W obu przypadkach rozpoczyna się od wiadomości tekstowej sugerującej konieczność podjęcia działania. Albo w odniesieniu do zwrotu nadpłaty (PGE) albo wygasających „punktów Santander” (bank nie prowadzi programu lojalnościowego pod marką własną).

Na pewno nie oddadzą, zapewne zabiorą

W przypadku oszustwa na PGE link w SMS-ie prowadził na witrynę przypominającą stronę logowania na stronie dostawcy energii. Wiadomości były nadsyłane ze zwykłych numerów.

W momencie analizy witryna docelowa hxxps://renewsubsriptions[.]site/.well-known/PGE.pl.php już nie funkcjonowała. Bazując jednak na podobnych przypadkach można z dużym prawdopodobieństwem założyć, iż pod powyższym adresem trafilibyśmy na bramkę do wpisania danych karty płatniczej. Tak więc choć przekaz w SMS-ie sugeruje zwrot nadpłaty, oszuści obciążyliby naszą kartę do wysokości limitu.

Phishing SMS na nieistniejący program

Bank Santander to jeden z popularniejszych celów sieciowych przestępców. Dowodzi tego choćby częstotliwość poświęconych mu artykułów na naszej stronie. Tym razem jednak oszuści nie podszywają się pod Mastercardowy program Bezcenne Chwile (prowadzony również przez Santander) lecz informują o wygasających punktach „Santander Bank”. Warto zwrócić uwagę, że przestępcy postarali się o dość dobrą domenę, licząc, że ofiara widząc ciąg santander-pl nie zwróci uwagi, że między nimi nie ma kropki i adres tak naprawdę nie kończy się na .pl. Istotne jest też to, iż ten phishing SMS przychodził od nadawcy „Santander”.

Co dzieje się dalej? „Logujemy” się numerem telefonu:

następnie, po obejrzeniu katalogu rzekomych nagród, jesteśmy proszeni o podanie danych osobowych:

i – na koniec – podanie danych karty płatniczej.

Jak nie dać się oszukać?

Warto po raz kolejny powtórzyć 5 najważniejszych kwestii, co zrobić, gdy przychodzi do Ciebie SMS wymagający interakcji:

• sprawdź jego nadawcę
• jeśli przychodziły już do Ciebie SMS-y od tego nadawcy – sprawdź, czy ten wygląda tak samo/podobnie
• jeśli wiadomość zawiera linki – sprawdź je dokładnie; uważaj na adresy inne, niż kończące się na .pl lub ewentualnie .com
• myślisz, że wiadomość może być prawdziwa – zaloguj się do systemu usługodawcy wpisując własnoręcznie adres w przeglądarce i sprawdź, czy jest dla Ciebie korespondencja
• jeśli wciąż masz wątpliwości – skontaktuj się z infolinią

The post Phishing SMS na „punkty Santander” i „fakturę PGE” appeared first on CERT Orange.

DDoS to jeden z tych typów zagrożeń, które przez lata były traktowane jako „problem kogoś innego”. Dopóki atak nie uderzy bezpośrednio w usługę, klienta albo krytyczny element infrastruktury – łatwo go bagatelizować. Tymczasem ostatnie lata – a w szczególności miesiące – dowodzą, że skala i brutalność ataków wolumetrycznych rosną szybciej niż świadomość zagrożeń.

Rekordowy atak DDoS w Wigilię

Data, którą napastnicy wybrali na rekordowy atak DDoS nie była przypadkowa. Okres świąteczny to tradycyjnie moment obniżonej czujności oraz funkcjonowania operacyjnych zespołów cyberbezpieczeństwa w ograniczonych składach. Pamiętajmy też o dużym obciążeniu sieci ruchem „legalnym”.

Odnotowany atak osiągnął poziom 1,5 Tbps / 134,5 Mpps. Te liczby same w sobie obrazują zmianę w krajobrazie DDoS-ów. Nie mówimy już o incydentach, które „zapychają łącze klienta”. To są już wolumeny, które w przypadku braku odpowiedniej ochrony mogą stanowić realne zagrożenie dla infrastruktury operatorskiej. 

Celem ataku był pojedynczy adres IP. To istotny szczegół wskazujący, że w praktyce celem mógł być dowolny pojedynczy użytkownik sieci funkcjonujący za tym adresem. Taki model ataku pokazuje, że dziś ofiara nie musi posiadać własnej infrastruktury ani publicznych usług, aby stać się celem.

Klasyczny DDoS wolumetryczny 

Z technicznego punktu widzenia był to klasyczny atak wolumetryczny, którego celem było wyczerpanie dostępnej przepustowości. Zastosowano jednocześnie kilka technik: IP Fragmentation, Total Traffic Flood, DNS Flood, UDP Flood, NetBIOS Amplification.

Wspominany na wstępie drugi co do wielkości atak DDoS na naszą sieć, który miał miejsce w maju mijającego roku, potwierdza, że nie mamy do czynienia z odosobnionym incydentem. To element szerszego trendu. Ataki liczone w setkach gigabitów są już codziennością, a – jak widać – atakującym zdarza się uderzać z mocą terabitów na sekundę. Co więcej – tak silne ataki przestają być domeną globalnych graczy i coraz częściej pojawiają się w sieciach krajowych.

Paradoksalnie mimo rosnącej skali DDoS-y wciąż nie są postrzegane jako jedno z kluczowych zagrożeń. Dlaczego? Ponieważ:

• nie prowadzą do kradzieży danych
• nie szyfrują systemów
• nie zostawiają artefaktów na systemach
• po skutecznej mitygacji „nic się nie stało”

I te błędne założenia warto zmienić. Warto traktować te ataki jako istotne dla internetu.

Z perspektywy użytkownika sieci taki atak często pozostaje niezauważalny – po prostu „nic się nie stało”. Usługi działają, nie ma przerw ani komunikatów. Ale to właśnie jest najlepszy dowód, że zespoły bezpieczeństwa po stronie operatora wykonały swoją pracę, a ochrona zadziałała, powstrzymując rekordowy atak DDoS. Brak wpływu nie oznacza braku ataku. Dowodzi jedynie, że po stronie operatora wdrożona została odpowiednia architektura, przygotowane narzędzia, a za komputerami siedział zespół, który wie, co robi.

Jednocześnie trzeba pamiętać, że każdy atak jest inny. DDoS to nieustannie zmieniający się krajobraz, który wymaga ciągłej obserwacji, analizy i dostosowywania się do nowych technik oraz rosnących wolumenów.

The post Rekordowy atak DDoS w sieci Orange Polska – skala i brutalność rosną appeared first on CERT Orange.

Aplikacja

Początkowy wektor ataku sprawia, że wygląda on na powszechną kampanię, jakie są obecnie prowadzone. Adwersarz, poprzez socjotechnikę, zachęca wybraną ofiarę do pobrania i zainstalowania aplikacji mobilnej (podszywającej się pod inną zaufaną aplikację). Pobierana, w postaci pliku apk, aplikacja jest typowym dropperem. Dropper to rodzaj złośliwej aplikacji, której zadaniem jest dostarczenie i uruchomienie ukrytego w sobie lub na urządzeniu payloadu, zwykle w postaci jednorazowego rozpakowania lub rozkodowania wbudowanego malware. W tym przypadku ma on za zadnie uzyskać akceptacje niezbędnych uprawnień od użytkownika (poprzez zaprezentowanie ekranów z zaufanej aplikacji) po czym instaluje i uruchamia drugą aplikację (stage 2), pobieraną z lokalizacji \assets\apk\target.apk.  

Zainstalowana aplikacja w istocie jest kolejnym dropperem. Analiza tej fazy ataku nie zdradza funkcjonalności tej aplikacji i na pozór nie widać w niej nic złośliwego. Na tym etapie następuje pobranie z zasobów aplikacji pliku o rozszerzeniu json (plik posiada entropię równą 7.99, co wskazuje na wysokie upakowanie lub zaszyfrowanie; w istocie jest on kontenerem zawierającym zaszyfrowaną bibliotekę dex dołączaną do właściwej aplikacji). Plik jest zaszyfrowany symetrycznym szyfrem strumieniowym RC4 (KSA/PRAGA). Klucz do odszyfrowania jest łatwy do zlokalizowania w zdeasemblowanym kodzie.  Po odszyfrowaniu uruchamiane są funkcje ukryte uprzednio w tej bibliotece. A są to takie funkcjonalności jak:

• Rejestrowanie i przekazywanie obrazu w czasie rzeczywistym (screen streaming)
• Zdalne zarządzanie urządzeniem (VNC / RDP over Accessibility,  real-time operator control)

Początkowo program był identyfikowany jako RAT, jednak analizując funkcjonalności i zarządzanie programem, można było dojść do wniosku, że jest to złośliwa aplikacja będąca zaawansowanym spyware (RCS – Remote Control System).

W trakcie analizy zidentyfikowano wielowarstwową architekturę komunikacji typu command-and-control (C2), zaprojektowaną w sposób umożliwiający długotrwałe, skryte oraz ręcznie sterowane utrzymanie dostępu do zainfekowanego urządzenia. Model komunikacji opiera się na rozdzieleniu funkcji sygnalizacji, orkiestracji zadań (zarządzania) od interaktywnego dostępu zdalnego, co pozwala na ograniczenie widoczności ruchu sieciowego oraz obejście klasycznych mechanizmów detekcji opartych na analizie beaconingu.

Dalsza część analizy skupia się na tym nieoczywistym sposobie komunikacji złośliwej aplikacji. Przedstawiono działanie komponentu komunikacyjnego, sposób inicjowania połączenia z serwerem kontrolującym oraz obserwowane artefakty świadczące o przygotowaniu do długotrwałej obecności na urządzeniu.

Command and Control 

Centralnym elementem infrastruktury jest serwer Command and Control (C2) dostępny przez protokół HTTPS, pełniący funkcję rejestru urządzeń, repozytorium konfiguracji oraz punktu koordynacji zadań. C2 jest bezpośrednio obsługiwany przez operatora, który w ręczny sposób inicjuje działania oraz zarządza sesjami dostępowymi do poszczególnych urządzeń. Komunikacja pomiędzy operatorem a złośliwą aplikacją odbywa się przy użyciu standardowych interfejsów webowych lub API, co utrudnia jednoznaczną identyfikację złośliwej aktywności na poziomie ruchu sieciowego.

Po stronie zainfekowanego urządzenia, to klasa BackendApi zarządza pełną komunikacją urządzenia z serwerem C2 operatora. Moduł ten realizuje m.in.:

• rejestrację urządzenia w panelu adwersarza,
• heartbeat,
• pobieranie (poolingiem) komend,
• wysyłanie zdarzeń pojedynczych i wsadowych (batch),
• upload list aplikacji,
• pobieranie informacji o systemie,
• wysyłanie identyfikatorów oraz całej telemetrii.

Widać tutaj implementację stabilnego identyfikatora urządzenia (generateStableDeviceId) – opartą na android_id. Metoda ta generuje stały tracking ID, który wykorzystywany jest przez cały czas w trakcie działania aplikacji. Na początku zbierane są dane środowiskowe, tj: 

• poziom i status ładowania baterii,
• typ połączenia sieciowego,
• aplikacje działające w tle (foreground application),
• listy zainstalowanych aplikacji,
• informacje o karcie SIM (karta, operator, numer telefonu – jeśli możliwe),
• informacje o pamięci urządzenia,
• informacje o stanie ekranu,
• IP zewnętrzne.

Jest to profilowanie urządzenia przed dalszą eksploitacją oraz wdrożeniem zdalnego zarządzania (RMM). Tak precyzyjne profilowanie ofiary jest typowe dla wąskiej grupy ataków, w której atakujący dokonuje dalszych etapów infekcji w zależności od tego kto jest ofiarą. Unika w ten sposób przypadkowych infekcji i zwiększa szansę na pozostanie w ukryciu.

W przypadku kontynuacji ataku, adwersarz z serwera C2 przekazuje konfigurację tunelu Fast Reverse Proxy (FRP), który następnie pozwala mu na dostęp do urządzenia. Parametry FRP (adres serwera, port, token) dostarczane są dynamicznie w czasie działania aplikacji (tzw. runtime) i nie są na stałe zapisane w aplikacji (hardcodowane). Mechanizmy polling i heartbeat umożliwiają operatorowi regularne wysyłanie poleceń oraz zbieranie informacji telemetrycznych o urządzeniu, w tym listę aplikacji, stan baterii, typ połączenia sieciowego, informacje o pamięci i SIM oraz aktualnie aktywnej aplikacji. Tunel FRP, natomiast, jest inicjowany wyłącznie po otrzymaniu konfiguracji z backendu złośliwej aplikacji i w konsekwencji pozwala na interakcję operatora z urządzeniem, przy czym serwer FRP znajduje się w infrastrukturze atakującego poza urządzeniem i kanałem HTTPS.

FCM – Firebase Cloud Messaging

Do realizacji kanału sygnalizacyjnego wykorzystywana jest usługa Firebase Cloud Messaging (FCM). Jest to usługa Google przeznaczona do asynchronicznego dostarczania komunikatów push do aplikacji mobilnych oraz klientów webowych. W legalnych zastosowaniach służy do wysyłania powiadomień, synchronizacji danych lub wyzwalania akcji aplikacji bez konieczności utrzymywania stałego połączenia sieciowego. Z technicznego punktu widzenia FCM działa jako broker komunikatów, w którym aplikacja po instalacji rejestruje się w infrastrukturze Google i otrzymuje unikalny token lub subskrybuje określony temat (topic). Serwer aplikacji wysyła komunikaty do Google, a Google dostarcza je do właściwych urządzeń, nawet jeśli aplikacja nie jest aktywna, a telefon znajduje się w stanie uśpienia. Kluczową cechą FCM jest to, że ruch sieciowy odbywa się wyłącznie pomiędzy urządzeniem a infrastrukturą Google, co powoduje, że z perspektywy sieci i systemów bezpieczeństwa komunikacja wygląda jak w pełni legalny ruch systemowy Androida.

Dla funkcjonalności FCM, w klasie konfiguracyjnej (rys. 1), umieszczono kluczowy parametr:

private static final String FCM_TOPIC = „device_commands”;

Oznacza to, że aplikacja subskrybuje globalny temat FCM, a nie indywidualny token. Każde urządzenie, na którym aplikacja jest zainstalowana, dołącza do tego samego logicznego kanału komunikacji. W praktyce oznacza to, że operator C2 może wysłać jedno polecenie, które zostanie dostarczone przez Google do dowolnej liczby zainfekowanych urządzeń, bez bezpośredniego łączenia się z nimi.

FCM w tym rozwiązaniu nie służy do przesyłania danych operacyjnych, lecz do asynchronicznej sygnalizacji sterującej. Operator C2 wysyła push do urządzenia (poprzez usługę i infrastrukturę Google), który jest odbierany w onMessageReceived(), a otrzymany w push’u JSON jest zamieniany na wewnętrzny identyfikator polecenia. Następnie następuje mapowanie JSON → metoda executeXYZ(), czyli bezpośrednie przeniesienie kodu rozkazującego na konkretne moduły funkcjonalne malware. Każde z wywołań nie tylko uruchamia jednostkową akcję, ale również aktywuje lub rekonfiguruje podsystemy trwałości i nadzoru: inicjalizację FRPC, odświeżenie rejestracji klienta, konfigurację warstwy overlay, kanał WebSocket, uwierzytelnienie tunelu, screen-stream, heartbeat, system logowania zdarzeń. W efekcie FCM pełni rolę kanału sygnalizującego klasy „wake+task”, w którym push nie przenosi komendy operacyjnej, lecz sygnalizuje konieczność pobrania jej z Backend API – to zapewnia oszczędność energii, redukuje ślad sieciowy, eliminuje cykliczne połączenia DNS/HTTP i znacząco podnosi poziom ukrycia (stealth mode).

Mając taki model, C2 dysponuje kategoriami komend sterowanych przez FCM, które dają pełne pokrycie funkcjonalne urządzenia. Komendy komunikacyjne (np. executeEnableWebSocket() czy executeDisableWebSocket()) pozwalają włączać i wyłączać WebSocket oraz tunel FRPC, a więc sterować kanałem zdalnego dostępu. Komendy dotyczące ciągłości łączności (heartbeat, polling) zapewniają fallback i utrzymywanie sesji bez telemetrii okresowej. Komendy instrumentacyjne inicjują żądania uprawnień, restart usług Accessibility lub MediaProjection oraz „wybudzenie” aplikacji na front UI. Segment screen-capture pozwala włączać/wyłączać usługę przechwytywania ekranu i obsługiwać overlay umożliwiający kliknięcia przestępcy. Event-logger to kolejna warstwa klasy operatorskiej – konfiguracja logowania, pobieranie liczników, flush zdarzeń – czyli przydatna telemetria. Wreszcie, polecenia statusowe (executePing(), updateCommandStatus()) utrzymują pętlę zgłaszania stanu, co stanowi dla operatora quasi-RTT (Round-Trip Time).

Jednym z kluczowych elementów jest uruchomienie klienta FRP (frpc – Fast Reverse Proxy Client), który zestawia połączenie wychodzące typu reverse tunnel do serwera pośredniczącego (frps – Fast Reverse Proxy Server) kontrolowanego przez operatora. Tunel ten umożliwia zdalny, interaktywny dostęp do funkcji urządzenia bez konieczności wystawiania jakichkolwiek portów po stronie ofiary. Całość komunikacji realizowana jest jako połączenie wychodzące z urządzenia, co pozwala ominąć zapory sieciowe oraz ograniczenia NAT.

To jest dokładnie ten model, który obserwujemy w zaawansowanych rodzajach malware mobilnego i narzędziach klasy komercyjnego spyware, gdzie push zastępuje stałe połączenia TCP i minimalizuje artefakty, logi oraz możliwość detekcji przez rozwiązania sieciowe.

FRP – Fast Reverse Proxy

Po otrzymaniu zdalnej komendy z FCM, aplikacja najpierw kontaktuje się z BackendAPI operatora, ponieważ to ono pełni funkcję kontrolną i rozdziela konfigurację sieciową dla kanałów zdalnego dostępu. W ramach tej komunikacji pobierany jest aktualny profil konfiguracyjny dla FRP, obejmujący adres serwera FRPS, porty, typ tunelu, klucze autoryzacyjne oraz ewentualne parametry dotyczące protokołu WebSocket wykorzystywanego do transmisji ekranu lub ruchu sterującego. Sam klient FRPC nie jest kompilowany w kodzie aplikacji – zostaje wydobyty z zasobów jako zakodowany plik binarny, po czym zostaje zdekodowany i zapisany jako wykonywalny plik, co pozwala uruchomić go poza cyklem życia aplikacji malware (rys. 2).

Gdy binarka klienta proxy jest już przygotowana, aplikacja uruchamia FRPC jako osobny proces systemowy – po to, by utrzymać stały tunel nawet wtedy, gdy Android zabije proces nadrzędny. Ten proces nawiązuje pierwotne połączenie do serwera FRPS zgodnie z otrzymanymi parametrami i natychmiast przekazuje operatorowi swój status uwierzytelnienia. W rezultacie dochodzi do rejestracji klienta po stronie serwera FRPS, co pozwala operatorowi widzieć infekcję jako dostępne urządzenie z unikalnym identyfikatorem. FRPC przechodzi następnie w stan idle / keep‑alive, czyli utrzymuje kanał sterujący, ale nie tworzy jeszcze aktywnego ruchu reverse‑proxy, dopóki operator nie zażąda sesji.

W tej fazie urządzenie oczekuje na zdalne zestawienie połączenia odwrotnego, a więc na sytuację, w której to serwer FRPS otworzy wejściowy port i poprowadzi ruch w dół tunelu wprost do telefonu. Gdy operator wyśle taką inicjację, FRPC zestawia konkretny tunel – TCP, WebSocket, RDP‑like, ADB-over‑TCP lub ekranowy streaming – i mapuje go na lokalny port w telefonie. Ponieważ tunel działa jak router portów, aplikacja nie musi mieć logicznych funkcji RAT – operator może podpiąć dowolne narzędzia, które działają lokalnie w systemie, np. WebDriver Accessibility, MediaProjection do obrazu ekranu, key‑overlay lub terminal.

W dalszym przebiegu tunel jest utrzymywany przez heartbeat FRP, co w praktyce oznacza ciągłe podtrzymywanie łącza bez konieczności beaconingu przez malware. Jeżeli kanał ulegnie przerwaniu, binarka sama wykona reconnect, a jeśli system zabije proces, aplikacja znów wystartuje go przez usługę rezydencyjną. To końcowo prowadzi do sytuacji, w której telefon pozostaje w pełni dostępny dla operatora jako zasób sieciowy, gotowy do manualnego sterowania.

Zestawiony tunel FRP stanowi główny kanał operacyjny, wykorzystywany do prowadzenia sesji zdalnych, w tym sterowania interfejsami systemowymi, przechwytywania obrazu ekranu, interakcji z aplikacjami oraz realizacji dalszych działań postkompromitacyjnych. Operator uzyskuje dostęp do urządzenia poprzez infrastrukturę FRP, a nie bezpośrednio, co dodatkowo utrudnia atrybucję oraz analizę topologii ataku. Wszystkie zidentyfikowane połączenia sieciowe inicjowane są wyłącznie z poziomu zainfekowanego urządzenia. Nie zaobserwowano mechanizmów nasłuchowych ani bezpośrednich połączeń przychodzących. Komunikacja z infrastrukturą Google (FCM), backendem C2 oraz serwerem FRP realizowana jest z użyciem powszechnie stosowanych protokołów i usług chmurowych, co pozwala na skuteczne maskowanie złośliwego ruchu w legalnym tle sieciowym.

Choć malware utrzymuje klasyczny kanał HTTPS z Backend API – wykorzystywany głównie do pobierania konfiguracji, potwierdzania komend, aktualizacji parametrów sesji i raportowania statusów – ten kanał nie jest warstwą transakcyjną dla zdalnego sterowania urządzeniem. Backend API pełni rolę sygnalizacyjną i administracyjną (kontrola, telemetria, rejestracja urządzenia), natomiast funkcję rezydencyjną i operacyjną przenosi dedykowany proces FRPC, uruchamiany jako osobny proces i utrzymujący stały kanał typu reverse‑proxy. W efekcie komunikacja dzieli się na trzy warstwy: FCM jako „asynchroniczny budzik”, BackendAPI jako panel administracyjny malware oraz FRP jako właściwy kanał operacyjny, który materializuje dostęp zdalny do urządzenia.

Podsumowanie

Zastosowana architektura, obejmująca separację kanałów komunikacji, wykorzystanie zewnętrznej infrastruktury chmurowej do sygnalizacji oraz manualnie sterowany dostęp interaktywny, wskazuje na zaawansowany charakter operacji. Tego typu rozwiązania są typowe dla działań ukierunkowanych, prowadzonych z udziałem operatora, a nie dla masowych kampanii zautomatyzowanego złośliwego oprogramowania. W przypadku tego malware nie podjęto się przeprowadzenia atrybucji. Zidentyfikowana kampania charakteryzuje się cechami operacji o podwyższonym stopniu ukierunkowania i planowania, co uzasadnia klasyfikację zagrożenia jako APT-grade malware. W analizowanym przypadku operator nie opiera się na dystrybucji masowej, ale prowadzi działania wymagające precyzyjnej kontroli nad pojedynczym urządzeniem. Mechanizm komunikacji oparty o kanał zwrotny, dynamiczne pobieranie parametrów pracy oraz możliwość tunelowania FRP wskazują na operacyjną potrzebę utrzymywania długotrwałego, nieobserwowalnego dostępu, typowego dla tradecraftu grup APT lub zaawansowanych cyber-crime-as-a-service.

Na poziomie infrastrukturalnym obserwowana domena była aktywna jedynie przez ok. 10 dni, została zarejestrowana, stworzono dla niej certyfikat SSL i po zakończeniu fazy operacyjnej wyrejestrowana. Taka sekwencja – krótkie okno ekspozycji (eksploatacji), wymuszenie szyfrowania komunikacji, szybkie porzucenie zasobu – odpowiada modelowi szybkiej, jednorazowej infrastruktury typu „burn-after-use”, stosowanej w kampaniach, które zakładają ryzyko deanonimizacji operatora. Nie jest to charakterystyka działań typowych dla niskiego szczebla cyberprzestępczości, która wykorzystuje domeny (często tanie i długoletnie) i ją porzuca, panele gotowe lub rotację ograniczoną kosztowo. Tutaj widoczny jest koszt operacyjny i intencja zacierania śladów.

Wektor komunikacji dowodzi, że oprogramowanie nie jest standardem trojana, ale stanowi mechanizm dostępowo-wywiadowczy. Aplikacja utrzymuje kontrolę operatorską poprzez FCM push do urządzenia, wykonuje telemetryczne heartbeat, pobiera konfigurację C2, a następnie aktywuje klienta Fast Reverse Proxy z parametrami dystrybuowanymi dynamicznie. Rezultatem jest dwukierunkowy kanał do wnętrza ekosystemu użytkownika, z możliwością ekspozycji usług lokalnych bez konieczności posiadania publicznego IP po stronie ofiary.

Próbki są generowane i modyfikowane per-install, konfiguracja FRP pobierana jest za każdym razem w modelu efemerycznym, a domeny i certyfikaty charakteryzują się krótką żywotnością. Cechy te uniemożliwiają budowanie tradycyjnych sygnatur detekcyjnych i dodatkowo sugerują aktora stosującego operational security, obliczoną rotację infrastruktury i minimalizację śladów wykrywalnych retrospektywnie. W konsekwencji analizowany kod nie jest klasycznym malware commodity, lecz narzędziem zdolnym do precyzyjnego sterowania urządzeniem, ukrytej łączności i kontroli operatorskiej – parametry te lokują go w spektrum TTP wykorzystywanych przez grupy APT lub podmioty komercyjnie świadczące takie zdolności.

W kontekście atrybucji warto odnotować, że próbka prezentuje dwa wyraźnie odmienne modele podejścia do zaciemniania kodu – i oba odbiegają od standardowych praktyk dla mobilnego malware. Po odszyfrowaniu głównego komponentu aplikacja zachowuje spójną i czytelną strukturę: utrzymano jawne nazwy klas, metod i zmiennych, nie widać śladów automatycznej obfuskacji, a część modułów implementuje lokalne mechanizmy logowania zdarzeń do plików, co jest rzadkością w kodzie pisanym z myślą o ukrywaniu aktywności. Taki profil sugeruje wysoki poziom kompetencji programistycznych oraz nawyki charakterystyczne raczej dla profesjonalnego wytwarzania oprogramowania niż dla kodu pisanego wyłącznie pod dystrybucję malware.  Jednocześnie inna warstwa aplikacji – obejmująca „silnik” operacyjny i zależności konstrukcyjne – jest już obfuscowana: klasy pozbawione są semantycznych nazw, występują struktury z automatycznie generowanymi identyfikatorami pól i mapowaniami (SparseIntArray → indeks → wartość), co utrudnia rekonstrukcję przepływu logicznego. Takie rozbieżności wskazują na proces rozwojowy, w którym część kodu mogła zostać przeniesiona z istniejącej, legalnej bazy wykonawczej (lub utrzymana przez doświadczonych programistów), a dopiero elementy operacyjne – odpowiedzialne  za wiązania klas, parametry działania i logikę wywołań – zostały poddane automatycznemu zaciemnianiu. Nie można wykluczyć, że implementacja była realizowana zespołowo, a część osób rozwijających kod mogła nie mieć pełnej świadomości operacyjnego przeznaczenia aplikacji.

Ze względu na powyższe nie wskazujemy wprost sygnatury badanej próbki oraz IoC sieciowych.

The post Operacyjna analiza kanałów komunikacyjnych mobilnego RCS’a appeared first on CERT Orange.

Nie ma złej pory na to, by uczyć bliskich jak uniknąć zagrożeń. Co więcej – święta wydają się być jednym z lepszych momentów, wtedy bowiem zazwyczaj najbliższych mamy tuż obok. I nie mają dokąd uciec

Telefon/urządzenie połączone z internetem pod choinką – co zrobić?

Telefony komórkowe to nieodłączny element naszego życia, co do tego nie ma wątpliwości. A ilu internautom przeszło przez myśl, by po wyciągnięciu z pudełka nowego urządzenia już na etapie wstępnej konfiguracji zająć się jego zabezpieczeniem? A coraz popularniejsze urządzenia Internetu Rzeczy? Nierzadko ich domyślna konfiguracja bywa na bakier z bezpieczeństwem. W czym pomóc po świątecznej kolacji członkowi rodziny, który znajdzie pudełko z taką zawartością pod choinką?

W przypadku smartfona:

• zadbajcie o odpowiednią blokadę urządzenia (odcisk palca, w przypadku iPhone’a – Face ID)
  • niech będący dodatkowym zabezpieczeniem PIN będzie nieoczywisty
• uruchomcie uwierzytelnianie dwuskładnikowe na koncie Google/Apple
  • wtedy w przypadku zalogowania kontem użytkownika na innym urządzeniu niezbędna będzie akceptacja komunikatu push lub wpisanie SMS-owego kodu
• wyjaśnij, dlaczego bliska osoba nie powinna instalować aplikacji z nieznanych źródeł

Przy pozostałych urządzeniach korzystających z internetu:

• zalogujcie się do panelu administracyjnego urządzenia
  • zmieńcie domyślne hasło dostępu
  • jeśli urządzenie nie musi być dostępne z sieci – wyłączcie tę opcję
    jeśli musi – pomóż bliskiemu w konfiguracji sieci/firewalla tak, by ograniczyć ryzyka

A przede wszystkim – porozmawiajcie i wyjaśnij dlaczego to robisz. Uświadom bliską osobę w kwestii:

• ryzyk związanych z przejęciem kontroli nad telefonem przez osobę niepowołaną (w tym np. możliwości przejęcia kont do których loguje się adresem e-mail)
• wrażliwych/prywatnych danych, które przechowujemy na telefonie
• dlaczego nie powinniśmy używać tego samego hasła w kluczowych serwisach/witrynach
• na czym polega działanie menedżera haseł, że to nic trudnego i warto z niego korzystać
• jakie ryzyka wiążą się z dostępem do urządzenia Internetu Rzeczy podpiętego do jej/jego domowej sieci

Na wigilijnej wieczerzy naucz ostrożności w sieci

Na tych łamach regularnie ostrzegamy o nowych zagrożeniach w sieci i schematach zachowań przestępców. Wielokrotnie powtarzamy kilka prostych rad, które znacząco ograniczą ryzyko padnięcia ofiarą oszustów. Ale czytanie na stronie to jedno. Dyskusja w rodzinnym gronie podczas wigilijnej wieczerzy to znacznie bardziej przyjazne okoliczności. Wspomnij więc bliskim mimochodem, by (i wyjaśnij dlaczego):

• byli bardzo ostrożni, gdy dostaną wywołującą silne emocje informację od nieznanej osoby/firmy
• w każdej sytuacji, gdy muszą się zalogować od jakiegoś serwisu, upewniali się, czy adres w pasku przeglądarki jest właściwy
• gdy niespodziewany mail wymaga od nas podjęcia działań (pobranie załącznika, kliknięcie w link i wykonanie komend, czy zalogowanie się) – dokładnie sprawdzili adres nadawcy
• jeśli ktokolwiek dowolnym kanałem komunikacji prosi ich niespodziewanie o pieniądze – przerwali rozmowę i zadzwonili do domniemanego rozmówcy
  • ten kontakt musi odbyć się innym kanałem – jeśli podejrzana wiadomości trafia do nich np. Messengerem, trzeba założyć, że konto zostało przejęte i do rzekomego rozmówcy po prostu zadzwonić
• ktoś dzwoni „z banku” i mówi o włamaniu na konto, pyta o rzekomo wzięty kredyt, czy cokolwiek podobnego – należy się rozłączyć i oddzwonić samemu na numer podany na stronie banku
• ustalić w rodzinie hasło, z którego będziecie korzystać w przypadku próby wyłudzenia „na wnuczka”
  • jeśli do seniora zadzwoni ktoś udający dziecko/wnuka (sztuczna inteligencja radzi sobie z tym coraz lepiej) – niech poprosi o hasło; oszust go nie poda, a wtedy mamy pewność, że to próba wyłudzenia pieniędzy
• nie wierzyli od razu we wszystko, co przeczytają/zobaczą w sieci; porozmawiajcie o tym jak rozpoznać materiały wideo stworzone przez sztuczną inteligencję, a także jak – i kiedy – upewnić się, czy budząca emocje treść w sieci nie jest fake newsem

Pamiętaj – każdy może zostać dla swoich bliskich Aniołem Cyberbezpieczeństwa. Nikt nie sugeruje, by czas wigilijnej wieczerzy poświęcić tylko temu tematowi. Bez wątpienia warto jednak wykorzystać okres spędzany wspólnie z rodziną. Edukacja w zakresie cyberbezpieczeństwa to w dzisiejszych czasach, gdy tak duża część naszego życia dzieje się w internecie, to kwestia na której pominięcie nie można sobie pozwolić.

Spokojnych, wesołych, rodzinnych i bezpiecznych – nie tylko w sieci – świąt!

The post O czym po wigilijnej wieczerzy opowiedzieć nietechnicznej rodzinie appeared first on CERT Orange.

We wszystkich opisywanych schematach źródłem phishingu jest wiadomość e-mail. W przypadku mBanku motywem jest rzekoma konieczność aktualizacji numeru telefonu, by uniknąć zawieszenia konta:

Docelowa witryna to hxxps://francy93065be.s3.us-east-1.amazonaws[.]com. W trakcie analizy strona była już niedostępna, jednak treść linku brzmiąca „Zaloguj się” sugeruje, iż w kolejnym kroku ofierze pojawiłaby się podstawiona strona banku, a wpisane poświadczenia logowania trafiłyby do przestępcy. Co dalej? Próba zalogowania, wyłudzenie socjotechniczną sztuczką kodów uwierzytelniania dwuskładnikowego i kradzież pieniędzy z konta.

Drugi przypadek to „brak płatności za fakturę” Polsat Box. Domena hxxps://www.9o9-7y7[.]com również nie jest już dostępna. W tym przypadku brzmienie wiadomości i treść linku, który ma kliknąć ofiara, sugeruje fałszywą bramkę płatności. Doświadczenie wskazuje, że za jej pośrednictwem można było „zapłacić” (czyli przekazać dane oszustom) kartą płatniczą. Być może przestępcy przygotowali również fałszywe strony logowania do banków.

Ostatni przypadek to Apple i rzekoma niedopłata. Przestępcy tym razem się przygotowali – kwota którą podali to faktyczna cena miesięcznego dostępu do Apple TV w trwającej obecnie promocji:

Tutaj link – podobnie jak w przypadku oszustwa na płatności w mBanku – prowadzi nas na stronę hostowaną na chmurze Amazonu, zaś docelowo na witrynę hxxps://zlm.update-app007.com[.]es. Tym razem strona była jeszcze dostępna. Gdy zalogowaliśmy się na nią nieistniejącymi danymi, pokazała się informacja o blokadzie:

Po wpisaniu technicznego numeru karty i kilku minutach oczekiwania dostaliśmy informację zwrotną o błędnych danych. Czemu potrwało to tyle? Oszuści wysyłając tego typu kampanie śledzą na bieżąco dane wpisywane przez ofiarę w formularzu.

Oszustwa na płatności – jak ich uniknąć?

Podstawowe kwestie, które trzeba – nie tylko, gdy trafiają do nas oszustwa na płatności – sprawdzić, zanim podejmiesz jakiekolwiek działanie:

• adres nadawcy wiadomości
• adres witryny docelowej
• a przede wszystkim – czy w ogóle korzystasz z usług danej firmy

W opisywanych przykładach już wykonanie pierwszego punktu analizy dowodziło w stu procentach, że mamy do czynienia z oszustwem.

The post Nowe oszustwa na płatności – mBank, Polsat i Apple appeared first on CERT Orange.

Oszustwo zaczyna się – jak niemal w każdym przypadku w ostatnim czasie – od reklamy na Facebooku.

Kim jest Kari Oliver? To konto akurat zniknęło z Facebooka, a prezentowana przez nie wcześniej reklama opatrzona jest komentarzem:

Ta reklama był wyświetlana przez konto lub stronę, które później wyłączyliśmy za naruszenie naszych Standardów dotyczących reklam.

Zaskakujące, biorąc pod uwagę jak „niespiesznie” Facebook zajmuje się takim zgłoszeniami. Co ciekawe, wciąż istnieje inne konto powiązane z tą reklamą – Vera Jordan. Określane jest jako lokalna firma z Karoliny Północnej, z jednym obserwującym. Wracając jednak do samej reklamy. Gdzie trafiamy po kliknięciu w link?

Prawie jak DOZ

Reklama kieruje nas na stronę do-z[.]top. Właściwa witryna sieci aptek to doz[.]pl. Dla jednych – na pierwszy rzut oka widać różnicę. Jesteśmy sobie jednak w stanie wyobrazić internautów, którzy nie zauważą różnicy, tym bardziej otwierając witrynę w przeglądarce mobilnej. Oni przede wszystkim zwrócą uwagę na typografię skopiowaną 1:1 z prawdziwej strony. I ceny, które robią wrażenie.

Pójdźmy zatem dalej tym tropem – warto sprawdzić, na czym docelowo polega oszustwo. Kupiliśmy zatem pierwszy z brzegu preparat. Cena 6 złotych za ten konkretny lek wydaje się kusząca. W prawdziwej aptece DOZ zapłacimy zań 20,69 zł. Jasne – to tylko niecałe 15 złotych, ale dla osób, które używają więcej leków i suplementów docelowa kwota może przekładać się na sporą oszczędność w portfelu. A jak wygląda „płatność”?

Czerwone flagi? Dwie niewielkie i jedna spora. Dlaczego z prawej strony jest tekst „Gwarantowane bezpieczne wypłaty” skoro strona ma dotyczyć wpłaty? Co przy logotypach firm płatniczych robi „100% satisfaction guarantee” i… loga dwóch dostawców antywirusa? No i na koniec – czemu metoda płatności z logo BLIK nosi nazwę… PATRZEĆ?

Swoją drogą, to nie jedyny lapsus językowy oszustów, odpowiedzialnych za tę stronę. Przy dodawaniu pozycji do koszyka dowiadujemy się, iż w następnym kroku mamy – uwaga – „Ponieść porażkę”. Ciężko sobie wyobrazić, by ktoś mimo takiego monitu próbował dokonać zakupu? Niestety – zdarzało się.

Zaczynamy od DOZ, ale trafiamy na… inny sklep oszustów

W przypadku wyboru płatności kartą – oszuści po prostu wyczyszczą nam kartę bądź konto do poziomu limitów. My zdecydowaliśmy się na płatność BLIK, by sprawdzić, do kogo docelowo mają dotrzeć nasze pieniądze (i ile ich będzie). Po kliknięciu „Przejdź do płatności” trafiamy na nową witrynę:

Firma Supaytech wydaje się być operatorem/agregatorem płatności, jednak w jej dokumentach i na stronie brakuje jasnych informacji o adresie rejestrowym w UE, numerze licencji, czy nadzorze. To znacznie obniża wiarygodność z punktu widzenia prawa UE/PSD2/RODO. Niezależnie od tego, wpisanie kodu BLIK nie jest niebezpieczne, bowiem charakterystyka Polskiego Standardu Płatności wymaga potwierdzenia transakcji w aplikacji bankowej płacącego. Komu (i ile?) zatem płacimy?

Pewnym zaskoczeniem może być fakt, że kwota płatności faktycznie równa jest kwocie rachunku w rzekomej aptece DOZ. Odbiorcą naszych pieniędzy nie będzie jednak apteka, czego niektórzy mogliby się spodziewać. Czym jest zatem firma MSW Montage GmbH?

Z fałszywego sklepu z lekami do fałszywego sklepu z… ubraniami. A co ma z tym wspólnego niemiecka spółka MSW Montage? Ona tylko nieświadomie użyczyła nazwy oszustom. Powyższa witryna jest w domenie .top, a ten sam adres kończący się na .de prowadzi do firmy montującej ogrodzenia.

Na czym zarabiają oszuści?

W przypadku kart kredytowych odpowiedź jest prosta – czyszczą kartę prawdopodobnie do poziomu ustawionych limitów. A BLIK? Być może przestępcy po prostu umieścili go na stronie po to, by witryna wyglądała bardziej wiarygodnie, a głównym kanałem jest kradzież danych karty płatniczej? A może oszuści liczą na efekt skali, gdy każdy z setek/tysięcy internautów „kupi” lekarstwa w rzekomym DOZ za kilkaset złotych?

Czy jako użytkownik BLIK jesteśmy w stanie rozpoznać, czy mamy do czynienia z oszustwem? Zapytaliśmy o to u źródła – w Biurze Prasowym BLIK:

W takiej sytuacji najlepiej oprzeć się na dwóch prostych krokach: upewnić się, że strona, na której finalizujemy zakup, jest oficjalną witryną marki, oraz sprawdzić w aplikacji bankowej, kto ma otrzymać płatność przed jej potwierdzeniem. Jeśli dane odbiorcy nie pasują do miejsca zakupu albo coś w procesie wygląda nietypowo, warto przerwać taką płatność. Fałszywe serwisy można też zgłaszać do instytucji, które zajmują się blokowaniem takich stron, żeby zostały szybciej wyłączone.
– odpowiedziała Klaudia Rombalska z Biura Prasowego BLIK.

A jak Polski Standard Płatności reaguje na sytuacje tego typu jak opisana?

Jesteśmy operatorem schematu płatniczego i systemu BLIK, ale nie usług płatniczych. Nie monitoruje my bezpośrednio działalności merchantów ani zewnętrznych dostawców usług płatniczych. Udostępnianie płatności BLIK serwisom internetowym oraz ich weryfikacja leżą po stronie agentów rozliczeniowych.

Dostawcy usług płatniczych, z którymi współpracujemy, uprawnieni są do udostępniania płatności BLIK wyłącznie takim podmiotom, których działalność jest zgodna z prawem. W przypadku otrzymania informacji wskazujących na nieprawidłowości, występujemy do uczestnika systemu BLIK o złożenie o wyjaśnień. W zależności od otrzymanej odpowiedzi, decydujemy o dalszym toku postępowania.

Za każdym razem, kiedy dowiadujemy się o przypadkach wykorzystania BLIK-a w sposób bezprawny, podejmujemy odpowiednie kroki mające na celu zablokowanie takich działań. Jesteśmy zdeterminowani, aby eliminować wszelkie przypadki nielegalnego wykorzystania naszej usługi. Współpracujemy z odpowiednimi organami, aby zapobiegać takim incydentom w przyszłości i chronić zarówno naszych użytkowników, jak i reputację marki BLIK. Fałszywe serwisy można też zgłaszać do instytucji, które zajmują się blokowaniem takich stron, żeby zostały szybciej wyłączone.

Jak nie dać się oszukać?

Podsumujmy zatem na koniec i zgromadźmy te informacje w jednym miejscu. Co możesz zrobić, by nie paść ofiarą oszustwa?

• zawsze sprawdzaj adres strony, na której wpisujesz dane karty
• wyrób w sobie nawyk szczegółowego sprawdzania przesadnie atrakcyjnych promocji
• jeśli płacisz BLIK-iem, sprawdź:
• kwotę (czy jest zgodna z faktyczną kwotą zakupu)
• rodzaj akcji (czy przypadkiem nie potwierdzasz wypłaty w bankomacie)
• nazwę nabywcy (w opisywanym przypadku miał być DOZ – było MSW Montage

The post To nie jest promocja DOZ! To „podwójnie fałszywy” sklep appeared first on CERT Orange.

Przeszło 60 prelegentów pokazujących 49 prelekcji na 6 ścieżkach tematycznych. OhMyHack 2025 podobnie jak rok temu wymagał zdolności szybkiego biegania między położonymi daleko od siebie salami. Albo po prostu obejrzenia części prelekcji w formie nagrań, dostępnych dla uczestników od razu po zakończeniu wykładu. Merytoryka na OMH jak zwykle bowiem nie zawodziła i nie raz zdarzało się, że w tym samym czasie chciałoby się być na dwóch (żeby tylko!) prelekcjach.

CERT Orange Polska przed południem…

Oczywiście w roli prelegentów nie mogło zabraknąć naszych przedstawicieli. Jako pierwszy z licznych reprezentantów CERT Orange Polska przed pełną salą na ścieżce Cybercrime stanął widoczny na tytułowym zdjęciu Michał Łopacki.

Chcecie wiedzieć jak omijać przeszkody i wchodzić na „nieprawomyślne” miejsca internetu? A może jak zapewnić sobie darmowe korzystanie z dobrodziejstw sieci? Michał tylko ubrał treść swojego wykładu w opowieść o hakerach z arabskojęzycznego Telegrama. Problem, który poruszył, był znacznie poważniejszy. Bo choć manipulacja nagłówkami HTTP Host oraz SNI w trakcie ustanawiania sesji TLS faktycznie pomaga obchodzić cenzurę i zero rating, to przede wszystkim Domain Fronting wciąż działa. Również na dużych CDN-ach. W efekcie możliwe jest tunelowanie ruchu poza kontrolą operatora. Konsekwencje? Do wyboru do koloru.

Kwadrans przerwy, dłuższy spacer do sali opisanej „AI”, a tam czekał już Stanisław Kozioł (na zdjęciu powyżej). Nasz ekspert od sztucznej inteligencji opowiadał o tym, jak sprawić, by korzystanie z Wielkich Modeli Językowych nie sprawiało kłopotu w tak dużej organizacji jak Orange Polska. „Budowa warstwy walidacyjnej dla LLM-ów” nie brzmi może przesadnie atrakcyjnie. Wiedza i charyzma prelegenta spowodowały jednak, że słuchało się go z wypiekami na twarzy.

…i po obiedzie

Po dłuższej przerwie przyszła pora na kolejną prelekcję naszego człowieka na OhMyHack 2025. A w zasadzie na powrót duetu znanego już ze wspólnych występów. Kierownik CERT Polska Marcin Dudek oraz Piotr Zarzycki z CERT Orange Polska ponownie (wcześniej na Security Case Study) udowodnili, że doskonale odnajdują się na jednej scenie. Tym razem obaj przedstawili, z dwóch różnych perspektyw, jak wykorzystać sztuczną inteligencję w testach penetracyjnych. TL;DR – da się, choć wymaga to czasu i odpowiedniego podejścia. Ale efekty mogą okazać się nie tylko imponujące, lecz także opłacalne.
Warto jednak pamiętać, że choć z jednej strony AI może znacząco przyspieszyć zwłaszcza wykrywanie luk na podstawie kodu źródłowego, trzeba mieć świadomość (i nauczyć się je okiełznać) możliwych halucynacji sztucznej inteligencji. Przy odpowiednim podejściu – czego prelegenci dowiedli praktycznymi przykładami – może się ona jednak okazać niezastąpionym asystentem podczas pentestów.

Na scenie nie mogło oczywiście zabraknąć Ireneusza Tarnowskiego, naszego eksperta od Cyber Threat Intelligence, kierującego zespołem odpowiedzialnym za Krajobraz Zagrożeń CERT Orange Polska. Irek, analizując spektakularne cyberataki z mniej lub bardziej dalekiej przeszłości, wyjaśniał dlaczego gdy chodzi o ich atrybucję, pośpiech jest średnio wskazany. Sprawca nie tylko nie zawsze chce dać się rozpoznać. Wręcz może korzystać ze znanych z konfliktów kinetycznych techniki „fałszywej flagi”. Bardzo wartościowy wykład, pokazujący jak łatwo wpadamy w atrybucyjne pułapki.

Dużo wartościowych treści na OhMyHack 2025

Przez 9 wypełnionych wykładami godzin OhMyHack 2025 nie zabrakło wielu wciągających występów. Prokurator Agnieszka Gryszczyńska do spółki z policjantami z CBZC opowiadała jak złapać sprawcę fałszywych alarmów bombowych. W formule live-only, więc to jedyne, czym możemy się podzielić. Równolegle z nimi Michał Kłaput po raz kolejny (jak rok wcześniej) opowiadał jak namierzyć drona w sercu wojny. O dronach – tym razem amatorskich – i związanych z nimi zagrożeniach mówili Mateusz Nalewajski i Karol Celiński.

Białoruscy cyberpartyzanci to domena Anny Wasilewskiej-Śpioch. O wojnie w znakomitym OSINT-owym stylu mówił też Rafał Godek. Nie zabrakło wykładu o wyłudzeniach w Allegro (Tomasz Szporlendowski), czy intrygującej tezy jakoby fake captcha była już passe (Maciej Krzyżaniak). Do tego też sporo tematów na wyższym poziomie skomplikowania, jak choćby Bezpieczeństwo Terminali Płatniczych Adama Klisia (live only), czy Michał Purzyński opowiadający o Android Advanced Protection.

Nie da się wszystkiego opowiedzieć, bo naprawdę „mięsistych” treści było pełno. Jeśli interesuje Cię tematyka – rezerwuj sobie czas na… 2 grudnia 2026. My tam na pewno będziemy. I zaręczamy, że warto.

The post OhMyHack 2025 – sezon konferencji za nami appeared first on CERT Orange.

Na początku w największym serwisie społecznościowym na świecie trafia do nas taka reklama:

Domena najlepszelokaty.com[.]pl została zarejestrowana 19 listopada za pośrednictwem holenderskiej firmy. Właściciel domeny nie jest publicznie znany, a obecnie została ona zablokowana przez CERT Polska, ze statusem „trwa postępowanie wyjaśniające”.

O ile domena z samego adresu robi wrażenie uczciwej, na reklamie widać co najmniej dwie czerwone flagi:

• przede wszystkim nadawcę reklamy – konto wietnamskiej modelki(?) prezentujące kierowane do polskich internautów reklamy finansowe powinno zwrócić uwagę odbiorcy
• sugestia kontaktu przez WhatsApp – banki i/lub instytucje finansowe nie używają tej formy kontaktu

W kolejnym kroku jesteśmy proszeni o podanie danych teleadresowych:

Poza imieniem, nazwiskiem, numerem telefonu i adresem e-mail, pojawia się też kolejna pozycja – monit o PESEL. Już same te dane mogą przydać się przestępcom, bądź być polem wyjścia do kolejnych ataków. Klucz tkwi jednak w ostatniej pozycji widocznej na powyższym zrzucie ekranu.

Zaloguj się do swojego banku

Warunkiem przejścia do dalszego przetwarzania rzekomego wniosku jest bowiem wybór banku, z którego korzystamy:

Gdy wybierzemy bank, w kolejnym kroku czeka nas konieczność zalogowania się do niego. Czy raczej „zalogowania”, bowiem mamy oczywiście do czynienia z przygotowywanymi przez przestępców nakładkami, przypominającymi bliźniaczo faktycznie strony banków.

Przekazując te dane oszustom tracimy – jak zwykle w tego typu atakach – dostęp do naszego konta bankowego. Co więcej – skoro uwierzyliśmy, że fałszywa lokata jest prawdziwa już na początku oszustwa, bardzo prawdopodobne, że przestępcy zdołają nas przekonać na więcej. Czyli do wpisania potwierdzających transakcje/dodanie zaufanego odbiorcy kodów SMS, hasła, czy potwierdzenia monitu w aplikacji bankowej. W takiej sytuacji zazwyczaj wystarczy kilka minut, by pieniądze zniknęły z konta.

Fałszywa lokata – jak nie dać się oszukać?

• Reklama na Facebooku? Sprawdź, jakie konto ją prezentuje.
• Kontakt z firmą przez WhatsApp? Najlepiej wystrzegać się nieoficjalnych kanałów komunikacji. Gdy idzie o pieniądze trzeba być bardzo ostrożnym. Polecamy oficjalną stronę banku lub po prostu zadzwonienie na infolinię.
• Login i hasło do banku wpisuj wyłącznie na stronie banku! Upewnij się jaką operacją potwierdzasz.

The post Nowe oszustwo – fałszywa lokata appeared first on CERT Orange.

W trwającej kampanii zaobserwowaliśmy wiadomości SMS, przychodzące z nadpisów:

• Mastercard
• Mastercard.

Nie należy traktować tej listy jako zamkniętej, ale można założyć, że również treścią nadpisu przestępcy będą chcieli jak najlepiej upodobnić się do marki. Treść wiadomości sugeruje, że czeka na nas nagroda.

Prawie jak Bezcenne Chwile

Ale prawie robi wielką różnicę. Link z powyższej wiadomości SMS rozwija się na docelową domenę bezcerchwile[.]icu. Z jednej strony – na pierwszy rzut oka wygląda podejrzanie. Z drugiej jednak – jeśli otworzymy linka w telefonie, mały druk i podobieństwo do zwrotu „bezcenne chwile” mogą zmylić potencjalną ofiarę.

W pierwszym kroku jesteśmy proszeni o podanie numeru telefonu. Ponoć po to, by sprawdzić dostępne punkty. Tymczasem ta informacja potrzebna jest oszustom niemal na pewno po to, by w przypadku wpisania prawidłowego numeru karty – wysłać SMS-a z kodem 3D Secure. W kolejnym kroku będą chcieli przekonać ofiarę, by wpisała go na stronie i ostatecznie zatwierdziła transakcję.

Po wpisaniu losowego numeru okazuje się, że mamy do wykorzystania całkiem dużo punktów! Jest tylko jeden problem – wygasną za 24 godziny! Czemu tak szybko? To socjotechniczna sztuczka, która ma nas przekonać do szybkich działań. Zanim wygasną punkty Bezcenne Chwile? Nie – zanim się zorientujemy, że mamy do czynienia z przekrętem.

Co możemy zrobić z naszymi punktami? Czy te przeszło 13 tys. to dużo? O tym dowiadujemy się w kolejnym kroku:

Pieniądze na Ciebie (nie) czekają

Ponad 1000 złotych! Trzeba przyznać, że propozycja wydaje się być mocno kusząca. Tak mocno, że możemy się nie zorientować, że zwrot „Zobacz Dostępne Produkty” po pierwsze ma się nijak do zwrotu cashbacku, po drugie zaś – po kliknięciu nie ma wyboru żadnych produktów.

Co więcej – dowiadujemy się, że z cashbacku w ramach programu Bezcenne Chwile mogą korzystać tylko posiadacze kart kredytowych. Dlaczego przestępcy to zaznaczyli? Ponieważ kartę debetową można okraść tylko do wysokości bilansu konta, zaś kredytowe zazwyczaj mają dużo większe limity!

Na koniec pozostaje już tylko wpisać dane karty, w myślach zastanawiając się na co wydamy nieoczekiwane pieniądze:

Po co podać dane karty skoro nie mam niczego płacić, a jedynie otrzymać na nią pieniądze? Tu oszuści wykorzystali sprytną socjotechniczną sztuczkę. Sugerują, iż pobranie w wysokości 1 PLN jest niezbędne, by zagwarantować bezpieczeństwo naszego cashbacku. My przelejemy złotówkę, a oni od razu nam ją oddadzą, dodając też kwotę cashbacku. Tylko, że… nie.

Niestety w tym momencie analiza musiała się skończyć, ponieważ używaliśmy testowego numeru karty. Informacja zwrotna o braku kwalifikacji do programu Bezcenne Chwile została wygenerowana przez system oszustów w sytuacji, gdy testowa karta nie została zweryfikowana jako możliwa do okradnięcia.

Co robić, by nie dać się oszukać?

W opisywanym przypadku trzeba zaznaczyć dwie „czerwone flagi”, które natychmiast powinny sprawić, że potencjalna ofiara zorientuje się, iż jest oszukiwana:

• skrócony link w SMS-ie
• strona docelowa nieudolnie udająca loterię, w domenie innej niż .pl

Choć firmy coraz częściej od tego odchodzą, wciąż zdarzają się wiadomości SMS z linkami. Jeśli taka trafi do Ciebie, upewnij się, czy strona docelowa faktycznie jest tą oczekiwaną. Link jest ze skrótowcem – załóż, że to oszustwo. A nawet, gdy wygląda na prawdziwy – kliknij i zobacz, czy docelowy wygląda tak samo (przestępca może zakodować w linku treść inną niż widoczna).

Dobrym pomysłem wydaje się być zasada ograniczonego zaufania w kwestii domeny. Strona kończy się inaczej niż na .pl i .com – załóż, że jest fałszywa. Domeny .pl i .com też nie wykluczają oszustwa, jednak inne czynią je znacznie bardziej prawdopodobnym.

Orange Polska bierze udział w finansowanym przez Unię Europejską projekcie ThreatChase (ThreatChase – Open Platform for Protection against Phishing). Celem projektu jest stworzenie i wprowadzenie platformy wspomagającej strukturyzację danych w zakresie phishingowych adresów i domen oraz proaktywnie zapobiegającej skutkom ataków phishingowych. Obserwuj ThreatChase na LinkedIn.

The post Podszywają się pod Bezcenne Chwile Mastercard i czyszczą Twoją kartę appeared first on CERT Orange.

W przypadku analizowanej przez nas serii wiadomości nadawcą był numer +4522761322. +45 to kod Danii, zaś składnia wskazuje na numer komórkowy. Warto zaznaczyć, że ten kraj jako nadawca występuje rzadko w phishingowych SMS-ach.

Obowiązkowa aktualizacja bezpieczeństwa Twojego konta Blik Drogi Użytkowniku, W ramach obowiązkowej aktualizacji bezpieczeństwa musimy zgodnie z ustawą §37, ust. 2 potwierdzić dane Twojego konta. Uprzejmie prosimy o potwierdzenie danych najpóźniej do 20 listopada na hxxps://blik-pl[.]info/?=765756, aby zapewnić dalszy dostęp do Blik. Dziękujemy, Zespół Blik

Treść otwarcie wskazuje, że mamy do czynienia z próbą oszustwa. Mamy socjotechniczną sztuczkę z „bezpieczeństwem”. Jest powołanie się na enigmatyczną „ustawę” (bez nazwy) i domena blik-pl[.]info, którą nieświadomy internautą może wziąć za blik[.]pl. Co ciekawe, oficjalną domeną Polskiego Standardu Płatności jest blik.com.

W kolejnych krokach trafiamy na stronę sugerującą konieczność aktualizacji bezpieczeństwa:

jesteśmy proszeni o wybór banku

zalogowanie się do niego

by ostatecznie – o czym oczywiście nikt oficjalnie nie pisze – przekazać login i hasło oszustom.

A co gdyby potrzebne były jeszcze kody SMS (np. do potwierdzenia przelewu, czy dodania zaufanego odbiorcy)? Wtedy oszust będzie kontynuować atak, usiłując przekonać Cię pod wymyślonym pozorem do wpisania kodu.

Co zrobić, gdy jednak zdarzyło Ci się podać na fałszywej stronie dane logowania? Zaloguj się natychmiast na swoje konto, zmień hasło i skontaktuj się z bankiem. Tam dowiesz się jakie dalsze działania zabezpieczające musisz podjąć.

Pamiętaj! Jeśli jakakolwiek instytucja wysyła Ci informacje o aktualizacjach bezpieczeństwa, czy inne treści wywołujące duże emocje: wejdź na jej stronę i poszukaj informacji na ten temat, lub zadzwoń do jej działu obsługi klienta. Upewnij się też, czy adres w linku jest faktycznym adresem rzekomego nadawcy. W przypadku otrzymania takiej wiadomości z pewnością pomogą Ci także pracownicy infolinii Twojego banku.

Orange Polska bierze udział w finansowanym przez Unię Europejską projekcie ThreatChase (ThreatChase – Open Platform for Protection against Phishing). Celem projektu jest stworzenie i wprowadzenie platformy wspomagającej strukturyzację danych w zakresie phishingowych adresów i domen oraz proaktywnie zapobiegającej skutkom ataków phishingowych. Obserwuj ThreatChase na LinkedIn.

The post Fałszywa aktualizacja BLIK appeared first on CERT Orange.