Bezpieczeństwo

Phishing na fałszywą aplikację InPost

Michał Rosiak

24 września 2020

Sytuacja w zasadzie dzieje się już od kilku/nastu tygodni, o czym pisaliśmy już na stronie CERT Orange Polska (polecam, tam o bezpieczeństwie nie tylko w czwartki ;) ). Do klientów naszej - i nie tylko - sieci przychodzą fale SMSów, podszywających się pod wiadomości z firmy InPost. Oczywiście z operatorem Paczkomatów nie mają nic wspólnego - celem ich nadawców, jest by na naszych smartfonach wylądował trojan Cerberus.

aaaaAplikacje tylko z oficjalnego sklepu!

Niemal od początku istnienia Androida wszyscy trąbią na lewo i prawo o konieczności instalowania aplikacji wyłącznie z oficjalnego sklepu. Co więcej, z kolejnymi głównymi edycjami pojawiały się coraz bardziej rozszerzone opcje bezpieczeństwa. I co? I ciągle znajdują się ludzie, którzy bez namysłu odklikują "nie instaluj ze źródeł zewnętrznych", bo... właśnie, w zasadzie dlaczego? Może ktoś wie i podzieli się w komentarzach?

A skoro są tacy ludzie, to przestępcy skwapliwie to wykorzystują, od pewnego czasu biorąc na cel firmę InPost. Operator paczkomatów od jakiegoś czasu, jeśli korzystamy z aplikacji mobilnej, nie wysyła już SMSów, pozostając przy mailach i informacji push w aplikacji. Wciąż jednak sporo osób nie chce/nie umie radzić sobie z aplikacją, przychodzą więc do nich niezmiennie SMSy. Co gorsza - kolejkowane pod prawdziwymi, ze względu na identyczny nadpis (tzn. nazwę nadawcy). W internecie można znaleźć przynajmniej kilka historii osób, które zaufały fałszywym SMSom, co kończyło się zalogowaniem na witrynę, podszywającą się pod bramkę płatności i okradnięciem konta bankowego ofiary.

Ataki hybrydowe

W ostatnich tygodniach obserwujemy ataki, które można by określić mianem "hybrydowych". Z jednej strony dostajemy SMSa, z drugiej zaś - sugerując pobranie aplikacji (bo przecież aplikacji należy ufać, tak jesteśmy uczeni!). Po kliknięciu w link widzimy stronę do złudzenia przypominającą Sklep Play. Z wyjątkiem linków, rzecz jasna. No i wchodząc z telefonu nie jesteśmy przekierowywani - jak zwykle w takich przypadkach - do aplikacji Sklep Google. Dlaczego? Oczywiście dlatego, że nie ma żadnego sklepu!

Oczywiście z aplikacją InPost nie ma to nic wspólnego, a po instalacji (oczywiście wcześniej musimy zgodzić się na instalację z nieznanych źródeł) "wzbogacamy" nasz telefon o malware Cerberus. A ten to wyjątkowy specjalista - od kradzieży najpierw naszych poświadczeń logowania do e-banków, a następnie naszych całych oszczędności.

Lepiej tego nie robić. Nie dajcie się oszukać. Polecamy korzystanie z aplikacji mobilnej (nie tylko w przypadku paczkomatów), a tę prawdziwą, nie podstawioną, weźcie po prostu ze Sklepu Play. Oczywiście 24 godziny na dobę pilnujemy, czy w sieci nie pojawią się nowe wersje "sklepów", blokując coraz to kolejne.

W ciągu mijającego tygodnia takich stron było kilkanaście!

Jeśli sami chcecie trzymać rękę na pulsie - obserwujcie naszego Twittera, gdzie zaprzyjaźnieni researcherzy regularnie podrzucają nowe IoC (Indicators of Compromise, w tym przypadku po prostu adres stron, udających Sklep Play).

Please prove you are human by selecting the truck.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

pablo_ck 21:05 25-09-2020

Czasem zastanawiam się jak ludzie są pomysłowi – trzeba uważać na każdym kroku.

Odpowiedz

Oferta

Tańsze telefony dla tych, którzy chcą zostać z nami dłużej

Kasia Barys

23 września 2020

Dla abonamentowych klientów, którzy chcą zostać z nami dłużej, Orange do końca października obniżył ceny na wybrane smartfony.

Samsung Galaxy S10+ 128 GB można kupić taniej, teraz aż o 1152 zł dla Planu Mobilnego 45. Huawei P30 lite dla Planów Mobilnych 45 i 55 jest od dzisiaj tańszy o 288 zł, a dla Planu 75 o 408 zł.

Tańsza oferta dedykowana jest także dla klientów Orange Love, którzy przedłużą umowę. Huawei P30 lite dla Orange Love jest tańszy o 288 zł, dla Love Standard 408 zł a dla Love Extra 528 zł. Cena za Samsung Galaxy S10+ 128 GB kontynuując ofertę Orange Love Mini jest niższa o 1152 zł

Tańsze są także modele Samsung Galaxy S20, czy iPhone 11 64GB.

Więcej informacji na orange.pl

Please prove you are human by selecting the tree.

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

mike278 22:34 31-07-2025

Mój Grzegorz Brzęczyszczkiewicz już czeka 😀

Odpowiedz

Oferta

Nowe zegarki Apple już w ofercie Orange. iPady wkrótce

Wojtek Jabczyński

18 września 2020

Trzy dni po premierze, zgodnie z naszą zapowiedzią, do oferty Orange Polska wprowadziliśmy zegarki Apple Watch 6 i Apple Watch SE. Od razu informacja o tabletach. Nowy iPad będzie dostępny po weekendzie, a iPad Air w przyszłym miesiącu.

Nie będę rozpisywał się na blogu o nowych urządzeniach. Techniczne opisy przeczytacie na naszej stronie, tam znajdziecie też ceny z możliwością zakupów na raty. Oferta jest przygotowana zarówno dla klientów indywidualnych, jak i biznesowych.

Nowa oferta jest dobrą okazją, aby przypomnieć o eSIM. Spośród wielkiej czwórki polskich operatorów - w zegarkach Apple zainstalujecie go tylko w Orange. Nasz eSIM będzie działał na Apple Watch 6 i Apple Watch SE. Jakie to ułatwienie, wie każdy kto korzysta.

Fajne porównanie różnych typów zegarków jest na stronie Apple. Główną nowością, na którą warto zwrócić uwagę w „szóstce” jest nowy czujnik potrafiący mierzyć natlenienie krwi. Ciekawe rozwiązanie zwłaszcza dla aktywnych sportowo użytkowników.

Please prove you are human by selecting the tree.

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.