloguj się do serwisu bezpośrednio – wpisując adres ręcznie w przeglądarce.
• Korzystaj z ochrony antyphishingowej. CyberTarcza Orange automatycznie blokuje dostęp do znanych stron phishingowych, zanim zdążysz wprowadzić dane.
• Zachowaj spokój. Cyberprzestępcy grają na emocjach – straszą blokadą, utratą środków lub konta. W większości przypadków to blef.

Phishing ewoluuje – czujność to klucz

Takie oszustwa dowodzą, że cyberprzestępcy stale udoskonalają swoje metody. Jeszcze kilka lat temu ataki phishingowe były łatwe do rozpoznania – z błędami ortograficznymi, amatorskimi grafikami i niezgrabnymi tłumaczeniami. Dziś mamy do czynienia z profesjonalnie przygotowanymi kampaniami, które potrafią zmylić nawet doświadczonych użytkowników.

Najlepszą obroną pozostaje świadomość i zdrowy rozsądek. Zawsze warto zadać sobie kilka prostych pytań:

• Czy naprawdę ktoś z serwisu napisałby do mnie przez wiadomość prywatną? Dlaczego pisze do mnie z konta security_team_3114@? 
• Dlaczego weryfikacja konta w serwisie ma wymagać logowania do banku? 
• Czy sytuacja naprawdę jest tak pilna, że muszę reagować natychmiast? Może zadam pytanie oficjalnym kanałem.

Jeśli którakolwiek z tych odpowiedzi brzmi „nie wiem” – lepiej się zatrzymać i sprawdzić źródło informacji lub potwierdzić to na oficjalnym kanale komunikacji.

Podsumowanie

Fałszywe wiadomości od „Otomoto  Security Team” to przykład, jak daleko poszli cyberprzestępcy w dopracowywaniu swoich metod. Wykorzystują zaufanie użytkowników do znanych marek, tworząc pozory profesjonalizmu i bezpieczeństwa.

Dlatego zapamiętaj:

• Otomoto nigdy nie prosi o logowanie do banku w celach weryfikacji.
• Nie klikaj w linki z wiadomości prywatnej o „weryfikacji” konta.
• Zgłaszaj takie przypadki do CERT Orange Polska.

Każde takie zgłoszenie pomaga nam szybciej zidentyfikować nowe kampanie i chronić kolejnych użytkowników. Jeśli byłeś świadkiem podobnego oszustwa, daj znam znać w sekcji kontakt. Być może, dzięki Tobie uda się uchronić również innych. Zalecamy również zgłaszanie takich oszustw bezpośrednio na platformach sprzedażowych. W tym przypadku, już prawdziwy Zespół Bezpieczeństwa Otomoto zadziałał błyskawicznie blokując oszusta.

The post Ty chcesz sprzedać auto, a przestępcy podszywają się pod „zespół bezpieczeństwa Otomoto” appeared first on CERT Orange.

Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

• wideo z nagrodami
• banery
• treści pełnoekranowe
• reklamy typu playable

Okazuje się jednak, że popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

• Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
• Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
• Brak rejestracji – nie wymagają tworzenia konta użytkownika
• Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
• Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
• Są dostępne w sklepie Google Play

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, że prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, że aplikacje wysyłają powiadomienia push, prawda? Nawet jeśli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, że wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, że klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

• zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
• zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
• prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
  • imię i nazwisko
  • numer telefonu
  • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

• nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
• wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
• informacja o tym, że z każdej inwestycji „firma” bierze 5% prowizji
• uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
• podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
• dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
• ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, że „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, że wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, że to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, że próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, że to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeśli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

• weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
• sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zazwyczaj wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
• do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
• zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
• jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeśli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. Jeśli masz wątpliwości – napisz do nas, pomożemy.

The post Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień appeared first on CERT Orange.

Wielokrotnie pisaliśmy już, że Facebook, jako najpopularniejsze miejsce w sieci jest też największym źródłem treści tworzonej przez oszustów. Na czym polega przekręt „na wyprzedaż”? Opiszmy go na świeżym przykładzie, krążącym po Facebooku od poniedziałkowego poranka.

Wyprzedaż z ciężkim sercem

Po 29 wspaniałych latach pełnych pasji do mody (…) żegnamy się z ogromnym żalem. (…) Nadszedł moment, by zamknąć ten rozdział.

Taki dramatyczny przekaz pojawiał się na Facebookowych strumieniach internautów. O jak dużej skali mówimy? W trakcie pisania tego tekstu menedżer reklam pokazywał 81 aktywnych kampanii. Liczba osób, które je zobaczyły, jest oczywiście zależna od budżetu, ale założenie 200 tys. internautów nie jest zawyżone. Być może ten scam zgubiłby się w zalewie innych, gdyby treść, dotycząca mody, nie była okraszona zdjęciami… filiżanek. Ładnych, wyjątkowych, zapewne stworzonych przez AI – ale jednak filiżanek.

Problem? Nie dla internautów. Wystarczy spojrzeć w komentarze, by dowiedzieć się, że wielu z nich zainteresowało się filiżankami na tyle, by nie zwrócić uwagi na czerwone flagi. Istnieje też możliwość, że komentarze napisali oszuści, korzystając z przejętych kont. Jeśli tak było, oznacza to, że niestety w tej materii znacznie się poprawili. Na mnie robiły wrażenie faktycznie naturalnych, wpisanych przez prawdziwych internautów. Jedynym wskaźnikiem, że coś może być nie tak, mogły być emotikony pod zdjęciem.

Sklep, Warszawa, właściciele – AI wymyśli wszystko!

Przyjrzymy się więc dokładniej firmie Mazur Warszawa. Najpierw poszukiwanie w Google – nie ma takiego sklepu, czy też butiku. Jak na „29 lat pełnych pasji do mody” które kończy wyprzedaż, fakt niepozostawienia nawet śladu w internecie jest co najmniej dziwny. Po kliknięciu w link jesteśmy przenoszeni na stronę mazur-warszawa[.]pl. Czyżby jednak firma miała jakąś historię w sieci?

Cóż – nieprzesadnie długą. Niecały miesiąc. Dane abonenta oczywiście niedostępne, witryna założona w irlandzkiej firmie hostującej. Przyglądając się dokładnie stronie szybko trafiamy na zdjęcie przyjaźnie wyglądającej pary seniorów. Stoją przed sklepem, siwy włos – to by pasowało do 29 lat historii. Jeśli jednak mieszkacie w Warszawie to na poniższym zdjęciu na pewno coś Wam pasować nie będzie:

Pominąwszy już sam fakt pewnej nienaturalności/cukierkowości obrazku, takie miejsce nie istnieje. Nigdzie w Warszawie nie znajdziecie takiej lokalizacji. Plan za „właścicielami” nie przypomina żadnej ze stołecznych ulic, robi wrażenie „generycznego”. W stolicy nie ma także miejsca z lampami ulicznymi takimi jak widoczna na pierwszym planie. Ostatnia kwestia – tablice „Mazur Warszawa” wyglądają jak wklejone w Paincie.

Moda, filiżanki, czy… buty?

Skoro mamy już pewność, że mamy do czynienia z oszustami, zobaczmy co można u nich „kupić”? Pytanie jak najbardziej na miejscu, bowiem o ile zaczęliśmy od filiżanek, po jakimś czasie trafiliśmy już na reklamę faktycznie powiązaną z modą, by pół godziny później zobaczyć smutnego… szewca. Wyglądającego zupełnie inaczej niż pan na zdjęciu powyżej.

Wyprzedaż na stronie „Mazur Warszawa” to faktycznie przede wszystkim moda. Wspominane filiżanki też da się znaleźć, ale po bezpośrednim linku – w menu takiej kategorii nie ma. Co wiąże wszystkie oferty? Przede wszystkim oczywiście absurdalnie niskie ceny, co widać poniżej. Ale zauważyliśmy też intrygującą ciekawostkę. Przy każdym produkcie, niezależnie od rozmiaru i koloru, „w magazynie” były wyłącznie trzy sztuki. (zbyt) Wzorcowy przykład wykorzystania socjotechnicznej reguły niedostępności.

Co, gdy zdecydujemy się kupić? Można oczywiście podać numer karty płatniczej, ale sklep dopuszcza też płatność BLIK-iem. Jeśli wybierzemy taką metodę i podamy na stronie kod BLIK, po chwili w aplikacji pojawia się faktycznie nazwa „Mazur Warszawa”. To jest ostatni moment, gdy można kliknąć „rezygnuj”.

Czy to naprawdę wyprzedaż?

Na stronie każdego prowadzonego zgodnie z polskim prawem sklepu powinniśmy znaleźć przynajmniej regulamin i politykę prywatności. Regulaminu nie ma, zaś to, co znajdziemy pod linkiem „polityka prywatności” to jedna strona treści o niczym, zawierająca jedynie powtarzany wielokrotnie adres e-mail. A co z możliwością kontaktu?

Jak widać, „informacje kontaktowe” nie zawierają żadnej metody kontaktu. Jedynym potencjalnym sposobem na dotarcie do właścicieli strony jest powtarzający się na niej wielu miejscach adres e-mail. Kluczowym miejscem, w którym na niego trafimy, wydaje się być podstrona „zwroty i wymiany”. A tam znajdziemy taki fragment:

Ponieważ nasz sklep w Warszawie został na stałe zamknięty, zwroty są teraz obsługiwane przez nasz międzynarodowy magazyn.

Na czym może polegać oszustwo? Być może to mutacja modus operandi modelem opisywanego ok. 3 miesiące temu przez Grzegorza Zembrowskiego. Wtedy paczka faktycznie przyjdzie, będziemy ją mogli nawet odesłać do nadawcy, ale koszty i poświęcony na to czas okażą się niewspółmiernie duże. Być może okaże się po prostu, że dostawa będzie się (wiecznie) przedłużać. Jeśli macie odwagę, możecie sprawdzić sami, tym niemniej – nie polecamy.

The post Nieistniejąca wyprzedaż w sklepie, którego nie ma appeared first on CERT Orange.

Każda z osób, która skontaktowała  się z nami, informowała o rozmowie przychodzącej z numeru komórkowego. W żadnym z przypadków operatorem numeru dzwoniącego nie był Orange Polska. Rozmówca informował, że jest pracownikiem/pracownicą Orange i chce poinformować ofiarę o mającym jej dotyczyć „podejrzanym zachowaniu”.

Metoda „na konsultanta” – oczywiście anonimowego

Emocje wzbudzane już na początku mają przekierować zainteresowanie ofiary na to, co się dzieje z jej kontem. Do tego stopnia, by nie zwróciła uwagi, że nie padły personalia dzwoniącego. Tymczasem gdy kontaktuje się z Wami telefonicznie przedstawiciel Orange Polska, zawsze się przedstawia imieniem i nazwiskiem.

Celem stosowanych w takich sytuacjach sztuczek socjotechnicznych jest wywołanie u ofiary poczucia konieczności natychmiastowych działań. Stąd kolejny krok, czyli informacja o rzekomym kupnie karty SIM na dane osobowe ofiary (w jednym z przypadków) lub wydaniu duplikaty karty przy użyciu dowodu osobistego naszego klienta.

Fałszywy konsultant pyta o… bank

W pierwszym przypadku zgłaszający rozłączył się, druga niedoszła ofiara zdecydowała się dopytać dzwoniącą o szczegóły i dowiedzieć się o co chodziło w ataku „na konsultanta”. Na pytanie o personalia padła odpowiedź: „Dzwonię z centrali”. A czego rozmówczyni oczekiwała od naszego klienta? Chciała „zablokować podejrzane zachowania”, ale w tym celu zadała pytanie o bankowość elektroniczną.

O ile zgłaszający potwierdził, że korzysta na swoim telefonie z aplikacji bankowej, na kolejne pytanie już nie odpowiedział. Fałszywa konsultantka spytała bowiem o nazwę banku. Powodem miała być potrzeba… wysłania zawiadomienia o opisanym problemie do oddziału banku. Co się stało, gdy nasz klient odmówił podania tej informacji?

Kobieta  zmieniła ton głosu na zdenerwowany. Powiedziałem, że wolę rozmawiać z moim osobistym doradcą i nie podam jej żadnych danych. Zbulwersowana powiedziała, że w takim razie blokuje duplikat i rozłączyła się.

Po co oszust potrzebował tych danych?

Niestety nie mieliśmy szans przejść z oszustem całego scenariusza, wiadomo jednak, że w opisywanych przypadku celem są poświadczenia logowania do banku. Podszycie „na konsultanta” Orange jest tylko próbą uwiarygodnienia atakującego. Historia tego typu ataków wskazuje, że gdyby nasz klient podał nazwę banku, z prawdopodobieństwem bliskim pewności po chwili odebrałby telefon z „działu bezpieczeństwa” banku.

Co działoby się wtedy? Wtedy kolejny oszust (a może nawet ten sam, udając inny głos) przekazałby dramatyczną informację o tym, że pieniądze rozmówcy są zagrożone. Próbowałby kolejnych socjotechnicznych sztuczek, by przekonać go do podania loginu, hasła i ewentualnie kodu z SMS-a, czy nazwiska panieńskiego matki (w niektórych bankach niezbędne, by podpiąć aplikację mobilną do konta).

Jak nie dać się oszukać „na konsultanta”?

Przede wszystkim nie dać się „nakręcić” emocjonalną treścią. Podobnie jak w przypadku phishingów, być wyczulonym na treści i/lub zachowania, które mają wywołać w nas emocje. A co w tym konkretnym przypadku, próby oszustwa „na konsultanta” Orange Polska? Najlepiej, gdy korzystasz z aplikacji Mój Orange. Wtedy, jeśli masz wątpliwości co do osoby rozmówcy, poproś o autoryzację. Rozmowę kontynuuj jedynie wtedy, gdy w aplikacji Mój Orange zobaczysz potwierdzenie tożsamości konsultanta.

A najlepiej, jeśli masz jakiekolwiek wątpliwości, lub ktoś Cię „nakręca” emocjonalnie – rozłącz się, odetchnij, poczekaj 30 sekund i zadzwoń do instytucji, która miała do Ciebie dzwonić. W przypadku Orange pod numer *100 lub 501 100 100. Pamiętaj też, że wszelkie tego typu zdarzenia możesz też zgłosić do nas. To pomoże nam ostrzec innych internautów.

The post Oszustwo „na konsultanta” – jak przechytrzyć atakującego appeared first on CERT Orange.

Oszustwo zaczyna się od rozmowy telefonicznej. W opisywanej kampanii najczęściej mieliśmy do czynienia z numerami z Wlk. Brytanii (strefa numeracyjna +44), zdarzyła się też próba połączenia z Holandii.

Po odebraniu telefonu odzywa się syntetyczny głos i… oferta pracy:

Interesuje Cię łatwa, wysokopłatna praca? Mam dla Ciebie ofertę, skontaktuj się ze mną przez WhatsApp

To tylko jeden z przykładów, treści mogą być różne, jednak niosą ten sam przekaz.

Wędka zarzucona przez WhatsApp

Skontaktowałem się zatem za pośrednictwem WhatsApp pod podany numer. Tam po krótkiej rozmowie dowiedziałem się, że oferta pracy polega na „lajkowaniu” przedmiotów na Allegro. Jako dowodów rozmówca oczekiwał wysyłania zrzutów ekranu z serwisu aukcyjnego. Miały być na nich widoczne produkt oraz serduszko, oznaczające dodanie do ulubionych.

Na początku trochę marudziłem i dopytywałem, sprawdzając cierpliwość rozmówcy. W pewnym momencie zdarzyło mu się wkleić do rozmowy treść po francusku, którą po chwili skasował. Ciekawe, w ilu jeszcze językach oszust prowadził równoległe rozmowy? Przyglądając się dokładnie treściom po polsku zakładam, że w przypadku naszego języka używał gotowych skryptów.

Linki (zarówno ten podany na WhatsApp jak i pozostałe, o których napiszę później) prowadziły faktycznie do serwisu Allegro, a w moim przypadku otwierały stronę produktu w aplikacji mobilnej. Polubiłem więc pierwszy produkt i wysłałem zrzut ekranu. W odpowiedzi rozmówca postawił przede mną kolejne zadanie:

Czyli wypłata mi się należy. By jednak ją otrzymać, muszę zrobić kolejny krok. Przejść spod kurateli werbownika na poziomie 1 pod opiekę „menedżera biznesowego”. W tym celu muszę zainstalować aplikację Telegram (i podać swój wiek). Rozmówca na WhatsApp mocno naciskał, by zrobić to szybko. Czyżby w kolejce czekali kolejni, których zainteresowała oferta pracy?

Co ciekawe, szybko okazało się, że „Marie” to niekoniecznie Marie. Po prostu obsługującemu mnie oszustowi musiało się trafić akurat zdjęcie kobiety i kobiece imię. Treść wypowiedzi mojego rozmówcy bezdyskusyjnie bowiem dowodziła, że rozmawiam z osobą płci męskiej, dla której język polski nie jest językiem natywnym. Ale póki co, po pierwszym kontakcie z „Marie” musiałem jeszcze podać dane do przelewu pierwszej wypłaty. Kolejne zadania miały na mnie czekać od rana.

Oferta pracy? Ciesz się życiem na Telegramie, klikaj lajki na Allegro

Przelew faktycznie przyszedł (i od razu został zgłoszony odpowiednim służbom w banku). Dane nadawcy są ukryte, bowiem z dużym prawdopodobieństwem można założyć, że był nim inny ze „słupów”. W trakcie śledztwa miałem też do czynienia z kilkudziesięcioma innymi potwierdzeniami przelewów. Jako bank nadawcy dominowały Revolut i Santander, pojawiały się też PKO, czy mBank.

Kolejnego dnia rano „Marie” dodała mnie do grupy o optymistycznie brzmiącej nazwie „Ciesz się życiem”. Grupa okazała się być zabezpieczona nie tylko przed wykonywaniem zrzutów ekranu, ale także przed wyeksportowaniem archiwum! Na poniższych zdjęciach warto zwrócić uwagę na kilka rzeczy. Personalia członków grupy wydają się być losowane z bazy imion i nazwisk (Chwalibóg Spychalski zrobił wyjątkowe wrażenie). Treści ich wypowiedzi generuje skrypt. A prowadzący grupę… ostrzegają przed oszustami.

Grupa grupą, na mnie czekała oferta pracy, którą trzeba było wprowadzić w życie. Nudne i mozolne otwieranie kolejnych pozycji w Allegro, serduszkowanie, screenshotowanie, wysyłanie. I raz na jakiś czas potwierdzanie, że otrzymałem kolejny przelew (mimo, iż był zatrzymywany zanim dotarł do celu). I tak zastanawiałem się, o co tu chodzi, aż nadeszło zadanie 10:

OK, udawać, że przyjmuję przelew to jedno. Wykonanie takiego przelewu to już jednak nie tylko naiwność – przecież nie wiadomo, czy dostanę przelew zwrotny. Znalazłem jednak pewien sposób, by przekonać „Marie”, że przelew pod podany adres wyszedł. Trick okazał się na tyle dobry, że oszust uwierzył. I (zapewne) odesłał przelew powiększony o kwotę podaną w zadaniu.

Ciągle Allegro, aż tu nagle… kryptowaluty

Pierwszy pełny „dzień pracy” udało się zakończyć. Gdybym faktycznie odbierał te przelewy, na moje konto trafiłoby nieco poniżej 200 złotych. Monotonię ciągłego klikania w Allegro przełamało nagle wrzucone przez „Marie” zadanie związane z… kryptowalutami. Po wysłaniu „menedżerowi sprzedaży” kolejnego zdjęcia z lajkiem dostałem niespodziewanie polecenie założenia konta na stronie udającej giełdę kryptowalut i skontaktowania się z „trenerką”.

„Trenerka” potrzebowała mój adres e-mail, numer telefonu, wiek i zawód. Po co? Jeśli nie wyjdzie przekręt to przynajmniej sprzeda/wykorzysta dane osobowe. Jej rola ograniczyła się do wyjaśnienia mi w co muszę klikać, żeby za kwotę widniejącą w pozycji PLN na moim koncie kupić BTC. Co ciekawe „menedżerka” podała mi inny adres do założenia konta, niż „trenerka” do aktywności.

Oszust poczuł się oszukany

Drugiego dnia niestety trafiła kosa na kamień. Choć w zasadzie powinna dzień wcześniej, bo wtedy miałem wykonać Zadanie 18 – kolejne, gdy to ja wysyłałem przelew, tym razem na 200 złotych – czego z różnych względów nie mogłem zrobić. „Marie” chciała mnie życzliwie przeprowadzić przez zadanie, ale tym razem nie doceniła moich umiejętności, które wykorzystałem w poprzedniej takiej sytuacji. Stawiam, że dlatego, iż kwota, która miała trafić na docelowe konto – o dziwo – nie znalazła się tam.

Prośby, błagania, groźby, sugestie ponownego spojrzenia na docelowe konto, że może wpłata się zagubiła, prośba o zaufanie do „wiernego pracownika”. Nic nie pomogło. Marie najpierw szukała błędów po swojej stronie, okazało się, że mogła pomylić nazwisko odbiorcy przelewu, więc… zwróciła mi pieniądze, które ja „wysłałem” jeszcze raz. Potem szukała winy po stronie banku, aż wreszcie zrozumiała, gdzie tkwi wina:

Próbujesz mnie oszukać! Jesteś oszustem!

Cóż – to ty zaczęłaś. Ja tylko dołączyłem do zabawy. I tym samym oferta pracy wygasła, a ja zostałem zwolniony. Czy żałuję? Początkowo trochę tak, bo liczyłem, że uda mi się ciągnąć narrację tak, by dotrzeć do momentu, gdy dowiem się o co tu naprawdę chodzi. Przeszła mi przez myśl pralnia pieniędzy, ale przy tak małych kwotach musiałaby to być olbrzymia liczba transakcji. Na pomoc przyszedł Facebook i grupy, zrzeszające tych, którzy niestety nie wiedzieli od początku, że to oszustwo…

Oferta pracy trwa tylko do dużego przelewu

Odpowiedź znajdujemy na grupie Oszustwa internetowe na Facebooku. Co jakiś czas pojawia się tam pytanie: „Czy ta oferta pracy wydaje się Wam wiarygodna?”. I o ile w komentarzach przewijają się podstawowe ostrzeżenia, w stylu by nie podawać w takich miejscach danych wrażliwych, pani Arleta zdecydowała się upublicznić to, co zdarzyło się jej, by ostrzec innych przed padnięciem ofiarą oszustwa (cytat oryginalny).

Praca miała polegać na laikowaniu reklam na YouTube, a później okazało się że trzeba inwestować z gwarancją zarobku… jak się okazało to ściema na początku przelewali grosze a później ukradli mi prawie 20000 zl…

Jak szybko dostałbym „zadanie” z przelewem na taką kwotę? Biorąc pod uwagę, że pierwszego dnia były to przelewy na 70 i następnie na 200 lub 500 PLN, myślę, że najpóźniej trzeciego dnia trafiłoby do mnie zadanie na 20 tysięcy, kuszące pewnie zarobkiem w wysokości 10 procent od tej kwoty. Wtedy oferta pracy by się skończyła, „Marie” by mnie zablokowała i zostałaby tylko frustracja z własnej zachłanności.

Jak ustrzec się takiego oszustwa?

Strzeż się WhatsAppa niosącego finansowe oferty! Po prostu nie ufaj obcym ludziom, piszącym do Ciebie ni z tego ni z owego na komunikatorze. Niektóre z mediów ostrzegających niedawno o analizowanym tutaj schemacie sugerowały, iż możemy mieć do czynienia z mutacją ataku „mamo/tato, telefon wpadł mi do sedesu”. Faktycznie jednak łączy je jedno – zaufanie obcej osobie na komunikatorze. Nie róbcie tego. Nie dajcie się oszukać.

Michał Rosiak

The post Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze appeared first on CERT Orange.

Zaczyna się od SMS-a. W polu nadawcy widnieje nadpis „Binance”. Treści mogą być różne, ale zawsze dotyczą aktywności na koncie. Oszuści stosują rzadko używaną socjotechniczną sztuczkę, sugerującą, że już stało się coś potencjalnie złego, a odbiorca SMS-a może to odwrócić jeśli natychmiast zadzwoni. Warto zwrócić uwagę, że treść wiadomości może być zarówno po polsku, jak i w języku angielskim.

Przykłady wiadomości:

Twoj kod weryfikacyjny logowania to 353423. Jesli to nie Ty, zadzwon pod +48223072501 natychmiast. REF/53642.

A new d3vice h4s logg3d in fr0m Bucharest, Romania. N0T Y0U? Please c4ll us at +48223970181

You have successfully updated a new device from Malaga, Spain. If this was NOT you, contact us immediately on +48858760006 Ref/BM6382

You’ve successfully linked a third-party app to your account allowing direct access to your funds. If you didn’t authorize this, call us at +48223072899

Zatem zadzwoniliśmy.

Najpierw po angielsku, potem po polsku 

Na początku połączenia automatyczny komunikat poinformował nas, że obsługa polskojęzyczna jest obecnie niedostępna i zostaniemy przełączeni do anglojęzycznej. Spotkaliśmy się jednak z przypadkiem, gdy rozmowa zaczyna się od razu od języka polskiego.

Po odebraniu konsultant zadał kilka pytań. M.in. o termin ostatniego logowania, stan środków na koncie (być może dlatego, by wiedzieć, czy warto zawracać sobie głowę ofiarą z pustym kontem) oraz o numer referencyjny z treści SMS-a. Po uzupełnieniu wiedzy anglojęzyczny konsultant poinformował, że za chwilę oddzwoni do nas osoba mówiąca po polsku.

Po upływie dwóch minut faktycznie zadzwonił inny oszust. Numer telefonu prezentował się jako prywatny.

Osoba dzwoniąca poinformowała, iż dzwoni z “sekcji reagowania w sytuacjach kryzysowych”. Może się też zdarzyć, że przedstawi się jako “wsparcie techniczne”. Rozpoczął od pytania, czy ktoś korzystający z naszego konta logował się ostatnio z Madrytu. Co ciekawe, ofiara tej sytuacji ma właśnie zaprzeczyć! Bo skoro się nie logowała, to znaczy, że z kontem dzieje się coś złego. Kontynuując “sprawdzanie” zaznaczył, że… nie spyta o dane logowania, bo to niebezpieczne. Kolejna wykorzystująca socjotechnikę próba podniesienia wiarygodności oszustwa.

Ile Pan ma pieniędzy w Binance? 

Rozmówca wyjaśnił, że w celu weryfikacji wystarczy podać dokładny stan naszego konta.Jeśli ktokolwiek miałby jeszcze wątpliwości, czy rozmawiamy z prawdziwym konsultantem Binance, w tym momencie ostatecznie by się rozwiały. W sytuacji, gdy nie mając konta w serwisie i podając wymyśloną kwotę (w naszym przypadku 10 tys. dolarów) dowiadujemy się, że nasze konto (!) jest zagrożone, przestępcy mogą je wyczyścić i rozmówca przeprowadzi nas przez proces zabezpieczenia naszych pieniędzy.

Jak możemy to zrobić? “Konsultant” zapytał z jakiej mobilnej platformy korzystamy. Gdy dowiedział się, że dysponujemy telefonem z systemem Android – podał link do aplikacji Trustwallet.

Fakt skorzystania z Trustwallet to kolejna sprytna socjotechniczna sztuczka atakujących. Jest to bowiem autentyczna, rzetelna, niezłośliwa aplikacja. Służy ona obsługi portfela kryptowalutowego. Warto zaznaczyć, że przestępca nie podaje żadnego linku – informuje, by zainstalować aplikację bezpośrednio ze Sklepu Play.

Wpisz hasło i przelej środki Binance (do oszusta) 

W kolejnym kroku atakujący informuje, że po zainstalowaniu aplikacji należy wpisać do niej 12-wyrazowe “hasło”, by uzyskać dostęp do “naszego konta”. Gdy to zrobimy, rozmówca deklaruje, że przeprowadzi nas krok po kroku przez proces przesłania naszych kryptowalut na rzekomo bezpieczne konto.

SMS z 12 wyrazami faktycznie przyszedł, również – jak pierwszy SMS – z nadpisu “Binance”. My jednak musieliśmy się wycofać, bowiem nie mamy konta w Binance, a nawet gdybyśmy je mieli – wiedzielibyśmy, że jedyne zagrożenie dla naszych finansów to oszust, z którym rozmawiamy. Próbowaliśmy przeciągnąć rozmowę, prosząc o więcej czasu. Ostatecznie rozmówca poinformował nas, że konto zostanie dezaktywowane, a on przekaże raport do Działu Bezpieczeństwa, w efekcie czego będziemy musieli ustawiać od nowa dane logowania.

Co mogło się stać, gdybyśmy mieli konto w Binance i złapali się na oszustwo? Oddajmy głos naszemu ekspertowi od bezpieczeństwa oraz kryptowalut, Adamowi Pichlakowi:

12 wyrazów, które zostało przysłane SMS-em to forma zapisu klucza prywatnego portfela. W momencie wpisania tego kodu i przelania na “nasze” konto kryptowalut, trafią one również do portfela przestępcy (ofiara i oszust współdzielą klucz prywatny portfela). Biorąc pod uwagę, że utrzymuje on na bieżąco połączenie telefoniczne z ofiarą, można założyć, że od razu wyprowadzi je on na inne konto.

Co robić? 

Jeśli nie macie konta na Binance, nie ma ryzyka, że stanie się Wam coś złego. Można też założyć, że jeśli atakujący trafi na faktycznego użytkownika Binance, ten okaże się osobą na tyle świadoma, by wiedzieć, do czego służy Trustwallet i nie dać się oszukać. Z drugiej strony, liczba kampanii i wysyłanych w ich ramach SMS-ów dowodzi, że tego typu działania mają istotną skuteczność.

Niezależnie od powyższych, warto zapoznać się ze schematem działania przestępców. Może się bowiem zdarzyć, że pojawią się kampanie skierowane pod kątem użytkowników innych giełd/platform kryptowalutowych. Choć wydaje się, że osoby świadomie inwestujące w kryptowaluty dojrzą w tym schemacie dużo czerwonych flag, warto pamiętać o podstawowych czynnikach ryzyka, które powtarzają się również w wielu innych kampaniach phishingowych, niekoniecznie opartych o kryptowaluty.

• Ignoruj wiadomości, dotyczące usług, z których nie korzystasz. 
• Stosuj zasadę ograniczonego zaufania do SMS-ów. Jeśli masz wątpliwości co do treści wiadomości – zaloguj się do aplikacji, bądź na stronie usługodawcy. Jeśli z Twoim kontem dzieje się coś złego – to tam otrzymasz odpowiednią informację. 
• Jeśli treść wiadomość wywołuje w Tobie wysokie emocje – załóż, że to socjotechniczna sztuczka. 
• Nie podawaj przez telefon loginów, haseł, a nawet stanu konta. 
• Działań związanych z Twoimi pieniędzmi nie podejmuj pod wpływem emocji. 

The post Oszustwo “na Binance” – szczegółowa analiza  appeared first on CERT Orange.