Michał Rosiak 
Oszuści sieciowi nie mają honoru, sumienia ani godności. Jak przystało na ekspertów od trendów wiedzą, co obecnie jest na czasie. Dlatego teraz - jak można się było spodziewać - żerują na powodzi.
reportazklodzko[.]rest, sytuacjatragiczna[.]rest, naszapowodz[.]rest, faktypowodz[.]rest, zaginieciewwodzie[.]rest - to tylko kilka z domen zarejestrowanych w trakcie ostatnich dni, co do których mam stuprocentową pewność, że będą użyte w kampaniach phishingowych. Na szczęście nie wobec użytkowników usług Orange Polska, bo CyberTarcza już się nimi zajęła.
O co w tym chodzi
Akurat w przypadku serii domen, o których wspomniałem mogę się tylko domyślać. A to dlatego, że na każdej z nich jest po prostu zdjęcie. Jedna fotografia, nawet niekoniecznie związana z powodzią, nieopisana i nieolinkowana. Coś takiego nazywamy "zaślepką". Zazwyczaj spotkam się z używaniem jej przez oszustów w sytuacjach, gdy wchodzimy na strony phishingowe nie z telefonu. Pamiętam sytuację, gdy przez kilka miesięcy w serii kampanii phishingowych wchodząc na witrynę z komputera trafialiśmy na skopiowaną 1:1 stronę... jednej z sieciowych pizzerii. Z telefonu - od razu "lewizna". Takie ataki przygotowywane są wyłącznie pod kątem użytkowników mobilnych, bo na komórce pasek adresu przeglądarki po chwili się chowa i nie widać, że mamy do czynienia z podstawioną witryną.
W opisywanym przypadku wygląda to inaczej i niezależnie od tego, na jakim urządzeniu je otworzymy, strona wygląda tak:
Skąd więc moja pewność, że chodzi o oszustwo, związane z klęską żywiołową? Wystarczy spojrzeć na adresy, a także na fakt, iż wszystkie witryny z opisywanej serii znajdują się domenie najwyższego rzędu .rest. To domena z założenia przeznaczona dla... restauracji, choć oczywiście może ją wykupić każdy.
W jaki sposób oszuści żerują na powodzi
Stawiam dolary przeciw orzechom, że tak jak w przypadku innego "powodziowego" oszustwa, które też trafiło do CERT Orange Polska. Choć może nie na tych domenach bo lista, którą mamy rozeszła się już w środowisku. Tym bardziej, że tamte domeny, choć według nieco innego schematu nazewniczego, też były w "restauracyjnym" TLD.
Jeśli phishingi "na fake newsy" nie są Wam obce widzicie, że w tym przypadku oszuści żerują na powodzi przy użyciu standardowego modus operandi. Pierwszy jest emocjonalny fake news publikowany na Facebooku. Jak widać na powyższym obrazku, Facebook oznaczył tę wiadomość jako fałszywą. Zastanawia tylko, czemu jej nie usunął? W kolejnym kroku ofiara po kliknięciu jest przenoszona na stronę, przypominającą serwis z wiadomościami. Tam w centralnym miejscu widnieje obrazek, sugerujący, że mamy do czynienia z filmem. Jeśli klikniemy w "film" - pojawi się pop-up z miejscem na login i hasło do Facebooka. Po co? Oczywiście, by "potwierdzić, że mamy 18 lat". Bo przecież treści na filmie nie są przeznaczone dla niepełnoletnich.
Tylko, że oczywiście nie ma żadnego filmu. Po wpisaniu loginu i hasła strona przeniesie nas na stronę główną Facebooka. A login i hasło trafią do przestępców. Co oni z nimi zrobią? Możliwości jest sporo, chyba o wszystkich pisałem na tych łamach. Przede wszystkim - Wasz Facebook przestanie być Waszym. Może się okazać, że to Wy będziecie wysyłać kolejne tego typu informacje. A może będziecie "prosić znajomych o BLIK-a"? Ale przede wszystkim będziecie mogli zapomnieć o korzystaniu ze swojego konta.
Lepiej uważać. I przede wszystkim nie klikać w takie grubymi nićmi szyte "newsy".
Uprzedzając pytania. Dziewczynka na zdjęciach (m.in. tytułowym) nie istnieje. Została sztucznie wygenerowana. Nie publikowałbym zdjęć prawdziwej ofiary tragedii.
Beata Giska 
Monika Kulik 
Komentarze