To nie SMS od BLIK. To próba wyłudzenia hasła

CERT Orange Polska obserwuje kampanię phishingową, podszywającą się pod BLIK. Pod szyldem aktualizacji bezpieczeństwa oszuści chcą wyłudzić Twoje hasło do banku.

Kampania jest tym bardziej niebezpieczna, że nadawcą SMS-a, który trafi na Twój telefon, jest BLIK. Fakt, iż wiadomość przychodzi z nadpisu o takiej treści, może zmylić potencjalną ofiarę.

W treści SMS-a mamy kolejną socjotechniczną sztuczkę. Oszuści liczą, że rzucając okiem na wiadomość zobaczymy „blik”, obok niego „pl” i bez zastanowienia klikniemy. Tymczasem:

• między blik i pl mamy kreskę (-) a nie kropkę (.)
• faktyczny adres linku to blik-pl[.]info
• co więcej, blik[.]pl nie jest witryną Polskiego Standardu Płatności; właściwa witryna docelowa to https://blik.com/

Po kliknięciu w podany link trafimy na stronę sugerującą konieczność dokonania aktualizacji bezpieczeństwa.

Jeśli wybierzemy „kontynuuj”, fałszywa strona poprosi nas o wybór naszego banku…

…a ostatni krok to już podanie przestępcom naszego loginu i hasła:

Jak nie dać się oszukać?

Za każdym razem sprawdzaj adres strony, na której masz wpisać swoje wrażliwe dane. Masz wątpliwości, czy to witryna danej firmy, czy usługi? Otwórz wyszukiwarkę i wpisz w niej nazwę usługi bądź firmy. Zwróć uwagę, czy na początku nie pojawiły się opłacone wyniki wyszukiwania. Jeśli tak – znajdź pierwszy nieopłacony i to z największym prawdopodobieństwem będzie strona, której szukasz.
I raczej – a przynajmniej do tej pory się z tym nie spotkaliśmy – nie będzie w domenie .info.