Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

• Sprawdzajcie adres strony, na którą wchodzicie
  • bankowych przede wszystkim…
• Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
• Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
• Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
  • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
• A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Bywają phishingi świetne. Socjotechniczne perełki, na które złapie się praktycznie każdy. Jednak gros takich ataków to sytuacje pełne migających nam przed oczami czerwonych lampek. Zobaczcie na przykładzie jak wyglądają i pokażcie ten tekst komu możecie. Internauci wciąż łatwo padają ofiarą sieciowych oszustw. Poniżej dla Was analiza jednego z phishingów. Z jednej strony – idealny materiał do tego, by pokazać, na co trzeba uważać, gdzie oszuści robią błędy, które – gdy już wiemy na co patrzeć – stają się oczywiste. Ale pamiętajcie, by nie lekceważyć wroga. Oni nie są głupi, uczą się iza każdą kampanią mogą być coraz lepsi.

Zaczyna się od maila

Mail to ulubiony wektor ataku phishingowego. Najłatwiejszy do przeprowadzenia socjotechnicznych sztuczek, tym bardziej, gdy mail przychodzi od znanej firmy, a w wiadomości pojawia się… nasze imię i nazwisko.

Tak właśnie było. Pani Natalia dostała maila na swój adres, ze swoimi faktycznymi personaliami. To akurat cwane zagranie, może wzbudzić zaufanie, a nie zaniepokojenie. Skąd oszust wziął dane Pani Natalii? Zazwyczaj nie jest to trudne. Zastanówcie się sami, w jak wielu miejscach w sieci wpisaliście swoje imię, nazwisko i mail? Ano właśnie… Jednak już nawet na tym pierwszym obrazku widzimy czerwoną lampkę #1. Co nią jest? Ano adres nadawcy. Mail

[info@xewerta.com]

nie ma nic wspólnego z domniemanym nadawcą, czyli Allegro. No ale załóżmy, że gdy oczy zobaczyły hasło „iPhone!” – przestały patrzeć się w inną stronę. Co prawda go nie zamawialiśmy (lampka #2), no ale skoro już jest? To może jednak kliknę, przecież to tylko pakiet trzeba potwierdzić. A po kliknięciu przechodzimy na stronę

hxxps://www.loudmatch.com (i dalej szczegółowy URL, wpisywanie którego tutaj nie ma sensu).

To nie jest strona Allegro (lampka #3).

Pięć z… trzech pytań

I od razu pojawia się więcej pytań, jeśli tylko przez chwilę pochylimy się nad treścią. Jaka weryfikacja, skoro paczka miała już być gotowa do dostarczenia? (lampka #4) Po co pytają mnie o imię (w kolejnym pytaniu również adres mailowy) skoro to dla mnie miała być ta nagroda? (lampka #5). Dlaczego polska firma używa zwrotu, który w języku polskim jest niegramatyczny  „Czy to jest twoje imię Natalia [nazwisko]” (i pisze „twoje” z małej litery)? (lampka #6).

No i skąd się wzięło… piąte z trzech pytań? (lampka #7)

Dobra, to skoro już przebrnęliśmy przez weryfikację, czy mogę potwierdzić tę paczkę z ajfo…

Ej, ale przecież miał być iPhone! Nie telewizor, po co mi jakiś voucher? (lampka #8), Co znaczy „odkryć nagrodę”, przecież to już miała być paczka gotowa do dostarczenia? (lampka #9). Na szczęście jednak po „losowaniu” z czterech nagród faktycznie dostaliśmy iPhone’a!

(tak można by się czepnąć zwrotu „Twój numer (…) jest”, ale odpuśćmy, bierzmy w końcu tę nagrodę!)

To w końcu wygrałem, czy dopiero mam szansę?

Ale jak to… szansa? Przecież to miała być gotowa paczka, do potwierdzenia tylko. I co, znowu mam podać gdzieś moje dane? (lampka #10) A w ogóle to czemu ta strona już nie jest w stylistyce Allegro, a adres jest zupełnie inny? (lampka #11).

Jeśli wpadłby Wam do głowy pomysł: „Dobra, to może jednak wyklikam i dostanę tego iPhone’a” – jednak odradzam. A to dlatego, że na górze ostatniej strony znajdziecie (drobnym druczkiem, ja powiększyłem) to:

To już ostatnia, 12. ostrzegawcza lampka. Phishing, który opisuję, ma tak naprawdę jeden… plus. Czy może inaczej – nie ma kluczowego MINUSA. Tu nikt nie wbije się Wam na konto i nie ukradnie oszczędności życia. W zasadzie to nikt Wam tu niczego nie kradnie. To Wy sami kupujecie niepotrzebną usługę za 284 PLN miesięcznie. Tyle dobrego, że możecie łatwo (tak, wystarczy skontaktować się z obsługą klienta serwisu, do którego dostęp kupiliście) zrezygnować z kolejnych płatności. My oczywiście stronę prowadzącą do tej finalnej zablokowaliśmy.

Czytajcie treści stron, szczególnie wtedy, gdy wydają się być wyjątkowymi okazjami. Zauważajcie wielkie, świecące Wam prosto w oczy czerwone lampki. A linka do tego tekstu prześlijcie wszystkim, co do których macie obawy, że też mogą ich nie zauważyć.

Bądźcie bezpieczni, #zostanciewdomu. I zaglądajcie regularnie na Twittera CERT Orange Polska i naszą stronę – tam piszę na bieżąco, nie tylko w czwartki 😉

To w sumie był całkiem oczywisty krok. Kiedy specjaliści od cyberbezpieczeństwa (wyżej podpisanego włączając), wbijają nam na każdym kroku: „Nie ufaj dziwnym mailom!”, „Nie wchodź na dziwne strony!”, „Nie klikaj w linki w SMSach!”, „Używaj aplikacji mobilnych!” – to nic dziwnego, że coraz więcej z nas się ku rzeczonym aplikacjom mobilnym skłania. A tu – cóż, w to graj przestępcom, którzy… podsuwają nam aplikację mobilną. Swoją, rzecz jasna.

SMSy (nie) od Allegro i InPostu

I pewnie prędzej, czy później, lista firm, których marki przestępcy nadużywają przedłuży się o kolejne (update na samym dole). A to dlatego, że pomysł – to przestępcom trzeba przyznać – jest całkiem niegłupi. Zobaczcie jak to wygląda, na przykładzie scamu na jedną z wymienionych firm.

Zaczyna się od SMSa. W przypadku InPostu standardowego SMSa o umieszczeniu przesyłki w Paczkomacie. Z drobnym dodatkiem – sugestią „aktualizacji aplikacji”. Pomysł z aktualizacją jest niegłupi, bowiem tylko część (mam nadzieję, że mniejsza) użytkowników paczkomatów wciąż korzysta z SMSów, pozostałym ta metoda autoryzacji została ze względów bezpieczeństwa wyłączona, bowiem wybrali aplikację mobilną. Oni na „instalację aplikacji” się nie złapią, ale z aktualizacją może się udać…

Może, bo przy dokładniejszym przyjrzeniu się SMSowi, jest to intryga grubymi nićmi szyta. Nadawca to nie, jak przy poprzednich kampaniach, InPost, więc nowy SMS nie skolejkuje się z poprzednimi (a tak by było, gdyby przestępcy użyli nadpisu z nazwą firmy). Dodatkowo –

witryna inpost.ltd powinna nie tylko podnieść w naszym mózgu czerwoną flagę, a raczej obudzić ubraną w jaskrawy szkarłat orkiestrę dętą pokazującą maksimum swoich umiejętności.

Prawie jak Google Play

Jeśli klikniemy w ten link (zrobiłem to, żebyście Wy nie musieli – z maszyny wirtualnej, rzecz jasna) zobaczymy witrynę udającą całkiem sprytnie Sklep Play. Oczywiście z wyłączeniem adresu, no i wchodząc na nią na telefonie, nie zostaniemy przekierowani do aplikacji sklepu. Nie zapomnijmy też, że klikając w link do „instalacji” zostaniemy poproszeni o zgodę na instalację aplikacji… spoza Sklepu Play. Nie śmiejcie się – są ludzie, którzy dadzą się oszukać, nie każdy jest cyfrowo świadomy na odpowiednim poziomie.

A co jeśli zainstalujemy? Aplikacja – jak zakładam, tego nie testowałem – nie zadziała, ale na pewno zadziała trojan bankowy „Cerberus”.

On wykradnie nasze dane logowania do banku, a w następnym kroku nasze pieniądze.

Uważajmy, co czytamy, uważajmy, w co klikamy. Kilka minut więcej, poświęcone na ostrożność, może nam oszczędzić mnóstwo nerwów i zdrowia.

Update: W momencie pisania tego tekstu pojawiły się dwie nowe „aplikacje” – udające iPKO i Facebooka.

Nie ściągajcie NICZEGO spoza Google Play. W razie wątpliwości – piszcie do nas, na cert.opl@orange.com. Pomożemy, a jeśli faktycznie traficie na scam – Wy też pomożecie, innym internautom.

A po najświeższe bezpieczniackie newsy zaglądajcie na naszego Twittera.

Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

• Sprawdzajcie adres strony, na którą wchodzicie
  • bankowych przede wszystkim…
• Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
• Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
• Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
  • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
• A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Od kilku lat sprzedajemy na naszej stronie www.orange.pl odnowione telefony, które mają niską cenę, wyglądają jak nowe i do tego są objęte rękojmią. Do tego można je wybrać z różnymi planami taryfowymi. W przeważającej większości pochodzą z tzw. odstąpień od umowy, więc są praktycznie nieużywane. Nic dziwnego, że schodzą jak ciepłe bułeczki. Wracam do tego tematu, ponieważ robimy właśnie kolejne kroki i zaczęliśmy sprzedawać odnowione telefony przez Allegro. W ramach testu w tej chwili wystawionych jest 5 modeli: LG G90, Nokia Lumia 630, Nokia Lumia 635, Huawei Y530 i Samsung Galaxy Trend Plus. Ceny od 199 zł do 399 zł. Do kupienia jest 150 sztuk. Zainteresowanie jak na nowość spore, więc jesteśmy dobrej myśli. Wkrótce chcemy na Allegro wystawiać również telefony poekspozycyjne, czyli te które pokazywaliśmy klientom w salonach. Będą one mogły nosić niewielkie ślady używania, jednak w żaden sposób nie mające wpływu na ich sprawność techniczną. Póki co jednak, zasady odnawiania telefonów pozostają bez zmian, pozostaje standard „Jak nowy”, co oznacza, że telefon ma nie tylko prawidłowo działać, ale też wyglądać jak nowy. Dlatego w razie potrzeby wymieniamy części obudowy, czy wyświetlacz, jeśli mają ślady używania. Wszystkie części są oryginalne. Na zakończenie telefony przechodzą solidną weryfikację techniczną.