Do naszych systemów bezpieczeństwa trafiła wiadomość SMS z nadpisu: „Kredyt”. Treść od razu zapala czerwoną lampkę, zawiera bowiem link ze skrótowca is[.]gd, bardzo popularnego w kampaniach phishingowych.

Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/yEMkuB

Dopisano 6/11, g. 16:30: Jak sprecyzowało w serwisie X już po naszej publikacji koleżeństwo z CSIRT KNF, SMS jest drugim elementem schematu phishingowego. Wiadomości tekstowe trafiały do internautów, którzy uprzednio podali swoje dane, gdy zobaczyli fałszywą reklamę na Facebooku.

Państwowy program „Zero procent+”

Państwowy program wsparcia kredytowego – Zero Procent+. Odsetki pokrywa państwo!

Po kliknięciu w link trafiamy na stronę hxxps://autocredit[.]support. Kolorystyka witryny utrzymana jest w stylu serwisów rządowych, przekaz wzmacnia herb Rzeczypospolitej Polski w prawym górnym rogu, jak w przypadku witryn gov.pl.

Co się dzieje po kliknięciu? Sprawdziliśmy to, żebyście Wy nie musieli. Krótko: polskie banki, preferencyjne warunki, koszty ponosi państwo (stąd Zero Procent+), a pieniądze możecie wydać na dowolny cel (uchylmy rąbka tajemnicy: nie będzie żadnych pieniędzy):

Następnie ofiara trafia na monit o podanie szczegółowych danych kontaktowych. Teoretycznie – to pierwszy element ankiety. A de facto to sposób oszustów na zebranie danych osobowych odbiorcy SMS-a. W efekcie nawet jeśli nie się oszukać teraz – mając takie informacje można spróbować wykorzystać je później.

Kolejny krok to już zapowiadana ankieta. Po co? By zachować pozory, że mamy do czynienia z faktycznie istniejącym programem. Dodatkowo taka treść wpisuje się w narrację serwisu rządowego, z którym rzekomo mamy mieć do czynienia.

To oszustwo „na pracownika banku”

Gdy zdecydujemy się złożyć wniosek, pozostaje jeszcze wybór banku, na konto w których „chcemy otrzymać kredyt” w programie Zero Procent+.

Po wyborze banku pojawia się kopia jego witryny logowania, oczywiście niezmiennie w domenie autocredit[.]support. Ofiara, myśląc, że loguje się do banku, tak naprawdę podaje dane logowania oszustom. Co dzieje się potem?

Skąd taka zaślepka? Do tej pory spotykaliśmy się raczej ze stronami udającymi przetwarzanie informacji, w trakcie których oszust na bieżąco wykorzystywał dane wpisane przez ofiarę. Tym razem chyba nie pasowało mu wpisane hasło, bowiem nie minęła nawet minuta, gdy zadzwonił.

Po kilku pytaniach, dotyczących moich „celów kredytowych” mówiący czystą polszczyzną rozmówca poinformował mnie, że za chwilę skontaktuje się ze mną pracownik banku w celu potwierdzenia rejestracji. Po ok. dwóch minutach odezwał się jednak ten sam rozmówca, prosząc o ponowną próbę zalogowania.

Chwilę po tym, gdy potwierdziłem wpisanie hasła – „konsultant” rozłączył się. Być może powodem była nieco prowokacyjna treść hasła, która mogła dać mu do zrozumienia, że mam świadomość z kim mam do czynienia.

Co robić, by nie dać się oszukać?

Coś wygląda jak znakomita okazja, udaje nazewnictwem program rządowy, na stronie widnieje herb z Orłem Białym, na stronie proszą o Twoje dane, a potem proszą o zalogowanie do banku? Sprawdź adres w pasku przeglądarki, pamiętaj, by hasła do banku podawać wyłącznie na jego stronie! Jeśli link w pasku nie jest adresem Twojego banku – to oszustwo.

No i jeśli dostajecie informację, że „wniosek rozpatrzono pozytywnie”, podczas gdy nie składaliście żadnego wniosku – już to powinno być dla Was wystarczającą czerwoną flagą. Jeśli bowiem wcześniejsze etapy nie wzbudzą Waszej uwagi, czy niepokoju – rozmowa z oszustem może tego nie zrobić. Niestety coraz częściej przestępcy przygotowują się do takich kampanii naprawdę dobrze, budząc zaufanie ofiary.

The post Zero procent+ – fałszywy SMS udaje rządowy appeared first on CERT Orange.

Choć dominującą metodą dostarczania phishingu jest SMS, oszustom wciąż zdarza się wysyłać e-maile. Przede wszystkim w sytuacji, gdy podszywają się pod dużą, poważną firmę. Może to wzmocnić zaufanie ofiary.

Faktura skorygowana – zwrot z PGE

PGE (Polska Grupa Energetyczna) to sprzedawca energii i operator dystrybucji dla odbiorców detalicznych. W skali kraju PGE Dystrybucja odpowiada za dostawy prądu dla około 25–30% wszystkich odbiorców w Polsce (mieszkańców i firm).

Mail, który trafił prosto na skrzynkę CERT Orange Polska (cert_opl@orange.com, polecamy nie tylko oszustom), choć udawał w stylistyce PGE, nadany został z prywatnego adresu w domenie jednego z krajowych dostawców e-mail. Link prowadził do strony w domenie .jp.

Gdy „zalogujemy” się na stronie (cudzysłów nieprzypadkowy, w trakcie analizy wpisałem losowy login i hasło):

trafiamy na informację o tym, że czeka na nas zwrot z PGE. Ale nie w kwocie zapowiadanej w mailu. Po „zalogowaniu” (czyli podaniu oszustom naszego loginu i hasła) dowiadujemy się, że czeka na nas 279,29 PLN.

Różnica wynosi zaledwie 16 groszy, ale jeśli ktoś doszedł do tego miejsca, powinna zapalić mu się czerwona lampka. W systemach billingowych co do zasady nie zdarzają się takie pomyłki. I o ile po przejściu do zlecenia zwrotu na wystawionym przez oszustwa formularzu też widzimy kwotę kończącą się 29 groszami…

po wpisaniu danych „Autopay procesuje nasz zwrot”:

by ostatecznie okazało się, że choć zwrot miał być na kartę, ale tak naprawdę to zwrot nastąpi za pośrednictwem Google/Apple Pay. A kwota ma wynieść… jednak 52.30 PLN.

Portfele cyfrowe Google i Apple służą do wydawania pieniędzy. Technicznie za ich pośrednictwem nie da się pieniędzy uzyskać. Do czego zatem ma służyć podanie kodu? Z prawdopodobieństwem graniczącym z pewnością oszust w ten sposób zamaskował monit o podanie kodu 3D Secure. Jest on bardzo często wymaganego przy płatnościach kartą online.

Jak nie paść ofiarą oszustwa?

Porady są podobne dla większości scamów, ale warto je powtórzyć:

• upewnij się, czy masz konto u danego dostawcy usługi (maile, czy SMS-y są wysyłane hurtowo, oszuści nie dysponują bazą klientów danego usługodawcy)
• sprawdź adres nadawcy e-maila
• czy link na pewno prowadzi do strony usługodawcy?
• jeśli wpisujesz gdziekolwiek hasła i/lub dane karty płatniczej – upewnij się, czy to strona usługodawcy, banku, czy bramki płatności
• załóż, że nie ma czegoś takiego jak zwrot pieniędzy na kartę w procedurze on-line; z takim przypadkiem możesz spotkać się w sklepie stacjonarnym, zwracając towar
• jeśli przychodzi do Ciebie SMS związany z płatnością – przeczytaj dokładnie jego treść; w przytaczanym przypadku informowałaby ona o tym, że właśnie potwierdzasz płatność w sieci oraz o jej kwocie

No i pamiętaj, że jeśli faktycznie masz nadpłatę u usługodawcy, ogólnie przyjętą praktyką jest rozliczanie jej przy kolejnych fakturach.

Nie daj się oszukać!

The post Zwrot z PGE? Nie – to oszustwo! appeared first on CERT Orange.

Motyw scamu „na loterię” jest wykorzystywany dość regularnie. Przede wszystkim w przypadku takim jak opisywany, gdy na rynku pojawia się nowy, długo oczekiwany produkt. Sam motyw nie zmienia się od lat. Nie pisaliśmy jednak o nim od pewnego czasu. Przypomnijmy więc na czym polega scam na iPhone 17 Pro Max (i inne – zdarzały się również na Samsunga S26).

Od maila do (nieistotnej) ankiety

Wektorem ataku w opisywanym przypadku jest wiadomość e-mail. Jest ona adresowana do ofiary z użyciem jej pseudonimu sieciowego – być może znalezionego w internetowym wycieku wraz z adresem e-mail. Taka forma może w pewnym stopniu uwiarygodnić atakującego.

Link zawarty w wiadomości prowadzi do domeny hxxps://healthsweepproviders[.]info/, po wejściu na którą (pod indywidualny adres) ofiara widzi informację, że jest o krok od iPhone 17 Pro Max. Zwróćcie uwagę na zegar z upływającym krótkim czasem. To socjotechniczna sztuczka, mająca przekonać adresata do szybkiego podjęcia decyzji.

Kolejne osiem kroków to ankieta z prostymi pytaniami. Nie będziemy Was zanudzać wszystkimi, pokażemy tylko trzy z nich. Generalnie pierwsze sześć (dwa poniższe przykłady) jest związanych z odbiorem marki Orange:

Zaś temat ostatnich dwóch to iPhone 17 Pro Max. To kolejna socjotechniczna sztuczka, by wywołać w odbiorcy pragnienie wygrania wymarzonego smartfona. Oczywiście nie ma znaczenia, jak odpowiemy na ankietę. To też psychologia. Możliwość dostania drogiego sprzętu za darmo mogłaby zapalić czerwoną lampkę potencjalnej ofierze. W tym przypadku może mieć poczucie „zasłużenia” na taką nagrodę.

Niby wysyłka iPhone 17 Pro Max – a jednak subskrypcja

Ostatni etap to informacja o sukcesie w wypełnieniu ankiety i o tym, że czeka na nas wymarzona nagroda. To też motyw znany od lat – dostajemy telefon za darmo, musimy tylko „zapłacić za wysyłkę”.

W kolejnych krokach jesteśmy proszeni o podanie danych osobowych i adresu e-mail. Po co? Skoro ktoś dał się złapać na taki scam, jest bardzo prawdopodobne, że można spróbować go oszukać powtórnie. A jeśli dostaniemy wiadomość na nasz adres, z naszym imieniem i nazwiskiem – wiarygodność nadawcy wzrośnie. W tym przypadku kluczowy jest jednak finałowy krok:

Ofiara, widząc już przed oczami iPhone 17 Pro Max, zazwyczaj nie spojrzy na dół. A tam wyraźnie widać, że nie płacimy za wysyłkę telefonu. Płacimy 1€ za weryfikację karty, a za 3 dni zostanie już z niej pobrane 38,95 euro (ponad 166 PLN).

Dałem/am się oszukać, co zrobić?

Sprawdź na wyciągu swojej karty, kto pobrał płatność. W tym przypadku nie licz na zwrot pieniędzy – na stronie jest szczegółowo napisane, za co jest pobierana opłata. Wróć na stronę, odezwij się do obsługi klienta i poproś o anulowanie subskrypcji. I pamiętaj – jeśli coś wydaje się tak nierealne jak iPhone 17 Pro Max za darmo to najpewniej realne nie jest. Ale jakby co to są w sklepie Orange Polska.

The post Nie rozdajemy iPhone 17 Pro Max za ankiety appeared first on CERT Orange.

Kampanie, które obecnie obserwujemy, to praktycznie to samo podszycie pod Binance o którym pisaliśmy niemal rok temu i które trafiło do ostatniego raportu CERT Orange Polska. Celem oszustów jest na początku wzbudzenie niepokoju u internautów korzystających z tej giełdy. Na końcu zaś – przekonanie ofiary do dobrowolnego, nieświadomego przelania swoich środków na konto przestępcy.

Pozorne ostrzeżenie w SMS-ie

Pierwszy element ataku phishingowego to SMS. Przychodzi z różnych nadpisów, głównie są to:

• Binance
• Binance-PL
• Route

Treść wiadomości to sprytna socjotechniczna sztuczka, na którą wielu może się złapać. Do niedawna najczęstszym motywem takich kampanii była informacja, że musimy coś zapłacić. Teraz coraz częściej oszuści informują o rzekomym zagrożeniu bezpieczeństwa i koniecznością pilnej reakcji na nie.

W jaki sposób przestępcy chcą przekonać ofiary? W przypadkach, które trafiają do CERT Orange Polska są to przede wszystkim informacje o wypłacie z naszego konta, bądź o logowaniu z obcego – najczęściej egzotycznego – kraju. Celem jest wywołanie poczucia pilności. Po to by ofiara jak najszybciej podjęła decyzję, zanim zorientuje się, że ma do czynienia z oszustwem.

Charakterystyczne zwroty to:

• Twoj kod weryfikujacy wyplate to (…)
• Kod wyplaty to (…)
• Wykryto logowanie z [NAZWA KRAJU]

Podszycie pod Binance i co dalej

Kolejne kroki oszustwa opisaliśmy szczegółowo we wspominanym na wstępie tekście z końcówki ubiegłego roku. Po dłuższe wyjaśnienie zapraszamy tam, a poniżej w skrócie opis, co dzieje się w kolejnych krokach:

• dzwonimy na podany numer, gdzie łączymy się z „konsultantem”
• „konsultant” pyta o transakcję/łączenie z danego kraju
• w kolejnym kroku rozmówca w celu „weryfikacji” pyta o dokładny stan naszego konta w Binance (by wiedzieć, czy warto nas okradać)
• następnie dowiadujemy się, że nasze konto jest zagrożone, przestępcy mogą je wyczyścić i rozmówca przeprowadzi nas przez proces zabezpieczenia naszych pieniędzy
• “konsultant” pyta z jakiej mobilnej platformy korzystamy i podaje link do oficjalnego sklepu i rzetelnej aplikacji mobilnej obsługującej kryptowaluty
• po zainstalowaniu aplikacji przychodzi do nas SMS z 12-wyrazowym „hasłem”
• „konsultant” prosi o wpisanie go w aplikacji

Co wtedy się stanie? Tu najlepiej zacytować naszego eksperta Adama Pichlaka z przytaczanego już tutaj tekstu:

12 wyrazów, które zostało przysłane SMS-em to forma zapisu klucza prywatnego portfela. W momencie wpisania tego kodu i przelania na “nasze” konto kryptowalut, trafią one również do portfela przestępcy (ofiara i oszust współdzielą klucz prywatny portfela). Biorąc pod uwagę, że utrzymuje on na bieżąco połączenie telefoniczne z ofiarą, można założyć, że od razu wyprowadzi je on na inne konto.

Nie dajcie się oszukać!

The post Podszycie pod Binance – kolejne próby oszustwa appeared first on CERT Orange.

Wszystko zaczyna się od wystawienia przedmiotu na sprzedaż, bądź aukcję („oszustwo na OLX” ma swoje warianty dotyczące choćby Allegro Lokalnie). W schematach wykorzystywanych dotychczas rzekomy „nabywca” kontaktował się z ofiarą za pośrednictwem WhatsAppa bądź (rzadziej) SMS-a. Tym razem odzywa się z poziomu interfejsu OLX, prosząc o podanie adresu e-mail.

Lepiej dopracowana socjotechnika

Prośba o podanie maila wysłana w taki sposób dowodzi dwóch kwestii. Po pierwsze tego, iż oszuści lepiej dopracowali przygotowanie ataku w aspekcie socjotechniki. To jednak przede wszystkim potwierdzenie faktu, iż zespół bezpieczeństwa OLX stara się reagować na bieżąco na zagrożenia, blokując oszukańcze linki wklejane w czat.

W innej wiadomości, która trafiła do CERT Orange Polska oszust sugeruje, iż proces zakupu OLX wymaga od niego wpisania adresu e-mail kupującego. To nieprawda, a zrzut ekranu wklejony do konwersacji jest przeróbką witryny OLX. Pozwoli to oszustowi na wysłanie phishingu na podany adres ofiary.

Warto też zaznaczyć, iż przez lata, podczas których rozwijało się oszustwo na OLX, internauci przyzwyczaili się, by traktować takie monity wysyłane przez WhatsApp lub SMS-em jako oszustwo. W tej sytuacji fakt otrzymania informacji od innego użytkownika OLX może uśpić naszą czujność.

Tymczasem wystarczy przyjrzeć się kontu domniemanego kupującego, by – jeśli stosujemy zasadę ograniczonego zaufania – podejść do niego przynajmniej z dystansem, jeśli nie od razu odrzucić taką „transakcję”. Opisywana próba ataku miała miejsce kilka dni temu. Jak widać – konto zostało założone we wrześniu.

Zwróćmy uwagę, że posiadacz konta wystawił swoją jedyną ofertę (by uwiarygodnić siebie jako rzetelnego kontrahenta) 2 godziny przed zrobieniem zrzutu ekranu. Używa domyślnej nazwy konta, będącej zbitkiem losowych liter i cyfr. Czy to jednak dowód na przekręt? Dowód – nie. Ale czerwona flaga zdecydowanie tak.

No i mamy oszustwo na OLX

Jeśli do tej pory mieliśmy wątpliwości, wiadomość, która po chwili do nas trafiła, powinna je ostatecznie rozwiać. Choć – jak widać poniżej – e-mail wygląda (to kluczowe słowo) na prawdziwy, wystarczy sprawdzić dwie kwestie, by upewnić się, że taki nie jest. Jeśli jesteście regularnymi czytelnikami naszej strony (lub kwestie cyberbezpieczeństwa nie są Wam obce) – w takiej wiadomości sprawdzacie adres nadawcy i docelowe linki:

I jaki jest efekt takiego sprawdzenia? sell@tp6599[.]com to nie jest adres InPost, podobnie jak witryna docelowa hxxps://n9[.]cl. Z mniej wyraźnych dzwonków alarmowych warto też zwrócić uwagę na powitalne zdanie w powyższej wiadomości. Sytuacja, gdy firmy wysyłając e-maile do konkretnego klienta, piszą „użytkowniku”, nie jest częstym przypadkiem. Gdy nadawca wie, do kogo wysyła wiadomość, personalizuje ją od pierwszego zdania. Mail generyczny – to sygnał ostrzegawczy.

Pora na kradzież

Po kliknięciu w link trafiamy na dopracowaną w porównaniu do wcześniejszych ataków stronę łudząco przypominającą InPost. Treści na witrynie są poprawne językowo i dopracowane graficznie. Uwagę zwraca ramka w prawym górnym rogu, uwiarygadniająca przekaz, wysłany wcześniej przez oszusta.

Kolejny krok to już znane z tego typu ataków przejście do fałszywej bramki płatności.

Do wyboru mamy 10 banków. Żaden nie jest wyszarzony, co dowodzi, że oszuści przygotowali kopie witryn każdego z nich. Warto zwrócić uwagę na ramkę w prawym dolnym rogu. Z jednej strony wzmacniająca zaufanie informacja, że po zaksięgowaniu pieniędzy możemy wysyłać produkt. Z drugiej – jeśli przyjrzymy się jej pod względem stylistycznym, zauważymy, że „przekaż zawartość paczki (…) Paczkomat lub PaczkoPunkt” to zwrot niepoprawny językowo.

Potem już tylko wejście na stronę udającą bank (z – to już wysoki poziom tupetu – ostrzeżeniem o oszustach w sieci!), wpisanie danych logowania:

i „oczekiwanie na przetworzenie transakcji”. Czemu do pięciu minut? Bo oszuści wysyłając informację o „zakupie” siedzą przy komputerze, czekając na reakcję ofiary. Okradają ją na bieżąco, zanim zorientuje się, że coś jest nie tak.

Jak nie dać się złapać na oszustwo na OLX?

A w zasadzie jak w ogóle ograniczyć ryzyko padnięcia ofiarą oszustwa? Przede wszystkim, jeśli sprzedajesz coś w sieci, załóż, że ktoś będzie Cię chciał oszukać. Niestety – tak wyglądają dzisiejsze realia. Skrypty oszustów na bieżąco przeglądają sieć, często zdarza się, że wystawiając ofertę w ciągu kwadransa dowiadujemy się, że kilka osób „kupiło nasz produkt”.

Sprzedajesz na OLX, Allegro Lokalnie, czy podobnym serwisie? Nabywca kupuje Twój towar, wpłaca pieniądze, Ty wysyłasz towar zgodnie z procesem danego usługodawcy. Jeśli druga strona chce czegoś innego – masz do czynienia z oszustem. To naprawdę jest proste, nie ma żadnego „podawania maili”, czy „odbierania pieniędzy” przez podany link. Zapamiętaj to, a ryzyko, że padniesz ofiarą oszustwa znacząco spadnie.

Na koniec. Jeśli masz wątpliwości, czy linki które do Ciebie trafiły, są prawdziwe – wyślij je do nas. W przypadku, gdy okażą się fałszywe – poinformujemy Cię o tym. Jeśli masz pewność, że to oszustwo na OLX (i nie tylko takie) – tym bardziej daj nam o tym znać! Pomożesz wtedy również innym internautom.

The post Oszustwo na kupującego – odświeżone appeared first on CERT Orange.

W kwietniu opisywaliśmy podobny atak, ukierunkowany na dostęp do systemu P1. Tym razem analiza SMS-ów, które trafiły do systemów CERT Orange Polska wskazuje na to, iż celem oszustów jest przejęcie kont w systemie gabinet.gov.pl.

UWAGA! Prosimy o włączenie weryfkacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji. gabinet-gov[.]org

Tak wyglądał jeden z SMS-ów, wysłany z nadpisu „Gabinet”. Pojawiały się też wiadomości wysyłane od nadawcy INFSMS. Linki kierowały również pod adresy www.asdasddre.pages[.]dev, gabinet.pages[.]dev. Docelowo użytkownicy trafiali na stronę gabinet-gov[.]org lub gabinet.ochrona-danych[.]info.

Co działo się dalej? Witryny docelowe łudząco przypominały panel logowania do usług rządowych. Różnica polegała na tym, że:

• rządowy serwis dostępny jest pod adresem https://login.gov.pl/login (bezpośrednie wejście przekierowuje do serwisu informacyjnego, dopiero bezpośrednie przekierowanie z konkretnego serwisu daje możliwość zalogowania)
• login.gov.pl pozwala na wybór jednej z pięciu metod logowania, podczas gdy fałszywa strona pozwala jedynie na zalogowanie mObywatelem

Z czym wiąże się nieautoryzowany dostęp do gabinet.gov.pl? Jeśli jesteście lekarzami – nie trzeba Wam tłumaczyć poziomu ryzyka. Dla wszystkich pozostałych – system gabinet.gov.pl pozwala m.in. na wystawianie e-recept oraz zwolnień lekarskich. Pole do nadużyć jest olbrzymie. A ich konsekwencje poniesie osoba, która niefrasobliwie udzieliła dostępu do swojego konta.

Być może kolejna kampania związana jest z rozbiciem przez Centralne Biuro Zwalczania Cyberprzestępczości zorganizowanej grupy przestępczej handlującej lekami? Rynek – również ten przestępczy – nie znosi próżni. Miejsce oszustów którzy trafili do aresztu mogą próbować zająć nowi.

Jak ochronić Twoje konto w gabinet.gov.pl

Z technicznego punktu widzenia opisywana sytuacja to phishing jak każdy inny. Sprytna socjotechniczna sztuczka (rzekoma konieczność włączenia 2FA) ma przekonać ofiarę do kliknięcia w link. Dodatkowo, fakt iż z obserwacji CERT Orange Polska wynika, iż mamy do czynienia z niskowolumenową kampanią może dowodzić, że atakujący wysyłają SMS-y faktycznie do lekarzy/osób z dostępem do gabinet.gov.pl.

Jak uniknąć ryzyka?

• stosuj zasadę ograniczonego zaufania do SMS-ów zawierających linki
• absolutnie zawsze sprawdzaj adres w pasku przeglądarki, gdy strona wymaga od Ciebie podania hasła lub zalogowania się w inny sposób
• jeśli treść wiadomości wywołuje Twoje emocje – zadziałaj na przekór i przenalizuj ją wyjątkowo dokładnie, zanim cokolwiek zrobisz

Takich SMS-ów nie dostajesz wiele. Przyjrzenie się im dokładnie zajmie Ci minutę – może trzy. A zaoszczędzi mnóstwa potencjalnych poważnych konsekwencji. To rada nie tylko dla lekarzy – powinien o tym pamiętać absolutnie każdy.

The post Lekarzu, chcą przejąć Twoje konto w Gabinet.gov.pl appeared first on CERT Orange.

SMS-y przychodzą z nadpisów z imionami kobiet. Przykładowi nadawcy podpisują się m.in. jako: Matylda, Madzia, Monika i Barbara. W jednym z przypadków nadawcą było „Allegro”, a konto na Telegramie podpisane było jako „Allegro Promoter” z logo serwisu aukcyjnego. W kwietniu pierwotny wektor ataku był bardziej rozbudowany – zaczynało się od rozmowy telefonicznej, w kolejnym kroku oszuści używali jeszcze WhatsApp.

Tym razem przestępcy kontaktuj się przez SMS. Każda wiadomość wygląda tak samo:

Dzien dobry, pomyslnie przeszedl(a) Pan/Pani ocene. Dzienna stawka wynosi od 200 do 800 zl. Prosimy o kontakt przez telegramu:    hxxps://t[.]me/Imię_żeńskie[cyfry]

Na pytanie zadane przez Telegram dostajemy odpowiedź będącą niemal kopią tej opisywanej przez nas w kwietniu.

Niestety rozmówczyni/rozmówca nie podjęła dalszej rozmowy, docelowo blokując nas na Telegramie.

O co chodzi w tym oszustwie?

Opisywaliśmy je szerzej w dłuższej analizie, więc polecamy jej lekturę. W skrócie: oszuści faktycznie będą przelewać Ci pieniądze, coraz większe (ale wciąż relatywnie małe – dziesiątki złotych) kwoty. W kolejnych krokach będą Cię prosić o przelanie pewnej kwoty im, idącej nawet w setki złotych, by następnie zwrócić Ci ją z naddatkiem. Wszystko po to, by wzbudzić zaufanie. W pewnym momencie poproszą Cię o naprawdę duży przelew – i tych pieniędzy już nie oddadzą.

CERT Orange Polska monitoruje złośliwy ruch wykorzystujący ten schemat, podejmując działania zgodne z przepisami prawa. Mimo tego warto znać ten schemat i wiedzieć, czego unikać, gdybyście stanęli w opisywanej sytuacji. Pamiętaj: jeśli ktoś gratuluje Ci „przejścia oceny”, a Ty nie przypominasz sobie, by coś takiego miało miejsce – to oszustwo!

The post SMS z linkiem do Telegrama? To oszustwo, nie oferta pracy appeared first on CERT Orange.

Mail ma wizualnie imitować oficjalną komunikację prowadzoną przez Orange, a w ramach uwiarygodnienia umieszczono w nim nawet fikcyjny numer sprawy. Według wiadomości na potwierdzenie mamy tylko 24 godziny, a niedotrzymanie terminu może skutkować „opóźnieniem wypłaty lub chwilowym wstrzymaniem świadczenia usług”. Tworzenie presji czasu i groźby konsekwencji w razie niepodjęcia działań, to znane sztuczki przestępców liczących, że w pośpiechu nie będziemy uważni i damy się oszukać. Zwróćcie uwagę na nadawcę maila, wyświetlana nazwa to „Orange”, ale adres należy do włoskiej restauracji.

Pod przyciskiem „Potwierdź dane” kryje się link do strony podszywającej się pod stronę logowania Mój Orange. Strona phishingowa wyłudza nie tylko login i hasło, ale w kolejnych etapach także dane karty płatniczej. Kopia strony jest niemalże nie do odróżnienia, ale jak zawsze w takich przypadkach, adres URL strony widoczny w pasku na górze strony powinien zwrócić naszą uwagę – domena nie ma nic wspólnego z Orange!

Uważaj na wiadomości e-mail i SMS-y sugerujące problemy z Twoją umową, czy kontem Orange! Zanim wpiszesz gdziekolwiek swój numer telefonu, hasło, kod jednorazowy, czy dane karty płatniczej – sprawdź adres strony!

Na konto Orange loguj się wyłącznie pod adresem https://www.orange.pl/twojekonto lub przy użyciu aplikacji Mój Orange/Orange Flex. Jeżeli jeszcze tego nie zrobiliście, to koniecznie skonfigurujcie dwuetapowe uwierzytelnianie (2FA) w Mój Orange, wtedy skradzione login i hasło nie wystarczą do przejęcia Waszego konta.

Jeśli trafi do Ciebie podejrzany SMS – prześlij go do nas na nr 508 700 900. Jeśli dostaniesz e-mail, co do rzetelności którego masz wątpliwości – nasz adres cert.opl@orange.com jest do Twojej dyspozycji.

The post Szybkie potwierdzenie danych na koncie Mój Orange? To wyłudzenie! appeared first on CERT Orange.

Po zarezerwowaniu noclegu, hotel wysyła do nas poprzez chat w aplikacji booking, prośbę o zapłatę wraz z linkiem do szybkiej płatności. Podejrzany w tym przypadku jest sam link, ponieważ przekierowuje on na zewnętrzną stronę z fałszywą bramką płatności.

Oszustwo to jest na tyle sprytne, gdyż wysyłana wiadomość jest celowana do konkretnych osób, które wykupiły rezerwację, a cały proces jest realizowany za pomocą przejętych przez przestępców kont hotelowych. Finalnie, okazuje się, że to nie hotel wysłał do nas tą wiadomość, a cyberprzestępca który włamał się na konto hotelu.

Podsumowując:
Jak wygląda wiadomość?

• Zawiera link prowadzący do zewnętrznej domeny typu hxxps://dearyouhotelbapa[.]faf-ib[.]com, który przekierowuje użytkownika na stronę podszywającą się pod Booking (booking[.]confirmation-id).
• W treści pojawia się informacja:
  „Przypominamy, że ten krok jest niezbędny do potwierdzenia Twojej rezerwacji.”
• Strona końcowa wyświetla formularz do podania danych karty płatniczej.

Jak się chronić?

• Nie klikaj w podejrzane linki wysyłane przez czat aplikacji Booking.
• Zweryfikuj adres strony – oficjalny Booking.com używa domeny booking.com, nie booking[.]confirmation-id***
• Jeśli podałeś dane karty, natychmiast skontaktuj się ze swoim bankiem.

IOC:
booking[.]confirmation-id1274[.]com
booking[.]confirmation-id4814[.]com
booking[.]confirmation-id82133[.]com
booking[.]confirmation-id4481[.]com
booking[.]confirmation-id1238[.]com
booking[.]confirmation-id1289[.]com
booking[.]confirmation-id16591[.]com
booking[.]confirmation-id1513[.]com
booking[.]confirmation-id1553[.]com
booking[.]confirmation-id8644[.]com
booking[.]confirmation-id1537[.]com
booking[.]confirmation-id40201[.]com
booking[.]confirmation-id1548[.]com
booking[.]confirmation-id79528[.]com
booking[.]confirmation-id7496[.]com
booking[.]confirmation-id1603[.]com
booking[.]confirmation-id6596[.]com
booking[.]confirmation-id1691[.]com
booking[.]confirmation-id1831[.]com
booking[.]confirmation-id49041[.]com
booking-confirmation-id73552[.]com
booking[.]confirmation-id91248[.]com
booking[.]confirmation-id1686[.]com
booking[.]confirmation-id1833[.]com
booking[.]confirmation-id56783[.]com
booking[.]confirmation-id1687[.]com
booking[.]confirmation-id566323[.]com
booking[.]confirmation-id1790[.]com
booking[.]confirmation-id1763[.]com
confirmation-id1642[.]com
booking[.]confirmation-id1796[.]com
booking[.]confirmation-id1829[.]com
booking[.]confirmation-id79524[.]com
booking[.]confirmation-id7192[.]com
booking[.]confirmation-id41240[.]com
booking[.]confirmation-id1795[.]com
booking[.]confirmation-id33151[.]com
booking[.]confirmation-id1767[.]com
booking[.]confirmation-id453467[.]com
booking[.]confirmation-id63744[.]com

The post Wakacyjne oszustwo za pomocą aplikacji Booking? Uważaj na te wiadomości z linkami. appeared first on CERT Orange.

Wiadomości tekstowe przychodzą z nadpisu „Wsparcie”. Ich celem jest wprowadzenie odbiorcy w błąd, iż jego usługi Orange zostaną zawieszone jeśli nie zapłaci 8 PLN. Warto jednak pamiętać, że oszust może próbować wysyłać treści z innych nadpisów, a linki mogą prowadzić do innych, podobnych domen.

W przypadku klientów naszych usług użycie nadpisu „Orange” jest ograniczone do informacji wysyłanych przez Orange Polska. CERT Orange Polska nieprzerwanie analizuje złośliwy ruch i powiązane z nim domeny trafiają do CyberTarczy.

Domena Orange-login[.]com została zarejestrowana w środę 23 lipca u włoskiego dostawcy Register IT. Zapytanie Whois oczywiście nie zwraca danych właściciela, kierując do formularza na stronie dostawcy. W momencie powstawania tego tekstu pojawiła się nowa domena, orangerenew[.]com, zarejestrowana u tego samego registrara.

Niezbędna „aktualizacja danych”

Po kliknięciu w link trafiamy na stronę mogącą przypominać witrynę logowania do serwisów Orange Polska.

Co ciekawe, po wpisaniu numeru telefonu okazuje się, że nazywamy się „Jan Kowalski”. I nawet jeśli w kolejnym kroku podamy (w opisywanym przypadku oczywiście fikcyjne) dane osobowe…

…wciąż pozostaniemy Janem Kowalskim.

W kolejnym kroku dowiemy się za to dlaczego otrzymaliśmy SMS-a od „Orange login”. Rzekomo ma chodzić o zmianę ceny pakietu, z którego korzystamy. W tym celu niezbędna ma być aktualizacja danych, czy też weryfikacja naszych danych płatniczych.

Po kliknięciu czerwonego przycisku trafiamy na witrynę z monitem o podanie danych karty płatniczej (na zrzucie ekranu jeden z testowych, jawnych numerów).

Następnie pojawia się „kółeczko” i informacja o tym, że musimy odczekać 20 sekund. W tego typu modus operandi w tym momencie oszust próbuje na bieżąco wykonać transakcję przy użyciu wpisanych danych karty. W testowanym przypadku po upływie 20 sekund pojawił się jednak monit o podanie kodu PIN z SMS-a wysłanego na podany numer.

SMS (mimo poprawnego numeru) – do nas nie dotarł. Próba wpisania losowego czterocyfrowego kodu zakończyła się komunikatem o błędzie i… informacją, że PIN powinien liczyć 6 cyfr. Co zatem stało się po wpisaniu sześciu?

Sytuacja została pomyślnie uregulowana! A kliknięcie w powrót do panelu przeniosło nas na stronę https://orange.pl/.

Jak uniknąć ryzyka?

Przede wszystkim pamiętaj, że „Orange login” to nie to samo co orange.pl/login! Za każdym razem gdy usiłujesz się gdziekolwiek zalogować, sprawdź adres w pasku przeglądarki! W przypadku usług Orange Polska po prostu zaloguj się na stronie https://www.orange.pl/twojekonto/ a najlepiej skorzystaj z aplikacji Mój Orange.

Nie daj się oszukać! A jeśli masz jakiekolwiek wątpliwości, co do SMS-a – prześlij go do nas.

The post To nie jest aktualizacja danych Orange appeared first on CERT Orange.