W trwającej kampanii zaobserwowaliśmy wiadomości SMS, przychodzące z nadpisów:

• Mastercard
• Mastercard.

Nie należy traktować tej listy jako zamkniętej, ale można założyć, że również treścią nadpisu przestępcy będą chcieli jak najlepiej upodobnić się do marki. Treść wiadomości sugeruje, że czeka na nas nagroda.

Prawie jak Bezcenne Chwile

Ale prawie robi wielką różnicę. Link z powyższej wiadomości SMS rozwija się na docelową domenę bezcerchwile[.]icu. Z jednej strony – na pierwszy rzut oka wygląda podejrzanie. Z drugiej jednak – jeśli otworzymy linka w telefonie, mały druk i podobieństwo do zwrotu „bezcenne chwile” mogą zmylić potencjalną ofiarę.

W pierwszym kroku jesteśmy proszeni o podanie numeru telefonu. Ponoć po to, by sprawdzić dostępne punkty. Tymczasem ta informacja potrzebna jest oszustom niemal na pewno po to, by w przypadku wpisania prawidłowego numeru karty – wysłać SMS-a z kodem 3D Secure. W kolejnym kroku będą chcieli przekonać ofiarę, by wpisała go na stronie i ostatecznie zatwierdziła transakcję.

Po wpisaniu losowego numeru okazuje się, że mamy do wykorzystania całkiem dużo punktów! Jest tylko jeden problem – wygasną za 24 godziny! Czemu tak szybko? To socjotechniczna sztuczka, która ma nas przekonać do szybkich działań. Zanim wygasną punkty Bezcenne Chwile? Nie – zanim się zorientujemy, że mamy do czynienia z przekrętem.

Co możemy zrobić z naszymi punktami? Czy te przeszło 13 tys. to dużo? O tym dowiadujemy się w kolejnym kroku:

Pieniądze na Ciebie (nie) czekają

Ponad 1000 złotych! Trzeba przyznać, że propozycja wydaje się być mocno kusząca. Tak mocno, że możemy się nie zorientować, że zwrot „Zobacz Dostępne Produkty” po pierwsze ma się nijak do zwrotu cashbacku, po drugie zaś – po kliknięciu nie ma wyboru żadnych produktów.

Co więcej – dowiadujemy się, że z cashbacku w ramach programu Bezcenne Chwile mogą korzystać tylko posiadacze kart kredytowych. Dlaczego przestępcy to zaznaczyli? Ponieważ kartę debetową można okraść tylko do wysokości bilansu konta, zaś kredytowe zazwyczaj mają dużo większe limity!

Na koniec pozostaje już tylko wpisać dane karty, w myślach zastanawiając się na co wydamy nieoczekiwane pieniądze:

Po co podać dane karty skoro nie mam niczego płacić, a jedynie otrzymać na nią pieniądze? Tu oszuści wykorzystali sprytną socjotechniczną sztuczkę. Sugerują, iż pobranie w wysokości 1 PLN jest niezbędne, by zagwarantować bezpieczeństwo naszego cashbacku. My przelejemy złotówkę, a oni od razu nam ją oddadzą, dodając też kwotę cashbacku. Tylko, że… nie.

Niestety w tym momencie analiza musiała się skończyć, ponieważ używaliśmy testowego numeru karty. Informacja zwrotna o braku kwalifikacji do programu Bezcenne Chwile została wygenerowana przez system oszustów w sytuacji, gdy testowa karta nie została zweryfikowana jako możliwa do okradnięcia.

Co robić, by nie dać się oszukać?

W opisywanym przypadku trzeba zaznaczyć dwie „czerwone flagi”, które natychmiast powinny sprawić, że potencjalna ofiara zorientuje się, iż jest oszukiwana:

• skrócony link w SMS-ie
• strona docelowa nieudolnie udająca loterię, w domenie innej niż .pl

Choć firmy coraz częściej od tego odchodzą, wciąż zdarzają się wiadomości SMS z linkami. Jeśli taka trafi do Ciebie, upewnij się, czy strona docelowa faktycznie jest tą oczekiwaną. Link jest ze skrótowcem – załóż, że to oszustwo. A nawet, gdy wygląda na prawdziwy – kliknij i zobacz, czy docelowy wygląda tak samo (przestępca może zakodować w linku treść inną niż widoczna).

Dobrym pomysłem wydaje się być zasada ograniczonego zaufania w kwestii domeny. Strona kończy się inaczej niż na .pl i .com – załóż, że jest fałszywa. Domeny .pl i .com też nie wykluczają oszustwa, jednak inne czynią je znacznie bardziej prawdopodobnym.

The post Podszywają się pod Bezcenne Chwile Mastercard i czyszczą Twoją kartę appeared first on CERT Orange.

W przypadku analizowanej przez nas serii wiadomości nadawcą był numer +4522761322. +45 to kod Danii, zaś składnia wskazuje na numer komórkowy. Warto zaznaczyć, że ten kraj jako nadawca występuje rzadko w phishingowych SMS-ach.

Obowiązkowa aktualizacja bezpieczeństwa Twojego konta Blik Drogi Użytkowniku, W ramach obowiązkowej aktualizacji bezpieczeństwa musimy zgodnie z ustawą §37, ust. 2 potwierdzić dane Twojego konta. Uprzejmie prosimy o potwierdzenie danych najpóźniej do 20 listopada na hxxps://blik-pl[.]info/?=765756, aby zapewnić dalszy dostęp do Blik. Dziękujemy, Zespół Blik

Treść otwarcie wskazuje, że mamy do czynienia z próbą oszustwa. Mamy socjotechniczną sztuczkę z „bezpieczeństwem”. Jest powołanie się na enigmatyczną „ustawę” (bez nazwy) i domena blik-pl[.]info, którą nieświadomy internautą może wziąć za blik[.]pl. Co ciekawe, oficjalną domeną Polskiego Standardu Płatności jest blik.com.

W kolejnych krokach trafiamy na stronę sugerującą konieczność aktualizacji bezpieczeństwa:

jesteśmy proszeni o wybór banku

zalogowanie się do niego

by ostatecznie – o czym oczywiście nikt oficjalnie nie pisze – przekazać login i hasło oszustom.

A co gdyby potrzebne były jeszcze kody SMS (np. do potwierdzenia przelewu, czy dodania zaufanego odbiorcy)? Wtedy oszust będzie kontynuować atak, usiłując przekonać Cię pod wymyślonym pozorem do wpisania kodu.

Co zrobić, gdy jednak zdarzyło Ci się podać na fałszywej stronie dane logowania? Zaloguj się natychmiast na swoje konto, zmień hasło i skontaktuj się z bankiem. Tam dowiesz się jakie dalsze działania zabezpieczające musisz podjąć.

Pamiętaj! Jeśli jakakolwiek instytucja wysyła Ci informacje o aktualizacjach bezpieczeństwa, czy inne treści wywołujące duże emocje: wejdź na jej stronę i poszukaj informacji na ten temat, lub zadzwoń do jej działu obsługi klienta. Upewnij się też, czy adres w linku jest faktycznym adresem rzekomego nadawcy. W przypadku otrzymania takiej wiadomości z pewnością pomogą Ci także pracownicy infolinii Twojego banku.

The post Fałszywa aktualizacja BLIK appeared first on CERT Orange.

Sytuacją podzieliła się z nami jednak z internautek, którą zaniepokoiła seria SMS-ów od operatora. W wątku oznaczonym nadpisem swojego dostawcy usług zobaczyła informację o pobranej opłacie.

Zapytana o szczegóły sprecyzowała, że wcześniej odwiedziła stronę, na której można sprawdzić reputację numeru telefonu. Chciała sprawdzić, czy nękający ją rozmówca naprzykrzał się również innym. Po wejściu na witrynę pojawiło się wyskakujące okno. Ale skąd PIN?

Emocje biorą górę

Monit dotyczący PIN-u i jeden z cytowanych powyżej SMS-ów pojawiły się zaraz po sobie. Dlaczego internautka wpisała kod, skoro treść wiadomość wyraźnie wskazywała, że ma on potwierdzić subskrypcje niechcianych usług? Łatwo ocenić zza biurka, tymczasem odpowiada za to mechanizm tunelowania poznawczego. Chodzi o sytuację, gdy pod presją wpływem stresu i/lub pośpiechu nasze postrzeganie sytuacji zawęża się, przez co możemy nie dostrzec rzeczy, które w innej sytuacji byłyby dla nas oczywiste.

Dlatego jeśli przeżywamy silne emocje (np. po raz kolejny dzwoni do nas ktoś z „banku”, bądź z „fantastyczną ofertą”), możemy zrobić coś odruchowo. Co jednak robić potem? Jak zminimalizować ryzyko i/lub koszty? Przede wszystkim tym razem powstrzymać nerwy.

Subskrypcje niechcianych usług – jak to usunąć?

To nie jest taka sytuacja, jak w przypadku kradzieży loginu i hasła do banku. Wtedy trzeba reagować natychmiast. W opisywanym przypadku będzie nas to kosztować co najwyżej jednego SMS-a. Co zatem robić? Być może zwróciliście uwagę, że odpowiedź widać na wcześniejszym zrzucie ekranu. „Rezygnacja STOP na nr 80xxxx (0 zł)”.

Emocje naszej internautki były jednak na tak wysokim poziomie, że odruchowo zinterpretowała sugestię wysłania wiadomości na tzw. numer specjalny jako kolejny element… oszustwa. Faktycznie, SMS-y na takie numery mogą kosztować nawet ponad 40 PLN za jeden. W dzisiejszych realiach pierwsze co w takiej sytuacji zrobi wielu internautów to zapytanie sztucznej inteligencji. A tymczasem AI… ostrzega przed ryzykiem wiadomości tekstowej na podany numer.

Dlatego trzeba odsunąć od siebie emocje. A następnie poszukać samemu w internecie – najlepiej na stronach swojego dostawcy – czy podany numer wyłącza subskrypcje niechcianych usług, nie pobierając za to żadnej opłaty. A po potwierdzeniu – tym razem my upewniliśmy bohaterkę tekstu – wysłać SMS-a, I zapomnieć o sprawie.

Skąd to się bierze

Uprzedzając pytanie – nie, nie od operatora. To prawda, że SMS z PIN-em przychodzi właśnie od niego, operator jest w tym przypadku dostawcą usługi płatności (w naszym przypadku nazywa się ona „Płać z Orange”). Wiadomości widoczne na zrzucie ekranu to po prostu elementy procesu.

Skąd zatem subskrypcje niechcianych usług? Od działających nieetycznie dostawców/brokerów płatnych usług. W opisywanym przypadku nie mowy o rzetelnej reklamie. Tu mamy do czynienia z wyskakującą na popularnej stronie reklamą i oszustem liczącym na to, że klient nie zwróci na to uwagi. A kolejne 14,99 zł wpadnie do kieszeni oszusta.

Mogę Was zapewnić, że każdy operator dba o swoje dobre imię i nie chce być kojarzony z tego typu nadużyciami. Jeśli zdarzy się Wam takie podstępne naciągnięcie na subskrypcję – piszcie do niego. I warto wbić sobie w głowę, że klikanie czegokolwiek/gdziekolwiek, by tylko zamknąć wyskakujące okienko, jest złym pomysłem. Bardzo złym. I potencjalnie kosztownym.

Nie dajcie się oszukać.

The post Skąd biorą się subskrypcje niechcianych usług appeared first on CERT Orange.

Za informację o kampanii dziękujemy internaucie Panu Ryszardowi, który przesłał do nas maila, którego dostał od oszustów. Ty też możesz to zrobić! Nasz adres, cert.opl@orange.com, jest do Waszej dyspozycji – przesłanie maila to kilka sekund, a możesz ustrzec wielu internautów przed padnięciem ofiarą oszustwa!

Wyjątkowa szansa na sprzęt wart przeszło 800 złotych? Nie musisz nawet regularnie majsterkować w domu, żeby zaświeciły Ci się oczy na taki gadżet. A jeśli zaświecą się tak bardzo, że nie zauważysz, iż domena nadawcy (getgrant[.]info) i Castorama nie mają ze sobą nic wspólnego – pewnie klikniesz w „Rozpocznij ankietę”…

Jest „promocja” – musi być ankieta

Klikając przechodzimy na stronę hxxps://brightvibe[.]biz – nie wygląda jak Castorama, prawda? Sama ankieta to klasyk, znany i używany od lat w tym schemacie oszustwa. Po co w ogóle oszuści ją umieszczają? Żeby uwiarygodnić scam, by ofiara nie czuła, że jest ordynarnie okradana. By miała wrażenie, że wymarzony prezent to podziękowanie ze strony firmy za wypełnienie ankiety.

To tylko jedno z siedmiu pytań, jednak publikowanie wszystkich jest bezcelowe. To pytania generyczne, w żaden sposób nie pomocne z punktu widzenia analiz marketingowych. Można je traktować jako wypełniacze czasu przed finalnym atakiem.

To za co ta płatność? To nie Castorama?

8,80 zamiast 880 PLN? Brzmi dobrze, ale trzeba się spieszyć, bo w magazynie zostało 7, a oprócz nas jeszcze 22 osoby oglądają tę stronę! To oczywiście socjotechniczna sztuczka, mająca sprawić, że klikniemy w płatność bez zastanawiania się, co tak naprawdę robimy.

Strona do podania danych wygląda jak setki tysięcy innych w sieci. Jedna uwaga – być może zauważyliście. Wcześniej miało być 8,8 PLN, tymczasem nagle robi się 8 złotych. A to nie koniec zmian:

Bo na końcu mamy 9 PLN. To kwota ostateczna, bo przed nami już tylko okno do wpisania danych karty. Ale! To w końcu Castorama, czy „Get2BeActive”? Co więcej – płacimy 9 złotych, czy… deklarujemy, że za 3 dni (i potem co 2 tygodnie) będziemy płacić… 69,23 EURO (czyli niemal 300 złotych)?

Get2BeActive to sklep sportowy, zarejestrowany na Cyprze. Rzut oka na informacje na stronie wskazuje, iż możemy mieć do czynienia z faktycznie działającym sklepem. Nawet jeśli tak – taki sposób „budowy bazy subskrybentów programu lojalnościowego jest nieuczciwy. No i – niezależnie od opisywanego oszustwa – warto pamiętać, by w takich miejscach zachować ostrożność przy podawaniu danych karty płatniczej.

W tym przypadku jednak założeniem nie jest kradzież danych karty (choć tego nie wykluczamy). W tym przypadku chodzi o podstępne nakłonienie ofiary do subskrypcji niepotrzebnej, wysokopłatnej usługi. Widząc oczyma duszy przesyłkę z wkrętarką nie patrzymy ani na adres strony, ani – tym bardziej – nie szukamy drobnego druku, czy ktoś aby nie chce nas oszukać.

Jak nie dać się oszukać?

• Nie ufaj nieoczekiwanym mailom
• Podchodź z dużym dystansem do „super-promocji”
• Zawsze sprawdzaj adres strony, jeśli wpisujesz na niej dane swojej karty
• Upewnij się, za co płacisz

The post To nie Castorama – ten „prezent” może okazać się wyjątkowo kosztowny appeared first on CERT Orange.

Mniejsi przedsiębiorcy często nie mają dedykowanego działu IT, nie inwestują w drogie zabezpieczenia. Przy tym często przechowują dane równie cenne jak duże firmy: dane klientów, finansowe, faktury, umowy, loginy do systemów, hasła. To wystarczająca zachęta dla cyberprzestępców.

Dobra wiadomość jest taka, że nie trzeba wydawać fortuny, by znacząco poprawić bezpieczeństwo swojej firmy. W większości przypadków wystarczy kilka rozsądnych kroków, które można wdrożyć w ciągu kilku dni.

1. Silne hasła i uwierzytelnianie dwuskładnikowe

Większość włamań do systemów firmowych zaczyna się w banalny sposób – od słabego hasła. Hasła typu „admin123”, „firma2024” czy imię dziecka to prosta droga do katastrofy. Warto więc ustalić w firmie jasną zasadę: hasła muszą być długie, unikalne i trudne do odgadnięcia. Niech mają przynajmniej 15 znaków i zawierają cyfry, litery oraz symbole.

Co ważne – każde konto powinno mieć inne hasło. Ze szczególnym naciskiem na konta techniczne, które mogą służyć jedynie do konkretnych celów. Jeszcze lepszym rozwiązaniem jest włączenie uwierzytelniania dwuskładnikowego (2FA). To dodatkowy etap logowania – np. wpisanie kodu SMS lub potwierdzenie logowania w aplikacji. Dzięki temu nawet jeśli ktoś pozna Twoje hasło, nie zaloguje się bez drugiego potwierdzenia.

W praktyce taki drobny krok potrafi zablokować nawet 90% prób nieautoryzowanego dostępu. Jeśli chcesz wiedzieć więcej jakich haseł powinno się wystrzegać – piszemy o tym szerzej w artykule o hasłach. W skrócie: silne hasła + 2FA = prosty sposób na solidną ochronę.

2. Kopie zapasowe – czyli ratunek, gdy coś już pójdzie nie tak

Wyobraź sobie, że pewnego dnia otwierasz komputer czy serwer i zamiast plików widzisz tylko komunikat:

Twoje dane zostały zaszyfrowane. Aby je odzyskać, zapłać okup.

To scenariusz, który każdego dnia przytrafia się setkom małych firm na świecie. Część z nich nigdy już nie odzyskuje danych.

Najlepszym „zabezpieczeniem” przed takim scenariuszem jest regularne wykonywanie kopii zapasowych – czyli tzw. backupu. Nie chodzi o skomplikowane rozwiązania, ale nawet o prostą rutynę: dane firmowe powinny być przechowywane w więcej niż jednym miejscu. Mowa o „zabezpieczeniu” w momencie, gdy już zostaliśmy zaatakowani. Często jest to jedyna możliwość na zachowanie ciągłości pracy naszej firmy, czy też jej wznowieniu. 

Backup to nie tylko ochrona przed cyberzagrożeniami. To również zabezpieczenie na wypadek awarii sprzętu, katastrof żywiołowych, czy zwykłej pomyłki pracownika. No i warto raz na jakiś czas zweryfikować, czy kopie faktycznie działają. Samo ich posiadanie nie wystarczy, jeśli okaże się, że nie można ich przywrócić. Zalecamy regularne testowanie kopii zapasowych. 

3. Uważaj na wiadomości e-mail

Phishing, czyli próby wyłudzenia danych za pomocą wiadomości e-mail, to dziś najpopularniejsza metoda ataku. Nie tylko na mniejsze firmy. Z pozoru wszystko wygląda zwyczajnie: przychodzi faktura, prośba o ofertę, wezwanie do zapłaty albo wiadomość od banku. Czasem nawet logo i podpis wyglądają profesjonalnie. Dopiero po kliknięciu w link lub załącznik okazuje się, że to pułapka.

Dlatego warto wyrobić w sobie i w zespole nawyk ostrożności. Zanim otworzysz załącznik, czy klikniesz link, zatrzymaj się na chwilę. Sprawdź nadawcę oraz treść wiadomości. Czy adres e-mail wygląda wiarygodnie? Treść nie brzmi nazbyt pilnie („natychmiast zapłać”, „konto zostanie zablokowane”)? Czy są w wiadomości używane polskie znaki? No i co najważniejsze – czy znasz ten adres mailowy? Czy domena wiadomości mailowej wygląda prawdziwie? 

W razie wątpliwości – lepiej zapytać niż kliknąć. W małej firmie dobrze działa zasada: jeśli coś wygląda podejrzanie, skonsultuj to z kolegą. Dwie pary oczu potrafią wychwycić coś, co jedna osoba mogłaby przeoczyć. W skrócie: żadnego pośpiechu i żadnych kliknięć „na automacie”.

4. Korzystaj z sieci Orange Polska lub naszych DNS

Nie jest potrzebny Poradnik Cyberbezpieczeństwa, by stwierdzić co jest jednym z najprostszych sposobów, by zwiększyć bezpieczeństwo w Twojej firmie. Wystarczy korzystać z internetu w sieci Orange Polska lub ustawić nasze serwery DNS w swoim routerze. Dzięki temu Twoje urządzenia są automatycznie chronione przez CyberTarczę Orange. Funkcjonalność sieci dostępną dla wszystkich, działającą w tle i zatrzymującą zagrożenia zanim zdążą wyrządzić szkody.

CyberTarcza Orange to rozwiązanie, które sprawdza, z jakim adresem próbują połączyć się Twoje urządzenia. Jeśli ktoś z Twojego zespołu przypadkiem kliknie w złośliwy link albo otworzy fałszywą stronę, CyberTarcza potrafi ją zablokować, zanim cokolwiek zostanie pobrane. Dzięki temu użytkownik nie trafi na stronę z wirusem czy phishingową, a dane firmy nie zostaną wykradzione.

W praktyce to działa tak: gdy internet w Twojej firmie dostarcza Orange Polska, Twoje zapytania o adresy stron internetowych przechodzą przez serwery DNS Orange. Tam automatycznie sprawdzana jest reputacja stron. Jeśli domena jest powiązana z phishingiem, malware czy próbą oszustwa – połączenie zostanie zatrzymane. To darmowa, dostępna dla wszystkich klientów Orange Polska funkcjonalność naszej sieci.

Dla małej firmy to duża korzyść – nie trzeba instalować żadnych dodatkowych programów, ochrona działa od razu. Na wszystkich urządzeniach podłączonych w sieci. Co równie ważne, system jest stale aktualizowany i zarządzany przez ekspertów z CERT Orange Polska. To drobna zmiana, która może uratować Twoją firmę przed poważnymi kłopotami. Darmowa – tak jak nasz Poradnik Cyberbezpieczeństwa.

5. Edukuj zespół – nawet przez 15 minut w miesiącu

Żadne hasła, firewalle czy programy antywirusowe nie zastąpią zdrowego rozsądku. Najczęstszą przyczyną incydentów bezpieczeństwa nie jest technologia, lecz człowiek. Bardzo często zdarzają się błędy ludzkie – ktoś przypadkiem kliknął w link, zainstalował nieznany program albo przekazał dane logowania „pomocnikowi z działu IT”, który okazał się oszustem. Dlatego jedną z najważniejszych inwestycji w cyberbezpieczeństwo w mikroprzedsiębiorstwach jest edukacja pracowników.

Nie chodzi o długie szkolenia – wystarczy krótkie spotkanie raz na kilka miesięcy, na którym przypomnisz podstawowe zasady – jak rozpoznawać podejrzane wiadomości, jak tworzyć hasła, co robić w razie awarii. Można też raz w roku przeprowadzić symulację phishingu – dla wielu osób to najlepsza lekcja, a dla nas możliwość sprawdzenia zachowania pracowników w kontrolowanych warunkach zagrożenia.

W skrócie: technologia to połowa sukcesu. Druga połowa to świadomość zespołu. Jeśli chcesz rozwijać tę świadomość i być na bieżąco z najnowszymi zagrożeniami, odwiedzaj regularnie stronę CERT Orange Polska. Znajdziesz u nas aktualne ostrzeżenia, porady i praktyczne wskazówki, które pomogą Ci skutecznie chronić firmę w cyfrowym świecie.

Poradnik Cyberbezpieczeństwa – podsumowanie

Cyberbezpieczeństwo w małej firmie nie wymaga wielkiego budżetu ani specjalistycznej wiedzy. Wymaga za to konsekwencji i dobrych nawyków. Wystarczy kilka prostych działań – mocne hasła, kopie zapasowe, ostrożność przy mailach, kontrola dostępu w chmurze i regularna edukacja zespołu – by znacząco zmniejszyć ryzyko ataku.

Warto też korzystać z dostępnych, bezpłatnych narzędzi, które pomagają wykrywać potencjalne zagrożenia. Warto sprawdzić Hasło Alert – darmową usługę CERT Orange Polska, dzięki której możesz szybko sprawdzić, czy Twoje hasła nie wyciekły do sieci. To prosty sposób, by zyskać pewność, że Twoje konta pozostają bezpieczne.

Bezpieczeństwo nie jest stanem, który osiąga się raz na zawsze. Nasz Poradnik Cyberbezpieczeństwa to pierwszy krok. Bezpieczeństwo w sieci to proces, który wymaga uwagi, aktualizacji i odrobiny zdrowego rozsądku. Ale kiedy stanie się częścią codzienności, przestaje być ciężarem — a zaczyna być po prostu dobrą praktyką w prowadzeniu nowoczesnej firmy.

The post Poradnik Cyberbezpieczeństwa w małej firmie – 5 prostych kroków, które naprawdę działają appeared first on CERT Orange.

Wiadomość wygląda profesjonalnie, ton jest rzeczowy, a sytuacja – pilna. Klikasz w załączony plik PDF i postępujesz zgodnie z instrukcjami. W ten sposób nieświadomie przekazujesz cyberprzestępcom dane logowania do swojego banku. To nie fikcja. To rzeczywisty przypadek, zgłoszony do naszego zespołu przez jednego z użytkowników, który na szczęście w porę zorientował się, że coś jest nie tak. Pokazujemy krok po kroku, jak działa ten mechanizm, dlaczego jest taki skuteczny i jak można się przed nim obronić.

Pierwszy kontakt z „Otomoto”

Wszystko zaczyna się w momencie, gdy wystawiasz ogłoszenie na Otomoto. Zaledwie kilkanaście minut później w Twojej skrzynce na portalu pojawia się wiadomość prywatna od użytkownika o nazwie „Otomoto  Security Team” (nazwa nie jest elementem stałym, oszust może przybrać również inny nick). Sama nazwa ma budzić zaufanie – wygląda oficjalnie, a wielu użytkowników może nie zauważyć czegoś podejrzanego. 

Wiadomość brzmi bardzo przekonywująco (pisownia oryginalna):

Szanowny Użykowniku,
System bezpieczeństwa Otomoto
wykrył nietypową aktywność związaną z Twoim kontem.
W celu ochrony danych dostep do konta może zostać tymczasowo ograniczony.

Aby potwierdzić tożsamość i przywrócić pełny dostęp, otwórz załączony plik PDF i postępuj zgodnie z instrukcjami.

Dziękujemy za zrozumienie.

Z poważaniem,
Zespół Bezpieczeństwa Otomoto

Na pierwszy rzut oka – komunikat jakich wiele. Brzmi technicznie, zawiera ostrzeżenie o ograniczeniu konta i odwołuje się do bezpieczeństwa. Jest prawdopodobne, że ofiara potraktuje go poważnie. Załączony plik PDF wydaje się być elementem „oficjalnej procedury”. W rzeczywistości to pierwszy krok w przemyślanej kampanii phishingowej.

Fałszywy PDF – pozory profesjonalizmu

Otwierając dokument użytkownik widzi starannie przygotowaną grafikę. Nagłówek z logotypem Otomoto, sekcja z instrukcjami oraz duży, niebieski przycisk „Przejdź do weryfikacji”. Tekst utrzymany jest w formalnym tonie:

Wymagane potwierdzenie tożsamości

Szanowny użytkowniku,

Aby kontynuować korzystanie z naszych usług, musisz potwierdzić
swoją tożsamość. Jest to ważne dla zapewnienia bezpieczeństwa
Twojego konta.

Jak przejść weryfikację:
Kliknij przycisk „Przejdź do weryfikacji” poniżej. Postępuj zgodnie z
instrukcjami na wyświetlonej stronie. Zakończ proces weryfikacji w
ciągu 12 godzin, aby uniknąć ograniczeń dostępu do konta.

Ważne:
Jeśli nie zakończysz weryfikacji w wyznaczonym czasie, dostęp do konta
zostanie całkowicie zablokowany.

Kliknij przycisk poniżej, aby kontynuować proces:

Przejdź do weryfikacji

To moment w którym zaczyna się manipulacja. Użytkownikowi sugeruje się, że sytuacja jest pilna, a brak reakcji doprowadzi do utraty dostępu do konta. Tego rodzaju presja czasu to klasyczna technika socjotechniczna – działa na emocje, mogąc wyłączyć racjonalne myślenie. Kliknięcie przycisku prowadzi na stronę wyglądającą niemal identycznie jak prawdziwa witryna Otomoto.

Fałszywa strona – 1:1 kopia oryginału

Wystarczy spojrzeć na adres w pasku przeglądarki, by nabrać wątpliwości. Domena na którą jesteśmy przekierowani, wygląda bardziej jak losowy ciąg znaków i nie przypomina niczego związanego z marką Otomoto. To powinna być ostateczna czerwona flaga. Na stronie widnieje komunikat o „konieczności potwierdzenia tożsamości” oraz formularz logowania.

Ku zaskoczeniu użytkownika, zamiast danych do Otomoto, strona prosi o… zalogowanie się do banku. Z punktu widzenia laika wygląda to logicznie – przecież bankowość to potwierdzenie tożsamości, prawda? Nie. To oszustwo. Mamy do czynienia z mechanizmem kradzieży danych bankowych w czasie rzeczywistym.

Jak działa oszustwo na Otomoto „na żywo”

Po wpisaniu loginu i hasła do bankowości elektronicznej, strona wyświetla komunikat o „trwającej weryfikacji”. Jesteśmy informowani, że proces „przetwarzania transakcji” trwa do pięciu minut. W tym czasie cyberprzestępca – działający „z drugiej strony komputera” – natychmiast używa wpisanych danych, próbując zalogować się do prawdziwego systemu bankowego.

Dzięki wprowadzeniu przez ofiarę nazwy użytkownika, hasła oraz numeru telefonu, przestępcy mogą przejąć kontrolę nad kontem, a także próbować autoryzować transakcję w aplikacji mobilnej ofiary. Często równolegle ofiara otrzymuje SMS z banku – np. z kodem logowania lub prośbą o potwierdzenie operacji. Jeśli przestępcy socjotechnicznymi zabiegami przekonają ofiarę do wpisania kodu na stronie/akceptacji w aplikacji mobilnej – autoryzuje ona tym samym działania oszustów na własnym koncie bankowym. 

Dlaczego to działa i jak rozpoznać oszustwo?

Tego typu ataki są skuteczne, ponieważ łączą w sobie kilka czynników:

• Zaufanie do marki. Otomoto to znany i ceniony serwis, więc komunikaty „od bezpieczeństwa” wydają się wiarygodne.
• Presja czasu. Groźba blokady konta w ciągu 12 godzin wywołuje pośpiech. Tym bardziej, że zależy nam na sprzedaży auta, zapłaciliśmy za ogłoszenie. 
• Profesjonalny wygląd. PDF i strona są dopracowane graficznie, zawierają poprawne logo, fonty i kolory identyczne z oryginałem.
• Socjotechnika. Komunikat brzmi spokojnie i rzeczowo, nie wzbudzając podejrzeń.
• Nowy kontekst. Wcześniej podobne ataki dotyczyły głównie portali zakupowych. Teraz cyberprzestępcy przenoszą się do segmentu motoryzacyjnego, gdzie stawki są wyższe.

Choć strona na pierwszy rzut oka wygląda wiarygodnie, warto zwrócić uwagę na pewne subtelne sygnały ostrzegawcze:

• Adres. Zamiast https://www.otomoto.pl widnieje inny adres, często z dodatkowymi słowami: verification, secure, confirm. Nigdy to nie będzie domena z końcówką otomoto.pl (bądź innej firmy, pod którą będą się podszywać przestępcy).
• Nietypowe prośby – żadne prawdziwe serwisy nie wymagają logowania do banku w celu potwierdzenia konta ogłoszeniowego.
• Załączony plik PDF – to rzadkość w komunikacji platform internetowych. Oficjalne powiadomienia trafiają przez e-mail lub panel użytkownika, a nie przez pliki w prywatnej korespondencji od użytkownika. 

Jak się chronić

Oto kilka prostych, ale skutecznych zasad, które pozwolą uniknąć tego typu zagrożeń:

• Nie otwieraj załączników z nieznanych źródeł. Serwisy takie jak Otomoto nigdy nie przesyłają plików PDF z instrukcjami bezpieczeństwa.
• Nie klikaj w linki z wiadomości prywatnych. Jeśli coś budzi wątpliwości, zawsze zaloguj się do serwisu bezpośrednio – wpisując adres ręcznie w przeglądarce.
• Korzystaj z ochrony antyphishingowej. CyberTarcza Orange automatycznie blokuje dostęp do znanych stron phishingowych, zanim zdążysz wprowadzić dane.
• Zachowaj spokój. Cyberprzestępcy grają na emocjach – straszą blokadą, utratą środków lub konta. W większości przypadków to blef.

Phishing ewoluuje – czujność to klucz

Takie oszustwa dowodzą, że cyberprzestępcy stale udoskonalają swoje metody. Jeszcze kilka lat temu ataki phishingowe były łatwe do rozpoznania – z błędami ortograficznymi, amatorskimi grafikami i niezgrabnymi tłumaczeniami. Dziś mamy do czynienia z profesjonalnie przygotowanymi kampaniami, które potrafią zmylić nawet doświadczonych użytkowników.

Najlepszą obroną pozostaje świadomość i zdrowy rozsądek. Zawsze warto zadać sobie kilka prostych pytań:

• Czy naprawdę ktoś z serwisu napisałby do mnie przez wiadomość prywatną? Dlaczego pisze do mnie z konta security_team_3114@? 
• Dlaczego weryfikacja konta w serwisie ma wymagać logowania do banku? 
• Czy sytuacja naprawdę jest tak pilna, że muszę reagować natychmiast? Może zadam pytanie oficjalnym kanałem.

Jeśli którakolwiek z tych odpowiedzi brzmi „nie wiem” – lepiej się zatrzymać i sprawdzić źródło informacji lub potwierdzić to na oficjalnym kanale komunikacji.

Podsumowanie

Fałszywe wiadomości od „Otomoto  Security Team” to przykład, jak daleko poszli cyberprzestępcy w dopracowywaniu swoich metod. Wykorzystują zaufanie użytkowników do znanych marek, tworząc pozory profesjonalizmu i bezpieczeństwa.

Dlatego zapamiętaj:

• Otomoto nigdy nie prosi o logowanie do banku w celach weryfikacji.
• Nie klikaj w linki z wiadomości prywatnej o „weryfikacji” konta.
• Zgłaszaj takie przypadki do CERT Orange Polska.

Każde takie zgłoszenie pomaga nam szybciej zidentyfikować nowe kampanie i chronić kolejnych użytkowników. Jeśli byłeś świadkiem podobnego oszustwa, daj znam znać w sekcji kontakt. Być może, dzięki Tobie uda się uchronić również innych. Zalecamy również zgłaszanie takich oszustw bezpośrednio na platformach sprzedażowych. W tym przypadku, już prawdziwy Zespół Bezpieczeństwa Otomoto zadziałał błyskawicznie blokując oszusta.

The post Ty chcesz sprzedać auto, a przestępcy podszywają się pod „zespół bezpieczeństwa Otomoto” appeared first on CERT Orange.

Do naszych systemów bezpieczeństwa trafiła wiadomość SMS z nadpisu: „Kredyt”. Treść od razu zapala czerwoną lampkę, zawiera bowiem link ze skrótowca is[.]gd, bardzo popularnego w kampaniach phishingowych.

Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/yEMkuB

Dopisano 6/11, g. 16:30: Jak sprecyzowało w serwisie X już po naszej publikacji koleżeństwo z CSIRT KNF, SMS jest drugim elementem schematu phishingowego. Wiadomości tekstowe trafiały do internautów, którzy uprzednio podali swoje dane, gdy zobaczyli fałszywą reklamę na Facebooku.

Państwowy program „Zero procent+”

Państwowy program wsparcia kredytowego – Zero Procent+. Odsetki pokrywa państwo!

Po kliknięciu w link trafiamy na stronę hxxps://autocredit[.]support. Kolorystyka witryny utrzymana jest w stylu serwisów rządowych, przekaz wzmacnia herb Rzeczypospolitej Polskiej w prawym górnym rogu, jak w przypadku witryn gov.pl.

Co się dzieje po kliknięciu? Sprawdziliśmy to, żebyście Wy nie musieli. Krótko: polskie banki, preferencyjne warunki, koszty ponosi państwo (stąd Zero Procent+), a pieniądze możecie wydać na dowolny cel (uchylmy rąbka tajemnicy: nie będzie żadnych pieniędzy):

Następnie ofiara trafia na monit o podanie szczegółowych danych kontaktowych. Teoretycznie – to pierwszy element ankiety. A de facto to sposób oszustów na zebranie danych osobowych odbiorcy SMS-a. W efekcie nawet jeśli nie da się oszukać teraz – mając takie informacje można spróbować wykorzystać je później.

Kolejny krok to już zapowiadana ankieta. Po co? By zachować pozory, że mamy do czynienia z faktycznie istniejącym programem. Dodatkowo taka treść wpisuje się w narrację serwisu rządowego, z którym rzekomo mamy mieć do czynienia.

To oszustwo „na pracownika banku”

Gdy zdecydujemy się złożyć wniosek, pozostaje jeszcze wybór banku, na konto w których „chcemy otrzymać kredyt” w programie Zero Procent+.

Po wyborze banku pojawia się kopia jego witryny logowania, oczywiście niezmiennie w domenie autocredit[.]support. Ofiara, myśląc, że loguje się do banku, tak naprawdę podaje dane logowania oszustom. Co dzieje się potem?

Skąd taka zaślepka? Do tej pory spotykaliśmy się raczej ze stronami udającymi przetwarzanie informacji, w trakcie których oszust na bieżąco wykorzystywał dane wpisane przez ofiarę. Tym razem chyba nie pasowało mu wpisane hasło, bowiem nie minęła nawet minuta, gdy zadzwonił.

Po kilku pytaniach, dotyczących moich „celów kredytowych” mówiący czystą polszczyzną rozmówca poinformował mnie, że za chwilę skontaktuje się ze mną pracownik banku w celu potwierdzenia rejestracji. Po ok. dwóch minutach odezwał się jednak ten sam rozmówca, prosząc o ponowną próbę zalogowania.

Chwilę po tym, gdy potwierdziłem wpisanie hasła – „konsultant” rozłączył się. Być może powodem była nieco prowokacyjna treść hasła, która mogła dać mu do zrozumienia, że mam świadomość z kim mam do czynienia.

Co robić, by nie dać się oszukać?

Coś wygląda jak znakomita okazja, udaje nazewnictwem program rządowy, na stronie widnieje herb z Orłem Białym, na stronie proszą o Twoje dane, a potem proszą o zalogowanie do banku? Sprawdź adres w pasku przeglądarki, pamiętaj, by hasła do banku podawać wyłącznie na jego stronie! Jeśli link w pasku nie jest adresem Twojego banku – to oszustwo.

No i jeśli dostajecie informację, że „wniosek rozpatrzono pozytywnie”, podczas gdy nie składaliście żadnego wniosku – już to powinno być dla Was wystarczającą czerwoną flagą. Jeśli bowiem wcześniejsze etapy nie wzbudzą Waszej uwagi, czy niepokoju – rozmowa z oszustem może tego nie zrobić. Niestety coraz częściej przestępcy przygotowują się do takich kampanii naprawdę dobrze, budząc zaufanie ofiary.

The post Zero procent+ – fałszywy SMS udaje rządowy appeared first on CERT Orange.

Choć dominującą metodą dostarczania phishingu jest SMS, oszustom wciąż zdarza się wysyłać e-maile. Przede wszystkim w sytuacji, gdy podszywają się pod dużą, poważną firmę. Może to wzmocnić zaufanie ofiary.

Faktura skorygowana – zwrot z PGE

PGE (Polska Grupa Energetyczna) to sprzedawca energii i operator dystrybucji dla odbiorców detalicznych. W skali kraju PGE Dystrybucja odpowiada za dostawy prądu dla około 25–30% wszystkich odbiorców w Polsce (mieszkańców i firm).

Mail, który trafił prosto na skrzynkę CERT Orange Polska (cert.opl@orange.com, polecamy nie tylko oszustom), choć udawał w stylistyce PGE, nadany został z prywatnego adresu w domenie jednego z krajowych dostawców e-mail. Link prowadził do strony w domenie .jp.

Gdy „zalogujemy” się na stronie (cudzysłów nieprzypadkowy, w trakcie analizy wpisałem losowy login i hasło):

trafiamy na informację o tym, że czeka na nas zwrot z PGE. Ale nie w kwocie zapowiadanej w mailu. Po „zalogowaniu” (czyli podaniu oszustom naszego loginu i hasła) dowiadujemy się, że czeka na nas 279,29 PLN.

Różnica wynosi zaledwie 16 groszy, ale jeśli ktoś doszedł do tego miejsca, powinna zapalić mu się czerwona lampka. W systemach billingowych co do zasady nie zdarzają się takie pomyłki. I o ile po przejściu do zlecenia zwrotu na wystawionym przez oszusta formularzu też widzimy kwotę kończącą się 29 groszami…

po wpisaniu danych „Autopay procesuje nasz zwrot”:

by ostatecznie okazało się, że choć zwrot miał być na kartę, ale tak naprawdę to zwrot nastąpi za pośrednictwem Google/Apple Pay. A kwota ma wynieść… jednak 52.30 PLN.

Portfele cyfrowe Google i Apple służą do wydawania pieniędzy. Technicznie za ich pośrednictwem nie da się pieniędzy uzyskać. Do czego zatem ma służyć podanie kodu? Z prawdopodobieństwem graniczącym z pewnością oszust w ten sposób zamaskował monit o podanie kodu 3D Secure. Jest on bardzo często wymagany przy płatnościach kartą online.

Jak nie paść ofiarą oszustwa?

Porady są podobne dla większości scamów, ale warto je powtórzyć:

• upewnij się, czy masz konto u danego dostawcy usługi (maile, czy SMS-y są wysyłane hurtowo, oszuści nie dysponują bazą klientów danego usługodawcy)
• sprawdź adres nadawcy e-maila
• czy link na pewno prowadzi do strony usługodawcy?
• jeśli wpisujesz gdziekolwiek hasła i/lub dane karty płatniczej – upewnij się, czy to strona usługodawcy, banku, czy bramki płatności
• załóż, że nie ma czegoś takiego jak zwrot pieniędzy na kartę w procedurze on-line; z takim przypadkiem możesz spotkać się w sklepie stacjonarnym, zwracając towar
• jeśli przychodzi do Ciebie SMS związany z płatnością – przeczytaj dokładnie jego treść; w przytaczanym przypadku informowałaby ona o tym, że właśnie potwierdzasz płatność w sieci oraz o jej kwocie

No i pamiętaj, że jeśli faktycznie masz nadpłatę u usługodawcy, ogólnie przyjętą praktyką jest rozliczanie jej przy kolejnych fakturach.

Nie daj się oszukać!

The post Zwrot z PGE? Nie – to oszustwo! appeared first on CERT Orange.

Powiecie, że przecież do przygotowania Wigilii i poszukiwania „zawartości pod choinkę” zostało jeszcze sporo czasu? Tymczasem statystyki wykazują, że w ostatnich latach Polacy coraz rzadziej zostawiają świąteczne aktywności na ostatnią chwilę. Przestępcy też o tym wiedzą, więc można postawić dolary przeciwko orzechom, że dopinają przygotowania na ostatni guzik. Czasy się zmieniają! Choć według badań zakupy spożywcze wciąż chętniej robimy stacjonarnie (choć akurat przed świętami sklep online pomaga ominąć kolejki!), tak z zakupami prezentów gremialnie przenieśliśmy się do sieci. A tam czyhają pokusy…

Nie daj się złapać na „inwestycje”

Koszty życia rosną, a w magiczny świąteczny czas chcielibyśmy sprawić, by cała rodzina poczuła bezpieczna, najedzona i szczęśliwa. To kosztuje i niektórym z nas czasami pieniędzy może zabraknąć. A na to czekają – nie tylko na Boże Narodzenie – oszuści. Ci sami, którzy regularnie przez cały rok – głównie za pośrednictwem Facebooka (choć zdarza się np. Youtube) – zarzucają nas reklamami, roztaczającymi miraże wielkich zarobków.

A jak jest naprawdę? Wersji oszustw jest co najmniej kilka. Przykładowo jedna z nich zakłada, iż ofiara wpłaci „na konto inwestycyjne” relatywnie niską kwotę. Później, mamiona rzekomymi zyskami, będzie wpłacać kolejne. Szybkie rozmnożenie naszych pieniędzy w sam raz na święta może niektórych skusić. Schemat takiego oszustwa opisaliśmy niedawno na naszych łamach.

W powyższej opcji stracimy tylko to, co wpłaciliśmy. Druga wersja, znacznie groźniejsza – to „konsultant inwestycyjny” namawiający nas do instalacji „specjalnej aplikacji”, która de facto jest programem do zdalnego pulpitu. Wtedy dajemy oszustowi pełny dostęp do naszego komputera, co może się skończyć okradzeniem nas ze wszystkich pieniędzy (że o dostępie do wszelkich naszych danych zapisanych na komputerze już nie wspomnimy).

Wymarzone promocje w nieistniejących sklepach

Ile jest sklepów w internecie? Policzenie tych rzetelnych wydaje się być niemożliwe, a przecież prowadzonych przez oszustów znajdziemy w sieci wielokrotnie więcej. Im bliżej Boże Narodzenie tym bardziej musisz – niczym za kierownicą – korzystać z zasady ograniczonego zaufania.

Jeśli coś wydaje się zbyt piękne, by było prawdziwe – załóż, że prawdziwe nie jest.

Chyba, że lubisz ryzyko, jednak doświadczenie wskazuje, że taka zabawa niemal na pewno skończy się źle. Jasne, można założyć, że w sklepach trafimy na wyjątkowe okazje, ale nie pozwól, by obniżka ceny zasłoniła Ci zdrowy rozsądek. Szukasz promocji? Najlepiej po prostu wchodź na witryny sklepów które znasz. Korzystaj ze sklepów o jakimś poziomie renomy, najlepiej takich, gdzie kupowałeś/aś Ty lub ktoś z Twoich znajomych. Na pewno godne zaufania są sieciowe oddziały sklepów fizycznych.

Jeśli sklep jest nowy – dokładnie sprawdź jego adres. Domeny (końcówki adresu, po ostatniej kropce) .pl i .com budzą większe zaufanie niż przykładowo .xyz, .online, czy .top. Uważaj też na pułapki w stylu:

• orange-pl.com (na pierwszy rzut oka jeśli się nie przyjrzymy, może wyglądać jak poprawna)
• organge.pl (mózg widzi coś co „wygląda jak Orange” i jeśli się nie skupimy, podświadomość wyśle nam sygnał, że to prawidłowy adres)
• orangepl.top
• onrage.com
• orarige.pl
• rnicrosoft.com (zbitka liter r i n, szczególnie na małym ekranie smartfona, łudząco przypomina m)

Czytaj zanim klikniesz (nie tylko w Boże Narodzenie)

Jak często zdarza Ci się kliknąć odruchowo w cokolwiek, żeby zamknąć uporczywie wyskakujące okienko w przeglądarce? Czy za każdym razem sprawdzasz szczegóły informacji do kogo robisz przelew? A gdy wyskakuje powiadomienie z aplikacji bankowej – zawsze sprawdzasz o jaką transakcję chodzi, na jaką kwotę i do kogo? Jeśli Twoja odpowiedź na którekolwiek z tych pytań brzmi: „Nie” – masz szczęście, że oszuści do Ciebie jeszcze nie dotarli.

Gdy Boże Narodzenie o krok, a my jesteśmy w „choinkowym amoku”, e-mail, czy SMS mogą wyprowadzić z równowagi. Szczególnie, gdy są to treści wywołujące emocje – pierwszy wyznacznik phishingu. Brudne ręce w kuchni, odkurzacz czy mop w dłoni, biegające naokoło dzieci … Kto w takiej sytuacji nigdy nie kliknął linka, żeby już mieć go z głowy, niech pierwszy rzuci kamieniem.

Widzisz monit? Poświęć kilka sekund i przeczytaj go. Dziwny, niestandardowy link? Zwalcz FOMO, jeśli nie zareagujesz teraz, nic się nie stanie. A potem, gdy przeczytasz treść wiadomości na spokojnie – łatwiej będzie Ci zauważyć, że masz do czynienia z oszustwem. Samo kliknięcie w link to nie problem – ale jeśli to zrobisz, ryzyko, że kolejnym krokiem będzie wpisanie loginów, haseł, czy danych karty płatniczej, znacząco rośnie.

Nie daj się oszukać. W Boże Narodzenie i na każde inne okazje kupuj prezenty swoim bliskim. Nie bliskim oszusta. Jeśli masz wątpliwości co do wiadomości, która do Ciebie trafiła:

• jeśli to e-mail – wyślij go na adres cert.opl@orange.com
• budzące obawę SMS – prześlij dalej na nr 508 700 900

A najświeższych informacji, dotyczących cyberzagrożeń, szukaj na stronie CERT Orange Polska oraz na naszym koncie w serwisie X.

The post Nie rób przestępcom prezentów na Boże Narodzenie appeared first on CERT Orange.

Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

• wideo z nagrodami
• banery
• treści pełnoekranowe
• reklamy typu playable

Okazuje się jednak, że popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

• Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
• Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
• Brak rejestracji – nie wymagają tworzenia konta użytkownika
• Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
• Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
• Są dostępne w sklepie Google Play

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, że prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, że aplikacje wysyłają powiadomienia push, prawda? Nawet jeśli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, że wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, że klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

• zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
• zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
• prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
  • imię i nazwisko
  • numer telefonu
  • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

• nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
• wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
• informacja o tym, że z każdej inwestycji „firma” bierze 5% prowizji
• uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
• podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
• dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
• ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, że „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, że wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, że to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, że próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, że to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeśli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

• weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
• sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zazwyczaj wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
• do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
• zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
• jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeśli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. Jeśli masz wątpliwości – napisz do nas, pomożemy.

The post Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień appeared first on CERT Orange.