Bezpieczeństwo

Uważajcie na „reklamy” udające bank!

Michał Rosiak

06 maja 2021

Czasami sieciowy przestępcy potrafią działać w sposób wyrafinowany. Innym razem uderzają „na rympał” – bezczelnie i z tupetem takim, że ciężko uwierzyć. Tak właśnie wygląda trwająca w momencie publikacji tego teksty kampania phishingowa adresowana do klientów Banku Ochrony Środowiska i BNP Paribas.

„El” zamiast „i”

Wszystko zaczęło się wczoraj, w środę, gdy nasze systemy wykryły specyficzny ruch w zakresie rejestracji nowych domen internetowych. Mechanizmy, które opisywałem tydzień temu, wypatrzyły serię rejestrowanych witryn, do złudzenia przypominających adresy BOŚ i BNP Paribas. O nietypowej aktywności poinformowaliśmy przede wszystkim zainteresowanych, publikując również tekst na stronie i krótką informację na Twitterze. Podejrzane domeny w przypadku drugiego z banków wykorzystywały starą sztuczkę z podmianą „i” na „el”. Dodatkowo, wszystkie adresy, które do nas trafiły, umiejscowione były w domenie .com – niestandardowej jak na funkcjonujące w Polsce banki.

Szybko okazało się, że była to tylko część aktywności złych ludzi.

Reklama (nie)prawdę Ci powie?

Uważajcie na złośliwe reklamy w wynikach wyszukiwania Google. Kierują one na strony phishing @BOS__Bank.#phishing #BOŚBank pic.twitter.com/HxJ1FvDQZF

— PREBYTES SIRT (@Prebytes_SIRT) May 5, 2021

Kilka godzin później koledzy z Prebytes SIRT ostrzegli, że fałszywe strony Banku Ochrony Środowiska zaczynają pojawiać się w płatnych wyszukiwaniach Google, zaś w czwartek na Twitterze CSIRTu Komisji Nadzoru Finansowego pojawiła się informacja, że podobna sytuacja ma miejsce w przypadku BNP Paribas!

Przypadek? Nie sądzę...

Na czym polega taki sposób ataku? Przestępcy wykupują reklamy na słowa kluczowe kojarzące się z bankiem, by w sytuacji, gdy ofiara zamiast adresu strony wpisze nazwę banku w wyszukiwarce, na górze witryny zobaczyła stronę podstawioną przez oszustów. A, że adres będzie opisany jako reklama? Przyznam Wam szczerze, że sam czasami nie zauważam, które treści w wyszukiwarkach są reklamowe...

Nie byłbym oczywiście sobą, gdybym nie przyjrzał się co na podejrzanych witrynach dzieje się dalej.

Tylko na komórki

Na początku oszustom udało się mnie zmylić, bowiem w sytuacji, gdy wpisanie fałszywego adresu okazało się przekierowywać na prawdziwą stronę banku (co zresztą opisywałem w tekście na stronie CERT Orange Polska) doszedłem do wniosku, że mamy do czynienia jedynie z przygotowaniem do nadchodzącej kampanii. Gdy jednak wspominane reklamy zaczęły się pojawiać na szeroką skalę, kuleczka puknęła mnie w głowę, niczym pomysłowego Dobromira i wszedłem na jedną z witryn przy użyciu emulatora urządzenia mobilnego.

Bingo!

Po wpisaniu loginu ban... tzn. przestępcy proszą o wpisanie HASŁA. Ciekawe, czy dlatego wielkimi literami, żeby brzmiało bardziej przekonująco?

A na koniec... Cóż, nie wiem co na koniec. Biorąc pod uwagę, że poniższy obrazek

widniał, a kółeczko kręciło się, przez kilka minut, stawiam, że przestępcy sprawdzali w locie wpisany login i hasł. Dopiero, gdyby okazały się prawdziwe, pojawiłyby się kolejne monity, w których za pośrednictwem socjotechnicznych sztuczek namawialiby mnie do oddania im moich pieniędzy. Oczywiście nie wpisałem prawdziwego hasła (choćby dlatego, że nie mam konta w żadnym z tych banków). Ciekawe, czy oszustom podobały się „pozdrowienia”, które przesłałem im zamiast hasła? Nie mogłem się powstrzymać :)

Co robić?

Będę powtarzał DO ZNUDZENIA:

Logując się do banku przy użyciu podanego linku zawsze dokładnie sprawdzaj adres strony. Jeśli cokolwiek budzi Twój niepokój – nie wpisuj loginu ani hasła!

Najlepiej zadzwoń wtedy do banku i poinformuj o podejrzanej witrynie (bądź potwierdź, że to prawdziwa).

Uważajcie na siebie. W takich akcjach łupem przestępców padają nawet oszczędności całego życia. Oni nie mają skrupułów ani sumienia.

Please prove you are human by selecting the heart.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

mike278 11:16 07-05-2021

I człowiek zaczyna się zastanawiać czy kary są adekwatne. Coraz częściej mam odczucie że oprócz kary więzienia powinno się takim przestępcom orzekać np przepadek całego mienia a nie tylko sprzętu używanego do przestępstwa. I np zakaz posiadania konta bankowego. Niech żyją w erze niecyfrowej.

Odpowiedz

pablo_ck 22:46 07-05-2021

Dokładnie, popieram.

Odpowiedz

emitelek 15:13 09-05-2021

Też obiema rękami i nogami jestem ZA!!! 🙂

Odpowiedz