Choć jestem ostatnim człowiekiem, który chwaliłby sieciowych oszustów, nie sposób nie przyznać, że potrafią wstrzelić się w trendy. Choć z drugiej strony wyzwanie nie jest duże - początek lutego to już od lat dzień, w którym Urząd Skarbowy rozlicza nam e-PIT. Nic więc dziwnego, że teraz oszuści też wysyłają phishingowe SMS-y.
Podszycie się pod korespondencję państwową to jedna z potencjalnie najbardziej efektywnych socjotechnicznych sztuczek. SMS-y z nadpisy przypominającego GOV lub nazwy ministerstw? A może "wiadomość od komornika"? Generalnie wszystko, co po kliknięciu przenosi nas na stronę opatrzoną godłem Rzeczypospolitej Polski ma zrobić duże wrażenie na ofierze.
Rząd jest Ci winien pieniądze...
Brzmi poważnie? Z jednej strony, ktokolwiek, kto miał do czynienia z korespondencją z organów państwowych (i zastanowili się chwilę nad treścią strony) - zauważy, że to piramidalna bzdura.
Rząd Polski jest Ci winien pieniądze
Przecież nikt tak nie pisze! Z drugiej strony - witryna, którą widzimy, utrzymana jest w stylistyce znanej z serwisów rządowych. Dla wielu internautów, którzy (wciąż!) nie mają w zwyczaju sprawdzać adresu strony, na której wpisują swoje wrażliwe dane - fakt, że "wygląda jak rządowe" wystarczy. Warto też spojrzeć na treść SMS-ów, które mają nas zaprowadzić do docelowej witryny oszustów:
Ktoś ma dla nas pieniądze? Nadpłaciliśmy i czeka nas tylko bezpieczny-zwrot-podatku?
...czy to oszust chce Ci je zabrać
Nie ulega wątpliwości, że na część Polaków pieniądze faktycznie będą czekać. Ale nie w ten sposób, i dopiero za dwa dni.
Co się stanie, jeśli pójdziemy drogą podaną nam przez oszustów?
- pod pozorem potwierdzenia tożsamości zostaniemy poproszeni o wybór naszego banku
- zostaniemy przekierowani na fałszywą kopię jego strony
- po wpisaniu loginu i hasła zobaczymy monit o podanie kodu SMS, który wyśle nam bank
- oszust niezwłocznie przeleje nasze pieniądze na konto "słupa"
A jak wygląda faktyczny proces sprawdzenia, czy należy nam się zwrot podatku?
- najwcześniej 15 lutego logujemy się na stronie https://epit.podatki.gov.pl/
- upewniamy się, czy logując się do niej jesteśmy przekierowywani na serwis https://login.gov.pl/
- sprawdzamy i zatwierdzamy nasze zeznanie podatkowe
- jeśli należy nam się zwrot nadpłaty: uzupełniamy dane naszego konta jeśli to potrzebne i czekamy na pieniądze
W procesie zwrotu nadpłaty nie jest wymagane logowanie się do banku!
A jeśli chcecie przyjrzeć się dokładniejszej analizie opisywanej kampanii phishingowej - zapraszam na stronę CERT Orange Polska. Jeśli natomiast chcecie, by takie alerty trafiały od Was jak najszybciej - polecam instalację aplikacji Mój Orange i włączenie powiadomień push.