hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
13 lutego 2019

Nowe pomysły przestępców „od PayU”

Nie ma dnia bez przynajmniej kilku nowych domen, podszywających się pod pośrednika płatności PayU (i często za jego pośrednictwem również pod polskie banki), trafiających do mechanizmu StopPhishing naszej CyberTarczy. Od początku roku liczba tych adresów znacznie przekroczyła 100, czasami zmienia się tylko „otoczka”, czyli informacje, które otrzymują ofiary i budowane wokół nich historie.

W znacznej większości przypadków tego typu domeny używane są w kampaniach phishingowych SMS, którym celem są użytkownicy usług mobilnych. Najnowszy pomysł przestępców powiązany jest z rozsyłaną również w e-mailach informacją o domniemanej egzekucji komorniczej na bankowym koncie ofiary. Do blokowanej już od pewnego czasu domeny hxxps://przelew.oplacamy.ml (zwracamy uwagę na domenę afrykańskiego państwa Mali (.ml), mogącej do złudzenia przypominać nasze swojskie .pl) dołączył adres hxxp://sprawa2918430.pvv.pl/. Mamy przeczucie graniczące z pewnością, że ten drugi adres będzie nam towarzyszył jeszcze przez długi czas. Adres pvv.pl to bowiem tzw. „skracarka linków”, nie możemy zablokować całej domeny, a przestępcy mogą zakładać nowe, zmieniając tylko „numer sprawy”.

Opisywany phishing to kolejny przykład ataku, którego celem są polscy internauci. W domenie oplacamy.ml mieszczą się bowiem formularze logowania do złudzenia przypominające treścią i grafiką witryny 21 polskich banków. Przypominamy więc po raz kolejny:

  • do tego typu maili/SMSów podchodźcie z ogromną ostrożnością (lepiej 100 razy przesadzić z brakiem zaufania, niż raz zaufać niepotrzebnie)
  • przy każdej transakcji, związanej z koniecznością płatności zawsze spójrzcie w pasek adresu przeglądarki (nie, zielona kłódka nie musi świadczyć o tym, że wszystko jest w porządku – na swoją domenę przestępca też może wykupić certyfikat)
  • bądźcie bardzo wyczuleni na wszelkie zmiany w aktywności strony banku – podstawione przez przestępców witryny nawet w przypadku banków stosujących hasła maskowane i tak (w sumie to oczywiste z punktu widzenia przestępcy) proszą o pełne hasło
17 kwietnia 2024
„Witam, o której chciałbyś przyjść”
Dowiedz się więcej
10 kwietnia 2024
Wcale nie obowiązkowa „aktualizacja” w NFZ
Dowiedz się więcej
2 kwietnia 2024
Nie „weryfikuj” numeru!
Dowiedz się więcej