Michał Rosiak 
Zwrot nadpłaty to socjotechniczny trick na szczęście rzadko używany przez internetowych oszustów. W tym tygodniu sobie o nim przypomnieli. CERT Orange Polska zaobserwował też kolejną kampanię podszywającą się pod serwisy rządowe. Uważajcie.
Koniec nudy - cyberprzestępcy zaczęli "zbierać" pieniądze na świąteczne prezenty. W mijającym tygodniu systemy bezpieczeństwa CERT Orange Polska wyłapały dwie ciekawe kampanie, przed którymi chcę Was ostrzec.
"Dekret państwowy" i zwrot nadpłaty za prąd
Ceny mediów to stałe - i bolesne dla portfela - koszty utrzymania mieszkania, czy domu. Nic dziwnego, że jeśli możemy zapłacić mniej, to taka informacja powoduje zaciekawienie i szerokie otwarcie oczu. Otwarcie czasem na tyle szerokie, że nie zauważamy, że mail został nadany z prywatnego adresu w domenie jednego z krajowych dostawców usługi e-mail, a zawarty w nim link prowadzi nie na stronę PGE Dystrybucja, tylko na jakąś niezwiązaną tematycznie z energetyką domenę w Japonii.
Sprawdzacie zawsze te absolutnie podstawowe informacje? Mam nadzieję, że jeśli jesteście od lat stałymi czytelnikami naszego bloga, to tylko wzruszacie ramionami i mówicie pod nosem:
No a jak?!
W tym przypadku odpowiednia reakcja na oczywiste czerwone flagi od razu uratowałaby potencjalną ofiarę. A co jeśli okażemy się niefrasobliwi? Najpierw pokaże się okienko z monitem o login i hasło do panelu klienta PGE i jeśli wpiszemy - trafią do oszustów, następnie przycisk "zleć zwrot nadpłaty", potem pole na wpisanie danych karty, aż w końcu "kod Apple Pay/Google Pay", który tak naprawdę okaże się SMS-em autoryzującym transakcję kartą płatniczą online.
Potencjalne ryzyko? Wyzerowanie limitu karty i przejęcie pary login-hasło, którą można sprawdzić w innych serwisach. Dla zainteresowanych - szczegółową analizę znajdziecie tutaj.
Kredyt Zero+ na wszystko
Tak, wiem - wystarczy spojrzeć na ten śródtytuł, by pomyśleć:
Serio? Przecież to mega grubymi nićmi szyte!
No szyte, szyte - ale nie zmienia faktu, że ludzie się na to łapią, więc ostrzegać warto. W tym przypadku atak zaczyna się od fałszywej reklamy na Facebooku. Jeśli damy się jej skusić i wpiszemy przynajmniej numer telefonu - dostaniemy SMS-a. Dowiemy się z niego, że:
Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/[6-znakowy hash]
Po kliknięciu trafimy na taką stronę. Kusząca?
Dalej dowiemy się, że kredytów udzielają polskie banki, warunki są wyjątkowo preferencyjne, a kredyt możemy wykorzystać na dowolny cel. Wystarczy tylko wejść na stronę, wypełnić długą ankietę, wybrać bank i zalogować się do niego, by potwierdzić chęć otrzymania kredytu. W moim przypadku 30 sekund po próbie logowania zadzwonił telefon (mam na takie cele specjalny numer telefonu), a oszust poinformował mnie, że przeprowadzi mnie przez cały proces logowania. Miał do mnie "zadzwonić ktoś z banku", ostatecznie oszust poprosił mnie o ponowne logowanie, po czym rozłączył się. Myślę, że mogło to mieć coś wspólnego z tym, że hasło, którego użyłem, mogło sugerować, że wiem z kim mam do czynienia. Następnym razem nie popełnię tego błędu.
Co działoby się dalej? Zadzwoniłby "konsultant banku", przekonałby mnie do podania loginu i hasła do banku, w przypadku gdy do wyprowadzenia moich potrzebne byłyby inne kody - próbowałbym mnie namówić na ich podanie. Taka kradzież trwa błyskawicznie. Oszust sczytuje podane poświadczenia logowania w czasie rzeczywistym i bardzo często w momencie, gdy orientujemy się, że coś jest nie tak - jest dużo bardziej "nie tak", bo nasze konto jest puste. Tutaj nie masz co liczyć na zwrot nadpłaty.
Ponownie jak w pierwszym przypadku - jeśli chcecie poczytać szczegółową analizę, zapraszam na stronę CERT Orange Polska.
Jak radzić sobie z oszustami
W zasadzie mógłbym Wam powiedzieć: Spiszcie sobie czerwone flagi, które widzieliście wyżej w tym tekście i uważajcie na nie za każdym razem. Ale nawet oczywistych rzeczy nie zaszkodzi przypomnieć:
- sprawdź nadawcę e-maila,
- upewnij się na jaką stronę prowadzą linki z maila, czy SMS-a,
- jeśli wpisujesz gdziekolwiek swoje dane osobowe - zastanów się, czy to odpowiednie miejsce,
- logujesz się do banku - upewnij się w stu procentach, że adres jest dobry,
- a najlepiej nie wchodź na stronę banku z linku tylko sam/a wpisz adres,
- jeśli w grę wchodzą Twoje pieniądze - poświęć minutę by upewnić się, co robisz. Ewentualny błąd będzie Cię kosztować znacznie więcej.
Beata Giska 
Aleksandra Miecznikowska 
Komentarze
AMA było zawsze ważna częścią Forum. To wydarzenie pozwala użytkownikom zapytać bezpośrednio osoby od operatora najbardziej kompetentne w danym temacie o rzeczy nieoczywiste, czasem na granicy wiedzy samego operatora. Zwraca jednocześnie uwagę na problemy użytkowników i pozwala lepiej zrozumieć działania i procesy operatora, jak i technikę… Polecam gorąco
OdpowiedzJak zawsze, poziom wyżej niż się spodziewać można by było. Polecam archiwalne, te obecne i te przyszłe także.
Odpowiedz