Zero procent+ – fałszywy SMS udaje rządowy
Przestępcy wpadli na kolejny pomysł oszustwa. Wysyłają SMS-y, dotyczące rzekomej kampanii „Zero procent+”. Serwis do złudzenia przypomina rządowy, a celem jest wykradzenie naszych poświadczeń logowania do banku.
Do naszych systemów bezpieczeństwa trafiła wiadomość SMS z nadpisu: „Kredyt”. Treść od razu zapala czerwoną lampkę, zawiera bowiem link ze skrótowca is[.]gd, bardzo popularnego w kampaniach phishingowych.
Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/yEMkuB
Dopisano 6/11, g. 16:30: Jak sprecyzowało w serwisie X już po naszej publikacji koleżeństwo z CSIRT KNF, SMS jest drugim elementem schematu phishingowego. Wiadomości tekstowe trafiały do internautów, którzy uprzednio podali swoje dane, gdy zobaczyli fałszywą reklamę na Facebooku.
Państwowy program „Zero procent+”
Państwowy program wsparcia kredytowego – Zero Procent+. Odsetki pokrywa państwo!
Po kliknięciu w link trafiamy na stronę hxxps://autocredit[.]support. Kolorystyka witryny utrzymana jest w stylu serwisów rządowych, przekaz wzmacnia herb Rzeczypospolitej Polski w prawym górnym rogu, jak w przypadku witryn gov.pl.
Co się dzieje po kliknięciu? Sprawdziliśmy to, żebyście Wy nie musieli. Krótko: polskie banki, preferencyjne warunki, koszty ponosi państwo (stąd Zero Procent+), a pieniądze możecie wydać na dowolny cel (uchylmy rąbka tajemnicy: nie będzie żadnych pieniędzy):
Następnie ofiara trafia na monit o podanie szczegółowych danych kontaktowych. Teoretycznie – to pierwszy element ankiety. A de facto to sposób oszustów na zebranie danych osobowych odbiorcy SMS-a. W efekcie nawet jeśli nie się oszukać teraz – mając takie informacje można spróbować wykorzystać je później.
Kolejny krok to już zapowiadana ankieta. Po co? By zachować pozory, że mamy do czynienia z faktycznie istniejącym programem. Dodatkowo taka treść wpisuje się w narrację serwisu rządowego, z którym rzekomo mamy mieć do czynienia.
To oszustwo „na pracownika banku”
Gdy zdecydujemy się złożyć wniosek, pozostaje jeszcze wybór banku, na konto w których „chcemy otrzymać kredyt” w programie Zero Procent+.
Po wyborze banku pojawia się kopia jego witryny logowania, oczywiście niezmiennie w domenie autocredit[.]support. Ofiara, myśląc, że loguje się do banku, tak naprawdę podaje dane logowania oszustom. Co dzieje się potem?
Skąd taka zaślepka? Do tej pory spotykaliśmy się raczej ze stronami udającymi przetwarzanie informacji, w trakcie których oszust na bieżąco wykorzystywał dane wpisane przez ofiarę. Tym razem chyba nie pasowało mu wpisane hasło, bowiem nie minęła nawet minuta, gdy zadzwonił.
Po kilku pytaniach, dotyczących moich „celów kredytowych” mówiący czystą polszczyzną rozmówca poinformował mnie, że za chwilę skontaktuje się ze mną pracownik banku w celu potwierdzenia rejestracji. Po ok. dwóch minutach odezwał się jednak ten sam rozmówca, prosząc o ponowną próbę zalogowania.
Chwilę po tym, gdy potwierdziłem wpisanie hasła – „konsultant” rozłączył się. Być może powodem była nieco prowokacyjna treść hasła, która mogła dać mu do zrozumienia, że mam świadomość z kim mam do czynienia.
Co robić, by nie dać się oszukać?
Coś wygląda jak znakomita okazja, udaje nazewnictwem program rządowy, na stronie widnieje herb z Orłem Białym, na stronie proszą o Twoje dane, a potem proszą o zalogowanie do banku? Sprawdź adres w pasku przeglądarki, pamiętaj, by hasła do banku podawać wyłącznie na jego stronie! Jeśli link w pasku nie jest adresem Twojego banku – to oszustwo.
No i jeśli dostajecie informację, że „wniosek rozpatrzono pozytywnie”, podczas gdy nie składaliście żadnego wniosku – już to powinno być dla Was wystarczającą czerwoną flagą. Jeśli bowiem wcześniejsze etapy nie wzbudzą Waszej uwagi, czy niepokoju – rozmowa z oszustem może tego nie zrobić. Niestety coraz częściej przestępcy przygotowują się do takich kampanii naprawdę dobrze, budząc zaufanie ofiary.
