Nowe pomysły przestępców „od PayU”
Nie ma dnia bez przynajmniej kilku nowych domen, podszywających się pod pośrednika płatności PayU (i często za jego pośrednictwem również pod polskie banki), trafiających do mechanizmu StopPhishing naszej CyberTarczy. Od początku roku liczba tych adresów znacznie przekroczyła 100, czasami zmienia się tylko „otoczka”, czyli informacje, które otrzymują ofiary i budowane wokół nich historie.
W znacznej większości przypadków tego typu domeny używane są w kampaniach phishingowych SMS, którym celem są użytkownicy usług mobilnych. Najnowszy pomysł przestępców powiązany jest z rozsyłaną również w e-mailach informacją o domniemanej egzekucji komorniczej na bankowym koncie ofiary. Do blokowanej już od pewnego czasu domeny hxxps://przelew.oplacamy.ml (zwracamy uwagę na domenę afrykańskiego państwa Mali (.ml), mogącej do złudzenia przypominać nasze swojskie .pl) dołączył adres hxxp://sprawa2918430.pvv.pl/. Mamy przeczucie graniczące z pewnością, że ten drugi adres będzie nam towarzyszył jeszcze przez długi czas. Adres pvv.pl to bowiem tzw. „skracarka linków”, nie możemy zablokować całej domeny, a przestępcy mogą zakładać nowe, zmieniając tylko „numer sprawy”.
Opisywany phishing to kolejny przykład ataku, którego celem są polscy internauci. W domenie oplacamy.ml mieszczą się bowiem formularze logowania do złudzenia przypominające treścią i grafiką witryny 21 polskich banków. Przypominamy więc po raz kolejny:
- do tego typu maili/SMSów podchodźcie z ogromną ostrożnością (lepiej 100 razy przesadzić z brakiem zaufania, niż raz zaufać niepotrzebnie)
- przy każdej transakcji, związanej z koniecznością płatności zawsze spójrzcie w pasek adresu przeglądarki (nie, zielona kłódka nie musi świadczyć o tym, że wszystko jest w porządku – na swoją domenę przestępca też może wykupić certyfikat)
- bądźcie bardzo wyczuleni na wszelkie zmiany w aktywności strony banku – podstawione przez przestępców witryny nawet w przypadku banków stosujących hasła maskowane i tak (w sumie to oczywiste z punktu widzenia przestępcy) proszą o pełne hasło