Michał Rosiak 
Polska to fantastyczny kraj jeśli chodzi o cyfryzację tzw. "Gova". Serio - uważam, że tego jak scyfryzowane są nasze serwisy rządowe mogłaby nam zazdrościć większość Europy. Popularność usług cyfrowych usiłują oczywiście wykorzystać oszuści.
Wraz z kolegami z CERT Orange Polska regularnie i nieprzerwanie obserwujemy kolejne kampanie phishingowe. Motyw rządowych usług cyfrowych pojawia się w nich dość regularnie, a w ostatnim czasie mieliśmy do czynienia z dwoma wykorzystującymi go kampaniami.
Komornik Ci nie grozi
Tzn. nie wiem, nie jak tam u Was wszystkich z finansami, ale jeśli trafił do Ciebie SMS jak poniżej, to nie masz się czego obawiać:
Oszuści wykorzystują fakt, że do końca kwietnia, jeśli rozliczamy się indywidualnie a nie firmowo z fiskusem, musimy zapłacić należność z tytułu PIT za 2024 rok. Wystarczy spojrzeć na link w tej wiadomości, żeby widzieć grubą nić jaką szyte jest to oszustwo. Jestem jednak w stanie zrozumieć emocje podatnika, który zobaczy kilkusetzłotową kwotę, hasło "komornik", a na dodatek SMS trafi do niego z nadpisu WINDK_GOVPL. Można się zestresować, przestać jasno myśleć, kliknąć w link i... "wkręcić" się jeszcze bardziej.
Co dalej? Okazuje się, że przelewem ani Google Pay nie można zapłacić ze względu na "przerwę techniczną". Pozostaje BLIK lub karta płatnicza. W pierwszym przypadku stracimy przynajmniej tylko 372,89 zł. Jeśli podamy dane karty - oszuści wyczyszczą nam limity.
Dla firm też są fałszywe "serwisy rządowe"
Masz firmę, podatki płacisz co miesiąc, więc na Ciebie nic nie mają? Ależ oczywiście, że mają. Jak podpowiada ChatGPT:
Rządowy serwis eSprawozdania to platforma online umożliwiająca przesyłanie i przeglądanie sprawozdań finansowych w formie elektronicznej. Służy głównie firmom, jednostkom publicznym oraz biegłym rewidentom do składania obowiązkowych raportów finansowych zgodnie z polskimi przepisami.
Oszuści mają taki "prezent" w mailu.
W cytowanym powyżej przypadku już klient pocztowy zauważył, że coś jest nie tak, dodając przedrostek [SPAM] przed tytułem wiadomości. Dlaczego? Stawiam, że mogło chodzić o adres nadawcy. Fragment przywodzący na myśl serwisy rządowe to... nazwa nadawcy. W mailu ode mnie zobaczylibyście w tym miejscu 'Michał Rosiak'. Oszust liczy, że potencjalnej ofierze wystarczy zobaczyć link do Ministerstwa Finansów, by nie patrzyła dalej, bo tam jest już adres nie mający nic wspólnego z rzekomym nadawcą.
Po kliknięciu trafiamy na stronę udającą witrynę logowania do eSprawozdań:
Jeśli logowaliście się kiedykolwiek na serwisy rządowe, w życiu nie wpiszecie swoich poświadczeń w takie... coś. A to dlatego, że sposoby logowania się na strony w domenie gov[.]pl to: Profil Zaufany, aplikacja mObywatel, bankowość elektroniczna, eDowód. I tyle. Nic więcej.
Dlaczego w opisywanym przypadku celem złodziei były hasła do e-maila? Dostęp do służbowej poczty, nawet w niewielkiej firmie, to łakomy kąsek. Można go wykorzystać do ataku na kontrahenta firmy-ofiary i wysłania np. załącznika z trojanem Remcos. Można podejrzeć treść i formę wewnętrznych maili, a następnie przeprowadzić atak Business Email Compromise. To tylko dwa pomysły, ale możliwości jest więcej.
Nie dajcie się oszukać. Pamiętajcie jak wygląda logowanie na serwisy rządowe.
Beata Giska 
Kinga Galon 
