Michał Rosiak 
Bony do Biedronki/Lidla/Rossmanna i paru innych sklepów. Wpadliście kiedyś na tego typu reklamy, które zazwyczaj są dość agresywnie prezentowane? Przypadki, gdy taka oferta to prawda, można policzyć na palcach jednej ręki.
Pół biedy jeśli rzekome bony okażą się po prostu próbą wyciągnięcia naszych mniej lub bardziej wrażliwych danych. Jedną z tego typu aktywności, w mojej prywatnej opinii balansujących na granicy prawa, opisywałem już niemal 4 lata temu na stronie CERT Orange Polska. Takie działania, krytykowane gremialnie przez internautów, prowadzone są przez 3-4 duże firmy, z siedzibami zarówno w Europie (np. Niemcy) jak i poza nią (Singapur - ta firma była już przedmiotem zainteresowania m.in. UOKiK), współpracujące z polskimi podwykonawcami. Jednym z nich, o którym pisałem w przytaczanym przeze mnie tekście, był m.in. człowiek, który trafił do aresztu za rzecz wyjątkowo podłą, tj. wyłudzanie pieniędzy poprzez podszywanie się pod zbiórki charytatywne. Tematem mojego dzisiejszego tekstu są jednak bony, które nie pozostawiają wątpliwości, co do przestępczego charakteru przedsięwzięcia.
Gangi z Biedronki, czyli marzenie dziecięcia
Co prawda mój najmłodszy syn woli akurat Psi Patrol, pamiętam jednak czas, gdy ludzie potrafili szarpać się przy kasie o naklejki, za których całkiem sporą liczbę przysługiwał całkiem fajny pluszak. Gang Bystrzaków zadomowił się na tyle w umysłach Polaków, że taki SMS faktycznie mógł wzbudzić zainteresowanie:
Od: Biedronka
Witaj [IMIĘ]. Otrzymujesz nagrode w wysokosci 150zl na karte Moja Biedronka. Odbierz: hxxps://www.gang-bystrzakow[.]art/g/art?w=0B8UB
Nadpis Biedronka może wykorzystać każdy. Jeśli sieć też wysyła z niego SMS-y, ten nowy skolejkuje się ze starymi, jeszcze podnosząc poziom zaufania. No i kojarząca się z akcją domena. Co prawda kończąca się na rzadko spotykane .art, ale kto by na coś takiego zwracał uwagę?
To jak, chcecie bon na 150 zł? Klikajmy zatem!
Braliście udział w akcji Gang Bystrzaków? Ja tak, w sumie i tak chodzę tam czasem na zakupy. Numer telefonu? Sieć go zna, bo jest niezbędny do rejestracji karty lojalnościowej. Mnie akurat od razu czerwoną lampkę zapalił tekst "Użytkownik tego numeru telefonu". Ja wiedziałem oczywiście od początku, na jaką stronę wchodzę. Ale warto pamiętać, że firmy, śląc dedykowaną komunikację marketingową, używają imienia klienta, bądź numeru jego telefonu. Obie te wartości znają, a fakt ich wykorzystania wpływa na poziom zaufania do komunikatu.
Dawajcie moje bony!
Dobra, skoro już nie udało mi zdobyć maskotki to rekompensatą nie pogardzę! Niestety (czy też raczej "stety", właśnie) oszuści po kliknięciu w "Weryfikuj" nie bawią się już w socjotechnikę. Przechodzą od razu do rzeczy:
Jeśli jeszcze wiecie, pamiętajcie, że dokonując płatności w sieci, gdy już pojawia się taki ekran, jak powyższy, zaczynamy od sprawdzenia paska przeglądarki. Gdy znajduje się w nim adres inny, niż wynikający z wyglądu strony (w tym przypadku w domenie payu.com) - to fałszywa bramka płatności. Jeśli jesteście ciekawi jak działa, możecie się jej przypatrzeć, ale absolutnie nie wpisujcie tam danych swojej karty, czy nie logujcie się do banku własnym loginem i hasłem. W sumie cudzym też nie, ale to chyba oczywiste? ;)
No i jeszcze jedno - najważniejsze.
Skoro to my mamy dostać pieniądze, to dlaczego my mamy "wybierać płatność"?
Jeśli jednak wciąż dajemy się skusić, po wybraniu banku zobaczymy taki ekran (oczywiście zależny od banku):
Rozbawił mnie zwrot "nie przekazujemy Twoich danych logowania do PayU". Jest zaskakująco... szczery. Faktycznie, nie są przekazywane do PayU tylko do złodziei, którzy siedząc przy phishingowym panelu będą je próbowali na bieżąco wykorzystać!
Co robić?
Uważać, rzecz jasna. Jak zawsze w sieci. Poddać się głębokiej refleksji (tu znacząco mrugam okiem do Wojtka) zanim cokolwiek wpiszesz, bo nikt nie rozdaje pieniędzy za darmo. I pamiętaj - gdy ktoś chce od Ciebie numeru karty lub logowania do banku - dokładnie sprawdź adres strony. A jeśli nie jest to adres dostawcy płatności lub banku - najlepiej napisz o tym do nas na cert.opl@orange.com.
Ewa Wróbel 
Monika Kulik 
Komentarze