hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
6 marca 2023

Korzystasz z Revoluta? Uważaj na podejrzane SMSy!

Od początku weekendu CERT Orange Polska obserwuje wzmożony ruch w zakresie kampanii phishingowych, celowanych w użytkowników aplikacji/usługi finansowej Revolut. Zaczyna się od wiadomości SMS:

Nadawcą SMSa jest „Revolut”, a przynajmniej tak mogłoby się wydawać. Jeśli jednak przekleimy nazwę do pliku tekstowego, okazuje się, że nadawcą jest… Revoiut. A ponieważ wielkie „i” pisane czcionką bezszeryfową wygląda tak samo jak małe „el” – oszuści bardzo często wykorzystują ten trick.

W drugiej, dłuższej wersji, oszuści informują o konieczności przeprowadzenia rzekomej kontroli na zgodność z przepisami finansowymi.

Domena hxxp://revolut-id-verify[.]com została zarejestrowana krótko po północy 4 marca. Niedługo później – w środku nocy – zaczęły być wysyłane SMSy do ofiar. Jedna z nich, która skontaktowała się z CERT Orange Polska, przyznała:

„SMS przyszedł w nocy, obudziłem się rano, oczy jeszcze zamglone. Patrzę – ktoś chciał się włamać na mojego Revoluta? Jasne, że chcę anulować!”

To jedna z klasycznych socjotechnicznych sztuczek. Gdyby taki SMS dotarł do ofiar po porannej kawie, zapewne dużo mniejsza grupa by zareagowała.

Tak, czy siak, adres docelowy dla klientów usług Orange Polska został zablokowany przez CyberTarczę już przy pierwszej podejrzanej aktywności. Szczegółowe informacje, dotyczące strony, nieprzesadnie nas zaskoczyły:

The main IP is 91.215.85.192, located in Russian Federation and belongs to PROSPERO-AS, RU.

Co się dzieje, gdy klikniemy w adres z SMSa? Internauci często pytają:

Czy kliknięcie w taki link powoduje, że mój telefon zostanie zainfekowany?

Oczywiście to zależy, ale w tym przypadku nie. Tutaj najpierw musimy potwierdzić, że nie jesteśmy robotem:

Bo w kolejnym kroku zobaczyć stronę, udającą logowanie do usługi Revolut. Na niej wpisujemy nr telefonu:

i PIN (oczywiście wpisaliśmy 0000):

W kolejnych krokach musimy – zgodnie z zapowiedzią z SMSa – potwierdzić personalia:

Na maila – mimo zapowiedzi – nic nie przychodzi 🙁

A jeśli sami chcecie przetestować opisywany mechanizm, ograniczeniem w tym, co wyślecie przestępcom jako selfie, jest wyłącznie Wasza kreatywność 😉

Jakby przestępcom było zbyt mało – oprócz loginu i PINu do usługi oraz zdjęcia, które można z nimi skojarzyć, usiłują wyłudzić jeszcze… skan dokumentu tożsamości!

A na koniec – jak można się spodziewać, jesteśmy przekierowywani do właściwej strony usługi. Jeśli więc do tego momentu ofiara nie zauważyła, że coś jest nie tak – już jest za późno. A ogrom przekazanych przestępcom danych daje im niezliczone możliwości do nadużyć!

Co robić?

Oczywiście – jak zawsze – w każdej sytuacji, gdy rzecz idzie o nasze finanse, szczegółowo sprawdzać adres strony! Tym bardziej, gdy przestępcy są tak bezczelni jak w opisywanym scenariuszu, usiłując wyłudzić od ofiar wrażliwe dane o naprawdę olbrzymiej wadze.

Jeśli znasz kogoś, kto mógłby paść ofiarą takiego ataku – uprzedź go! Chyba, że korzysta z usług dostępu do internetu Orange Polska – w tej sytuacji już my o niego zadbaliśmy.

15 maja 2025
Zawiesili Twoje konto Spotify? To może być oszustwo!
Dowiedz się więcej
6 maja 2025
Masz Orange Flex? Uważaj!
Dowiedz się więcej
28 kwietnia 2025
To nie SMS od BLIK. To próba wyłudzenia hasła
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance