Bezpieczeństwo

Vishing, czyli rozmowa z oszustem

21 października 2021

Vishing, czyli rozmowa z oszustem

Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. „dzisiejsza młodzież” może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy 🙂

(pół)Automat zawsze świeży i rześki

W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa 🙂 ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!

Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?

– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!

Po trzecim razie rozłączyłem 🙂 Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia – on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia „drugiej strony” – świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?

Vishing, czy prawdziwy bank?

Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako – hmmm – ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta „łyknęła” vishing!

A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak – wybaczcie kolokwializm – nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:

  • prośby o login i/lub hasło
  • próby „potwierdzenia” danych pozornie niegroźnych
  • sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)

Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia – to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.

Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: „Nie podawaj tego kodu nikomu!” przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.

Nie musisz (jeszcze) niczego przelewać

Wiem, miało być o inwestycjach. Czy raczej „inwestycjach”, bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w „ręce” automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale – o dziwo – nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i… czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.

Ten przykład to jednak wyjątek, scam „na bitcoiny” to wciąż nachalne reklamy w social mediach, czy – coraz częściej – rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że „na naszej platformie czekają na pana bitcoiny do wypłaty”, zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery – nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.

A co robić w przypadku takiej rozmowy? To akurat proste. „Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam”. Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!

 

Udostępnij: Vishing, czyli rozmowa z oszustem

Bezpieczeństwo

Phishingi na PGE – uważaj, co akceptujesz!

13 maja 2021

Phishingi na PGE – uważaj, co akceptujesz!

Choć do tupetu i bezczelności sieciowych przestępców przez lata zdążyłem się już przyzwyczaić, zdarzają się sytuacje, gdy nóż po raz kolejny sam otwiera mi się w kieszeni. Co ciekawe, phishingowy schemat, który za chwilę opiszę, nie jest nowy. Jednak ewentualna niefrasobliwość ofiary pozwoli przestępcy zabrać jej wszystkie (i jeszcze więcej) pieniądze.

Znowu „drobne” do dopłacenia

Zaczyna się od SMSa, w naszym przypadku podszywającego się pod zaległość w fakturze za energię dla PGE.

Energetyczna spółka w ostatnim czasie jest jednym z ulubionych celów oszustów. Jeśli damy się przekonać, że nie dopłaciliśmy kilku złotych i klikniemy w link w wiadomości, „skracacz” rozwinie się na pełny adres.

Tu wprawne oko dojrzy nie tylko nie mający nic wspólnego z PGE ani jakimikolwiek płatnościami adres (hxxps://thepostowanie[.]xyz). Zobaczycie także to, przed czym od miesięcy ostrzegamy – drobną kwotę do zapłaty. To prostacka socjotechniczna sztuczka, mająca uspokoić nasz mózg. „To przecież drobna kwota, na takie kwoty się nie okrada!”. To prawda – chcą Was okraść na znacznie większą. Ale o tym zaraz. Jeśli przejdziemy do „płatności”, pojawi się kolejna czerwona flaga. Spójrzcie:

Co to jest to „48”? Można się domyślić, że chodzi o numer telefonu, ale z treści stron nic nie wynika. Spodziewałbym się jednak, że to też niedługo ulegnie zmianie. Przestępcy postarają się, żeby wyglądało jeszcze naturalniej. Kolejny krok to już znany standard:

z informacją „dane nabywcy” tam gdzie – jak zakładam – oszuści chcieliby dostać numer telefonu ofiary.

Co mnie zatem tak wyjątkowo zdenerwowało?

Instalują mobilną aplikację banku!

Zazwyczaj przestępcy w kolejnym kroku podstawiają na swojej stronie formularz logowania do banku, wykradając nasz login i hasło. Tu jednak jest inaczej:

Od kiedy do mTransferu potrzebny jest PESEL i nazwisko panieńskie matki? Ano od nigdy – to dane potrzebne, by aktywować aplikację mobilną banku (i dać jej pełne uprawnienia do naszego konta)! Kolejne kroki mogą się udać tylko w przypadku osób, które nigdy nie korzystały z aplikacji mobilnej, dlatego to bardzo ważne, byście w tym aspekcie uświadomili mniej świadome osoby, np. seniorów, którzy nie korzystają z aplikacji na smartfony.

Przestępcy proszą bowiem o podanie dwóch kluczowych kodów. Najpierw PINu, „uwalniającego” blokadę drugiego ciągu cyfr, a po jego wpisaniu – finalnego kodu, aktywującego aplikację mobilną. Po drodze automatyczny konsultant WIELOKROTNIE komunikuje (do znudzenia wręcz), że kody te służą on do aktywacji aplikacji i by nie podawać ich NIKOMU, wpisując na klawiaturze telefonu (!) i w aplikacji! To miało ukrócić praktyki przestępców, ale skoro wciąż atakują m.in. klientów mBanku należałoby założyć, że nawet takie ostrzeżenie nie zawsze działa!

Uważajcie i ostrzeżcie mniej technicznych członków rodziny/znajomych. Ja wiem, że słuchanie IVRów potrafi być ekstremalnie nudne, ale gdy idzie o transakcje finansowe

słuchamy dokładnie i szczegółowo, co do nas mówi automat!

Taka ostrożność wystarczy, by nie zostać oszukanym w opisywanym przeze mnie schemacie.

Kto za tym stoi?

Wiele wskazuje na to, że ataki „na faktury” to kolejny odłam wschodni grup cyberprzestępczych, które wydają się celować w dominację na polskim rynku. Starając się co najmniej iść krok w krok z nimi (czasami udaje się nawet wyprzedzać kryminalistów) sporo widzimy, choćby nie tylko zbieżność modus operandi z atakami „na Allegro”, czy „na OLX”, ale także zbyt bliskie podobieństwa w zakresie używanej infrastruktury. Na poprawę skuteczności może wpłynąć też fakt, iż oszuści zaczęli wysyłać phishingowe SMSy z polskich numerów (wcześniej przychodziły m.in. z niemieckiej numeracji +49).

Utrudnieniem dla zespołów bezpieczeństwa może być też fakt, iż do kradzieży używana jest niestandardowa infrastruktura. Nie mamy do czynienia z klasycznym botnetem, kierowym przez oszusta sprzed peceta. Analiza ruchu sieciowego wskazuje, iż strony przestępców komunikują się z nimi za pośrednictwem protokołu aplikacji Telegram. To rozwiązanie, używane często w społeczeństwach totalitarnych. Utrudnia ono służbom specjalnym dotarcie do nadawców wiadomości, ale także zespołom bezpieczeństwa wyśledzenie cyfrowych napastników. Na szczęście mamy też inne sposoby. Również te, które całkiem niedawno opisywałem.

No i bloga, za pośrednictwem którego możemy ostrzec Was i poprosić, byście przekazali tę wiedzę wszystkim, co do których obawiacie się, że mogliby dać się oszukać. I oczywiście nie sugerujcie się tym, że aktualna kampania jest na PGE – przestępcy mogą za kolejnym razem wybrać zupełnie inną firmę. Chodzi o schemat działania, który naprawdę warto zapamiętać.

 

Udostępnij: Phishingi na PGE – uważaj, co akceptujesz!

Bezpieczeństwo

Androidowy Cleaner narzędziem przestępców

11 stycznia 2018

Androidowy Cleaner narzędziem przestępców

Pamiętacie jeszcze swój pierwszy smartfon? Ja tak – dostałem wtedy do testów (chyba jeszcze za czasów TP SA i PTK Centertel!) HTC Cha Cha. Ależ to była super sprawa – wypasiony Android 2.3.3, jednordzeniowy Snapdragon S1 z kosmicznie szybkim 800-megahercowym zegarem… A że Angry Birdsy można było instalować tylko „na pusty” telefon, od razu po restarcie, bo inaczej brakowało pamięci? Przecież w Sklepie Google jest jeden, czy drugi Cleaner, prawda?

„Bo Android zamula”

„Czasy się zmieniają, ale pan ciągle jest w komisjach” – legendarny cytat z „Psów”, w wykonaniu granego przez Bogusława Lindę Franciszka Maurera, to klasyk polskiego kina. Pozostając w klimatach można by rzec, że czasy się zmieniają, telefony nowocześnieją, a aplikacje „czyszczące” ciągle można znaleźć w Google Play. Nawet wtedy, kiedy ich istnienie nie ma sensu, bo nie dość, że najnowsze wersje Androida odpowiednio zarządzają pamięcią, to jeszcze nawet topowe telefony (jak choćby Huawei z serii P/Mate, czy LG G/V mają wbudowane w oprogramowanie mechanizmy  dbające o efektywną pracę systemu. Czy jednak na pewno aplikacje typu Cleaner nie są potrzebne? Nam nie – ale przestępcom jak najbardziej.

Cleaner wyczyści… konto bankowe

Bo przecież trzeba gdzieś schować malware, a skoro mit zamulającego Androida pokutuje od lat, trzeba łapać okazje na monetyzację. Jednym z przykładów jest Swift Cleaner, odnaleziony w Sklepie Play przez analityków firmy Trend Micro (co ciekawe, to pierwszy malware napisany w open source’owym języku Kotlin). Aplikacja oczywiście okazała się malwarem, a jedyne co może wyczyścić to docelowo nasze konto bankowe. Oczywiście po tym, jak się zainstaluje, wykradnie nasze loginy i hasła, a następnie bez naszej wiedzy (dzięki Mike278 😉 ) przejmie SMSy autoryzacyjne i wpisze je gdzie trzeba. To nie wszystko co potrafi. Umie także zdalnie wykonać kod na zainfekowanym urządzeniu, przekierowywać na ustawione przez przestępcę witryny internetowe i wstrzykiwać własne reklamy. No i – co może bardzo boleć – zapisywać ofiarę bez jej wiedzy do serwisów SMS Premium.

Co robić?

Przede wszystkim nie instalować niepotrzebnych aplikacji. Zanim skusimy się na kolejne cudo – choćby i z oficjalnego sklepu – zastanówmy się. Po pierwsze, czy w ogóle tego potrzebujemy, po drugie zaś: czy nasz smartfon sam tego nie potrafi. W dzisiejszych czasach już urządzenia ze średniej półki potrafią zaskakująco sporo. Jeśli – jak śpiewał Jerzy Stuhr – czasami człowiek musi, inaczej się udusi, spójrzmy chociaż przed instalacją, jakich uprawnień udzielamy aplikacji. Wysyłanie i odbieranie SMSów, wykonywanie połączeń, odczytywanie ich listy, odczytywanie kontaktów – to tylko część z uprawnień, które w większości przypadków powinny zapalić czerwoną lampkę w głowie każdego świadomego użytkownika smartfona. I nawet, jeśli mamy pewność, że te dane nie zostaną wykorzystane w niecnych celach, warto się zastanowić, czy naprawdę chcemy je komuś udostępniać?

Photo by Christiaan Colen on CC-BY-SA-2.0 licence.

Udostępnij: Androidowy Cleaner narzędziem przestępców

Oferta

Bankowe doładowania i krótki urlop

12 marca 2011

Bankowe doładowania i krótki urlop

Powoli promocje doładowań z 20 proc. bonusuem stają się permanentne. Jedne kończymy, inne zaczynamy. Od wczoraj jest nowa możliwość uzyskania dodatkowych środków, tym razem przez strony bankowe w necie przy doładowaniu za 50 zł. Oto lista banków biorących udział w promocji: Alior, BPH, Millennium, BOŚ, Pekao, BS we Wschowie, Deutsche Bank, Eurobank, Fortis, Getin, GBS w Barlinku, ING, Invest, LUKAS, mBank, Meritum, MultiBank, Podkarpacki Bank Spółdzielczy, Raiffeisen i Wielkopolski Bank Spółdzielczy. Promocja trwa do 17 marca 2011. Rzecznik zafundował sobie krótki urlop więc do najbliższego czwartku będę mniej aktywny. Na wszystkie pytania odpowiem po powrocie. Napisałem też notkę na zapas, więc zapraszam do zaglądania na blog, a jeśli pojawi się coś ważnego lub ciekawego, koledzy z Biura Prasowego o Was nie zapomną.

Udostępnij: Bankowe doładowania i krótki urlop

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej