Od początku weekendu CERT Orange Polska obserwuje wzmożony ruch w zakresie kampanii phishingowych, celowanych w użytkowników aplikacji/usługi finansowej Revolut. Zaczyna się od wiadomości SMS:

Nadawcą SMSa jest "Revolut", a przynajmniej tak mogłoby się wydawać. Jeśli jednak przekleimy nazwę do pliku tekstowego, okazuje się, że nadawcą jest... Revoiut. A ponieważ wielkie "i" pisane czcionką bezszeryfową wygląda tak samo jak małe "el" - oszuści bardzo często wykorzystują ten trick.

W drugiej, dłuższej wersji, oszuści informują o konieczności przeprowadzenia rzekomej kontroli na zgodność z przepisami finansowymi.

Domena hxxp://revolut-id-verify[.]com została zarejestrowana krótko po północy 4 marca. Niedługo później - w środku nocy - zaczęły być wysyłane SMSy do ofiar. Jedna z nich, która skontaktowała się z CERT Orange Polska, przyznała:

"SMS przyszedł w nocy, obudziłem się rano, oczy jeszcze zamglone. Patrzę - ktoś chciał się włamać na mojego Revoluta? Jasne, że chcę anulować!"

To jedna z klasycznych socjotechnicznych sztuczek. Gdyby taki SMS dotarł do ofiar po porannej kawie, zapewne dużo mniejsza grupa by zareagowała.

Tak, czy siak, adres docelowy dla klientów usług Orange Polska został zablokowany przez CyberTarczę już przy pierwszej podejrzanej aktywności. Szczegółowe informacje, dotyczące strony, nieprzesadnie nas zaskoczyły:

The main IP is 91.215.85.192, located in Russian Federation and belongs to PROSPERO-AS, RU.

Co się dzieje, gdy klikniemy w adres z SMSa? Internauci często pytają:

Czy kliknięcie w taki link powoduje, że mój telefon zostanie zainfekowany?

Oczywiście to zależy, ale w tym przypadku nie. Tutaj najpierw musimy potwierdzić, że nie jesteśmy robotem:

Bo w kolejnym kroku zobaczyć stronę, udającą logowanie do usługi Revolut. Na niej wpisujemy nr telefonu:

i PIN (oczywiście wpisaliśmy 0000):

W kolejnych krokach musimy - zgodnie z zapowiedzią z SMSa - potwierdzić personalia:

Na maila - mimo zapowiedzi - nic nie przychodzi :(

A jeśli sami chcecie przetestować opisywany mechanizm, ograniczeniem w tym, co wyślecie przestępcom jako selfie, jest wyłącznie Wasza kreatywność ;)

Jakby przestępcom było zbyt mało - oprócz loginu i PINu do usługi oraz zdjęcia, które można z nimi skojarzyć, usiłują wyłudzić jeszcze... skan dokumentu tożsamości!

A na koniec - jak można się spodziewać, jesteśmy przekierowywani do właściwej strony usługi. Jeśli więc do tego momentu ofiara nie zauważyła, że coś jest nie tak - już jest za późno. A ogrom przekazanych przestępcom danych daje im niezliczone możliwości do nadużyć!

Co robić?

Oczywiście - jak zawsze - w każdej sytuacji, gdy rzecz idzie o nasze finanse, szczegółowo sprawdzać adres strony! Tym bardziej, gdy przestępcy są tak bezczelni jak w opisywanym scenariuszu, usiłując wyłudzić od ofiar wrażliwe dane o naprawdę olbrzymiej wadze.

Jeśli znasz kogoś, kto mógłby paść ofiarą takiego ataku - uprzedź go! Chyba, że korzysta z usług dostępu do internetu Orange Polska - w tej sytuacji już my o niego zadbaliśmy.

Podziel się: