Podszywają się pod Bezcenne Chwile Mastercard i czyszczą Twoją kartę
Loteria Bezcenne Chwile to jeden z promocyjnych wehikułów płatniczego potentata. Wiedzą o tym również przestępcy. Dowiodły tego w ostatnich dniach systemy bezpieczeństwa CERT Orange Polska, trafiając na podszywającą się pod Mastercard kampanię phishingową.
W trwającej kampanii zaobserwowaliśmy wiadomości SMS, przychodzące z nadpisów:
- Mastercard
- Mastercard.
Nie należy traktować tej listy jako zamkniętej, ale można założyć, że również treścią nadpisu przestępcy będą chcieli jak najlepiej upodobnić się do marki. Treść wiadomości sugeruje, że czeka na nas nagroda.
Prawie jak Bezcenne Chwile
Ale prawie robi wielką różnicę. Link z powyższej wiadomości SMS rozwija się na docelową domenę bezcerchwile[.]icu. Z jednej strony – na pierwszy rzut oka wygląda podejrzanie. Z drugiej jednak – jeśli otworzymy linka w telefonie, mały druk i podobieństwo do zwrotu „bezcenne chwile” mogą zmylić potencjalną ofiarę.
W pierwszym kroku jesteśmy proszeni o podanie numeru telefonu. Ponoć po to, by sprawdzić dostępne punkty. Tymczasem ta informacja potrzebna jest oszustom niemal na pewno po to, by w przypadku wpisania prawidłowego numeru karty – wysłać SMS-a z kodem 3D Secure. W kolejnym kroku będą chcieli przekonać ofiarę, by wpisała go na stronie i ostatecznie zatwierdziła transakcję.
Po wpisaniu losowego numeru okazuje się, że mamy do wykorzystania całkiem dużo punktów! Jest tylko jeden problem – wygasną za 24 godziny! Czemu tak szybko? To socjotechniczna sztuczka, która ma nas przekonać do szybkich działań. Zanim wygasną punkty Bezcenne Chwile? Nie – zanim się zorientujemy, że mamy do czynienia z przekrętem.
Co możemy zrobić z naszymi punktami? Czy te przeszło 13 tys. to dużo? O tym dowiadujemy się w kolejnym kroku:
Pieniądze na Ciebie (nie) czekają
Ponad 1000 złotych! Trzeba przyznać, że propozycja wydaje się być mocno kusząca. Tak mocno, że możemy się nie zorientować, że zwrot „Zobacz Dostępne Produkty” po pierwsze ma się nijak do zwrotu cashbacku, po drugie zaś – po kliknięciu nie ma wyboru żadnych produktów.
Co więcej – dowiadujemy się, że z cashbacku w ramach programu Bezcenne Chwile mogą korzystać tylko posiadacze kart kredytowych. Dlaczego przestępcy to zaznaczyli? Ponieważ kartę debetową można okraść tylko do wysokości bilansu konta, zaś kredytowe zazwyczaj mają dużo większe limity!
Na koniec pozostaje już tylko wpisać dane karty, w myślach zastanawiając się na co wydamy nieoczekiwane pieniądze:
Po co podać dane karty skoro nie mam niczego płacić, a jedynie otrzymać na nią pieniądze? Tu oszuści wykorzystali sprytną socjotechniczną sztuczkę. Sugerują, iż pobranie w wysokości 1 PLN jest niezbędne, by zagwarantować bezpieczeństwo naszego cashbacku. My przelejemy złotówkę, a oni od razu nam ją oddadzą, dodając też kwotę cashbacku. Tylko, że… nie.
Niestety w tym momencie analiza musiała się skończyć, ponieważ używaliśmy testowego numeru karty. Informacja zwrotna o braku kwalifikacji do programu Bezcenne Chwile została wygenerowana przez system oszustów w sytuacji, gdy testowa karta nie została zweryfikowana jako możliwa do okradnięcia.
Co robić, by nie dać się oszukać?
W opisywanym przypadku trzeba zaznaczyć dwie „czerwone flagi”, które natychmiast powinny sprawić, że potencjalna ofiara zorientuje się, iż jest oszukiwana:
- skrócony link w SMS-ie
- strona docelowa nieudolnie udająca loterię, w domenie innej niż .pl
Choć firmy coraz częściej od tego odchodzą, wciąż zdarzają się wiadomości SMS z linkami. Jeśli taka trafi do Ciebie, upewnij się, czy strona docelowa faktycznie jest tą oczekiwaną. Link jest ze skrótowcem – załóż, że to oszustwo. A nawet, gdy wygląda na prawdziwy – kliknij i zobacz, czy docelowy wygląda tak samo (przestępca może zakodować w linku treść inną niż widoczna).
Dobrym pomysłem wydaje się być zasada ograniczonego zaufania w kwestii domeny. Strona kończy się inaczej niż na .pl i .com – załóż, że jest fałszywa. Domeny .pl i .com też nie wykluczają oszustwa, jednak inne czynią je znacznie bardziej prawdopodobnym.
