Michał Rosiak 
Zwrot nadpłaty to socjotechniczny trick (na szczęście) rzadko używany przez internetowych oszustów. W tym tygodniu sobie o nim przypomnieli, a CERT Orange Polska zaobserwował też kolejną kampanię podszywającą się pod serwisy rządowe.
Koniec nudy - cyber gamonie zaczęli zdaje się zbierać pieniądze na świąteczne prezenty. W mijającym tygodniu systemy bezpieczeństwa CERT Orange Polska wyłapały dwie ciekawe kampanie przed którymi chcę Was ostrzec. Jeśli szukacie pełnych, szczegółowych analiz - podam również linki do nich. A na blogu będzie krótko, zwięźle i tak, by trafić do każdego.
"Dekret państwowy" i zwrot nadpłaty za prąd
Ceny mediów to stałe - i bolesne dla portfela - koszty utrzymania mieszkania, czy domu. Nic więc dziwnego, iż informacja, że możemy zapłacić mniej, powoduje zaciekawienie i szerokie otwarcie oczu. Otwarcie czasem na tyle szerokie, że nie zauważamy, iż mail został nadany z prywatnego adresu w domenie jednego z krajowych dostawców usługi e-mail, a zawarty w nim link prowadzi nie na stronę PGE Dystrybucja, tylko na jakąś niezwiązaną tematycznie z energetyką domenę w... Japonii.
Sprawdzacie zawsze te absolutnie podstawowe informacje? Mam nadzieję, że jeśli jesteście od lat stałymi czytelnikami naszego bloga, to tylko wzruszacie ramionami i mówicie pod nosem:
No a jak?!
W tym przypadku odpowiednia reakcja na oczywiste czerwone flagi od razu uratowałaby potencjalną ofiarę. A co jeśli okażemy się niefrasobliwi? Najpierw pokaże się okienko z monitem o login i hasło do panelu klienta PGE (jeśli wpiszemy - trafią do oszustów), następnie przycisk "zleć zwrot nadpłaty", potem pole na wpisanie danych karty, aż w końcu "kod Apple Pay/Google Pay", który tak naprawdę okaże się SMS-em autoryzującym transakcję kartą płatniczą on-line.
Potencjalne ryzyko? Wyzerowanie limitu karty i przejęcie pary login-hasło, którą można sprawdzić w innych serwisach. Dla zainteresowanych - szczegółową analizę znajdziecie tutaj.
Kredyt Zero+ na wszystko
Tak, wiem - wystarczy spojrzeć na ten śródtytuł, by pomyśleć:
Serio? Przecież to mega grubymi nićmi szyte!
No szyte, szyte - ale nie zmienia faktu, że ludzie się na to łapią, więc ostrzegać warto. W tym przypadku atak zaczyna się od fałszywej reklamy na Facebooku. Jeśli damy się jej skusić i wpiszemy przynajmniej numer telefonu - dostaniemy SMS-a. Dowiemy się z niego, że:
Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/[6-znakowy hash]
Po kliknięciu trafimy na taką stronę. Kusząca?
Dalej dowiemy się, że kredytów udzielają polskie banki, warunki są wyjątkowo preferencyjne, a kredyt możemy wykorzystać na dowolny cel. Wystarczy tylko wejść na stronę, wypełnić długą ankietę, wybrać bank i... zalogować się do niego, by potwierdzić chęć otrzymania kredytu. W moim przypadku 30 sekund po próbie logowania zadzwonił telefon (ma na takie cele specjalny numer telefonu), a oszust poinformował mnie, że przeprowadzi mnie przez cały proces logowania. Miał do mnie "zadzwonić ktoś z banku", ostatecznie oszust poprosił mnie o ponowne logowanie, po czym... rozłączył się. Myślę, że mogło to mieć coś wspólnego z tym, że hasło, którego użyłem, mogło sugerować, że wiem z kim mam do czynienia. Następnym razem nie popełnię tego błędu.
Co działoby się dalej? Zadzwoniłby "konsultant banku", przekonałby mnie do podania loginu i hasła do banku, w przypadku gdy do wyprowadzenia moich potrzebne byłyby inne kody - próbowałbym mnie namówić na ich podanie. Taka kradzież trwa błyskawicznie. Oszust sczytuje podane poświadczenia logowania w czasie rzeczywistym i bardzo często w momencie, gdy orientujemy się, że coś jest nie tak - jest dużo bardziej "nie tak", bo nasze konto jest puste. Tutaj nie masz co liczyć na zwrot nadpłaty...
Ponownie jak w pierwszym przypadku - jeśli chcecie poczytać szczegółową analizę, zapraszam na stronę CERT Orange Polska.
Jak radzić sobie z oszustami
W zasadzie mógłbym Wam powiedzieć: Spiszcie sobie czerwone flagi, które widzieliście wyżej w tym tekście i uważajcie na nie za każdym razem. Ale nawet oczywistych rzeczy nie zaszkodzi przypomnieć:
- sprawdź nadawcę e-maila
- upewnij się na jaką stronę prowadzą linki z maila, czy SMS-a
- jeśli wpisujesz gdziekolwiek swoje dane osobowe - zastanów się, czy to odpowiednie miejsce
- logujesz się do banku - upewnij się w stu procentach, że adres jest dobry
- a najlepiej nie wchodź na stronę banku z linku tylko sam/a wpisz adres
- jeśli w grę wchodzą Twoje pieniądze - poświęć minutę (wystarczy!) by upewnić się, co robisz; koszty ewentualnego błędu będą Cię kosztować znacznie więcej
Beata Giska 
Aleksandra Miecznikowska 
Komentarze