Bony do Biedronki/Lidla/Rossmanna i paru innych sklepów. Wpadliście kiedyś na tego typu reklamy, które zazwyczaj są dość agresywnie prezentowane? Przypadki, gdy taka oferta to prawda, można policzyć na palcach jednej ręki.

Pół biedy jeśli rzekome bony okażą się po prostu próbą wyciągnięcia naszych mniej lub bardziej wrażliwych danych. Jedną z tego typu aktywności, w mojej prywatnej opinii balansujących na granicy prawa, opisywałem już niemal 4 lata temu na stronie CERT Orange Polska. Takie działania, krytykowane gremialnie przez internautów, prowadzone są przez 3-4 duże firmy, z siedzibami zarówno w Europie (np. Niemcy) jak i poza nią (Singapur – ta firma była już przedmiotem zainteresowania m.in. UOKiK), współpracujące z polskimi podwykonawcami. Jednym z nich, o którym pisałem w przytaczanym przeze mnie tekście, był m.in. człowiek, który trafił do aresztu za rzecz wyjątkowo podłą, tj. wyłudzanie pieniędzy poprzez podszywanie się pod zbiórki charytatywne. Tematem mojego dzisiejszego tekstu są jednak bony, które nie pozostawiają wątpliwości, co do przestępczego charakteru przedsięwzięcia.

Gangi z Biedronki, czyli marzenie dziecięcia

Co prawda mój najmłodszy syn woli akurat Psi Patrol, pamiętam jednak czas, gdy ludzie potrafili szarpać się przy kasie o naklejki, za których całkiem sporą liczbę przysługiwał całkiem fajny pluszak. Gang Bystrzaków zadomowił się na tyle w umysłach Polaków, że taki SMS faktycznie mógł wzbudzić zainteresowanie:

Od: Biedronka
Witaj [IMIĘ]. Otrzymujesz nagrode w wysokosci 150zl na karte Moja Biedronka. Odbierz: hxxps://www.gang-bystrzakow[.]art/g/art?w=0B8UB

Nadpis Biedronka może wykorzystać każdy. Jeśli sieć też wysyła z niego SMS-y, ten nowy skolejkuje się ze starymi, jeszcze podnosząc poziom zaufania. No i kojarząca się z akcją domena. Co prawda kończąca się na rzadko spotykane .art, ale kto by na coś takiego zwracał uwagę?

To jak, chcecie bon na 150 zł? Klikajmy zatem!

Braliście udział w akcji Gang Bystrzaków? Ja tak, w sumie i tak chodzę tam czasem na zakupy. Numer telefonu? Sieć go zna, bo jest niezbędny do rejestracji karty lojalnościowej. Mnie akurat od razu czerwoną lampkę zapalił tekst „Użytkownik tego numeru telefonu”. Ja wiedziałem oczywiście od początku, na jaką stronę wchodzę. Ale warto pamiętać, że firmy, śląc dedykowaną komunikację marketingową, używają imienia klienta, bądź numeru jego telefonu. Obie te wartości znają, a fakt ich wykorzystania wpływa na poziom zaufania do komunikatu.

Dawajcie moje bony!

Dobra, skoro już nie udało mi zdobyć maskotki to rekompensatą nie pogardzę! Niestety (czy też raczej „stety”, właśnie) oszuści po kliknięciu w „Weryfikuj” nie bawią się już w socjotechnikę. Przechodzą od razu do rzeczy:

Jeśli jeszcze wiecie, pamiętajcie, że dokonując płatności w sieci, gdy już pojawia się taki ekran, jak powyższy, zaczynamy od sprawdzenia paska przeglądarki. Gdy znajduje się w nim adres inny, niż wynikający z wyglądu strony (w tym przypadku w domenie payu.com) – to fałszywa bramka płatności. Jeśli jesteście ciekawi jak działa, możecie się jej przypatrzeć, ale absolutnie nie wpisujcie tam danych swojej karty, czy nie logujcie się do banku własnym loginem i hasłem. W sumie cudzym też nie, ale to chyba oczywiste? 😉

No i jeszcze jedno – najważniejsze.

Skoro to my mamy dostać pieniądze, to dlaczego my mamy „wybierać płatność”?

Jeśli jednak wciąż dajemy się skusić, po wybraniu banku zobaczymy taki ekran (oczywiście zależny od banku):

Rozbawił mnie zwrot „nie przekazujemy Twoich danych logowania do PayU”. Jest zaskakująco… szczery. Faktycznie, nie są przekazywane do PayU tylko do złodziei, którzy siedząc przy phishingowym panelu będą je próbowali na bieżąco wykorzystać!

Co robić?

Uważać, rzecz jasna. Jak zawsze w sieci. Poddać się głębokiej refleksji (tu znacząco mrugam okiem do Wojtka) zanim cokolwiek wpiszesz, bo nikt nie rozdaje pieniędzy za darmo. I pamiętaj – gdy ktoś chce od Ciebie numeru karty lub logowania do banku – dokładnie sprawdź adres strony. A jeśli nie jest to adres dostawcy płatności lub banku – najlepiej napisz o tym do nas na cert.opl@orange.com.

DDoS, Distributed Denial of Service. „Po naszemu” Rozproszona Odmowa Dostępu”. Niby nie brzmi strasznie, a jest w stanie zrobić poważną krzywdę biznesowi. W najlepszym przypadku przeszkodzić w odniesieniu sukcesu w grze online.

Kiedyś synonimem zagrożenia w internecie był „wirus”. Mityczny wirus kursował w społecznej świadomości niczym yeti – podobno istnieje, ale nikt go nigdy nie widział. Stworzenie legendarnego ILOVEYOU, który w 2000 roku zainfekował 10% internetu (inna sprawa, że wtedy było ich „raptem” 413 mln, podczas gdy obecnie przekroczyliśmy 5 mld) wymagało kompetencji programistycznych. Obecnie podaż – hmmm – złośliwej aktywności jest tak duża, że krzywdę można zrobić praktycznie każdemu. Nawet za cenę tygodniówki przeciętnego nastolatka.

Czym tak naprawdę jest DDoS?

Nie bez kozery w poprzednim akapicie użyłem zwrotu „złośliwa aktywność”. O ile bowiem z tym, co od dawnych czasów znamy jako wirusy, zabezpieczenia sieci i komputerów radzą sobie całkiem nieźle, z atakiem DDoS nie jest już tak łatwo.

Czym jest DDoS? Wyobraźmy sobie, że strona WWW to… pociąg metra. O ile poza szczytem wchodzimy do niego bez większego problemu (czyli zaglądamy na stronę i dowiadujemy się tego, czego potrzebujemy), to już w godzinach szczytu może wyglądać tak:

Pozostając przy tej analogii, atak DDoS można określić mianem „symulatora godzin szczytu w metrze w Tokio”.

Atakujący generują ruch tak ogromny (sprowadzają na stację tylu pasażerów), że wejście na stronę (dostanie się do pociągu) staje się niemożliwe. Taki atak potrafi zarówno ograniczyć dostęp (spowodować odmowę dostępu, stąd nazwa) do strony WWW, jak też uniemożliwić ofierze połączenie np. z serwerem gier online. Do tego drugiego używany jest nawet częściej!

Jak przeprowadza się DDoS?

Generalnie to po prostu znajduje się w sieci ofertę i kupuje. Podaż tego typu serwisów jest tak duża, że krótki DDoS można kupić za 10$. Ba, w ramach proof-of-concept nawet dostać za darmo. A jak robią to przestępcy?

• przede wszystkim dysponują botnetem, czyli dużą (kilku/dziesięcio/set-tysięczną grupą przejętych komputerów)
• z botnetu (lub jego części) wysyłają zapytanie (lub ich serię) do podatnego serwisu (o tym więcej zaraz)
• wysyłając zapytanie podszywają się (spoofują) pod adres IP ofiary, w efekcie czego serwis odpowiada ofierze
• jeśli komputery botnetu wygenerują wystarczająco wielu „pasażerów metra” – do tego pociągu już nikt nie wsiądzie…

Jak najlepiej zrobić efektowny DDoS? Znajdując serwis/protokół, który na proste zapytanie odpowiada jak najdłuższym (to tzw. atak reflection/amplification, odbicie/wzmocnienie). Np. wysyłając zapytanie do niezabezpieczonego serwera NTP dostaniemy odpowiedź większą o 556 razy. Dużo? Serwer memcached na 1 bajt odpowie 55… kilobajtami. Dużo? We wrześniu ubiegłego roku researcherzy odkryli podatne serwery (w liczbie 2600) jednego z rozwiązań, generujące odpowiedzi w stosunku… 4 294 967 296:1. Tak, to nie pomyłka. Większe od 4,3 MILIARDA razy od zapytania. Tutaj do grubego DDoSa nie trzeba wielkiego botnetu.

Czy można sobie z tym poradzić?

W Orange Polska przeciwdziałaniem atakom DDoS zajmujemy się już od wielu lat. Raz na jakiś czas notujemy w naszej sieci rekordowe na krajową skalę ataki. Dwa lata temu mobilnego użytkownika usług Orange Polska atakowano na poziomie 476,2 Gb/s (gigabitów na sekundę). Kilka dni temu ten wynik został pobity. Jeden ze stołecznych Neostradowiczów „oberwał” bowiem DDoS-em liczącym w szczycie 543,9 Gb/s.

Jak sobie z tym radzimy? W 2018 roku wprowadziliśmy rozwiązanie ochrony przed DDoS oparte o BGP Flowspec. W nietechnicznym skrócie:

Przede wszystkim z racji tego, że sieć Orange Polska stanowi sporą część polskiego internetu, wiele ataków po prostu mieści się w przepustowości naszych łącz. Faktycznie podnoszą ich wysycenie, ale nie ma zagrożenia, że zauważycie taki atak przy swoim codziennym korzystaniu z sieci. Jeśli jednak chodzi o BGP Flowspec, to automatyczne zapobieganie w ten sposób atakom DDoS składa się z dwóch elementów. Po pierwsze – stale próbkujemy ruch z różnych miejsc naszej sieci szkieletowej pod kątem specyficznym dla DDoS. Adres źródłowy napastnika można oczywiście zespoofować, ale to tylko jeden z parametrów, opisujących ruch sieciowy. W kolejnym kroku, jeśli system rozpozna atak, odpowiednie informacje automatycznie trafią do dodatkowych tabel routingowych we wszystkich routerach szkieletowych Orange Polska. A ponieważ informacje, dotyczące Flowspec, są nadrzędne w stosunku do domyślnych tabel, w tym momencie próba ataku trafi do sieciowego „kosza” w każdym elemencie naszej sieci szkieletowej.

A Wy – zarówno zwykli internauci, jak i biznesowi klienci naszych usług – będziecie mogli spać… czy raczej używać sieci spokojnie.

Mandat karny. Koszmar wielu kierowców (coś o tym wiem…). Pamiętam, gdy dostałem kiedyś dziwny list, a w środku moje nienajlepsze zdjęcie. Nie wiem, jak Wam, ale u mnie listy z Wydziału Ruchu Drogowego, czy Urzędu Skarbowego, powodują przyspieszone bicie serca. A – tak, zawsze to piszę – przestępcy też o tym wiedzą.

„Dopłać do przesyłki, bo inaczej nie dojdzie!”; „Masz niedopłatę na fakturze za usługi!”; „Kurier nie zastał Cię w domu, dopłać za ponowną wysyłkę!”. Pomysłowość oszustów, próbujących okraść nasze bankowe konta przez ostatnie miesiące nie była przesadnie duża. Ciekawe, czy Ciemna Strona Mocy odczuła spadek zysków, gdy internauci przestali łapać się na ich sztuczki? Czyżby dlatego nagle wśród motywów pojawił się mandat?

Wyrównaj niedopłatę

W ostatnich dniach do polskich internautów trafiały wiadomości o rzekomych zaległościach w opłacie za mandat karny. To motyw znany, wykorzystywany już przynajmniej kilkakrotnie, jednak oszuści ostatnio z niego nie korzystali.

SMSy przychodzą z czegoś, co określamy mianem „długich numerów”. Czyli po prostu nie z tzw. nadpisów (np. Mandat, Policja, czy Urząd Skarbowy), a ze zwykłych numerów +48xxxxxxxxx.

Jedno, czego jesteśmy pewni, to fakt, że numery, z których phishingi trafiają do nas, nie pochodzą z puli numeracyjnej Orange Polska.

Być może to efekt działań CERT Orange Polska, psujących krew oszustom, nadużywającym naszej marki?

Co się dzieje, gdy klikniemy w link?

Wygląda jak mandat…

…ale nie dajcie się zwieść. Nie szata zdobi szympansa, jak mawiał Tytus de Zoo. A fakt, że coś wygląda jak mandat, nie znaczy, że nim jest. Co więcej – kto to widział, żeby trzeba było zapłacić zaledwie pięć złotych? Jeśli nie spotkała Was ta wątpliwa przyjemność, to mogę Wam powiedzieć z autopsji 😉 – to nawet przed zmianą taryfikatory były znacznie większe pieniądze…

Te 5 złotych to znany socjotechniczny trick. Jeśli mielibyśmy zapłacić kilkaset PLN, pewnie zorientowalibyśmy się, że coś jest nie tak. A tak, zaledwie 5 złotych? Przecież to nie problem, prawda?

Cóż – nieprawda. Pisałem o tym już wielokrotnie, ale akurat w tej kwestii nigdy dość powtarzania. Złodziej przejmie wpisany przez Ciebie login i hasło, po czym błyskawicznie je wykorzysta, „zerując” Twoje konto.

Oszuści walą na ślepo

Za nami okres świąteczny, gdy pewnie co najmniej połowa Polaków przemieszczała się po kraju, znaczna część samochodami. Dam sobie rękę uciąć, że wśród nich znalazła się grupa, których te święta będą kosztować nieco więcej, niż się spodziewali… Takich ludzi łatwiej przekonać, że coś było nie tak z płaceniem mandatu i „trzeba coś jeszcze dopłacić”. To trochę na takiej zasadzie jak wysyłanie „faktur z Orange„, z oszustami, żyjącymi nadzieją, że przynajmniej część ich maili, czy SMSów, faktycznie trafi do naszych klientów.

Pamiętajcie! Jeśli coś wywołuje Wasze emocje; Gdy ktoś każe Wam zapłacić pieniądze (a paradoksalnie najbardziej wtedy, gdy są to drobne kwoty); Jeśli w jakimś dziwnym miejscu pojawia się logo Waszego banku – wszystko dokładnie czytajcie.

Kiepsko byłoby zakończyć rok taką wpadką…

Emeryt, czyli wymarzona ofiara cyberprzestępcy? Daleki jestem od szufladkowania, ale jestem świadom, że choć Fundacja Orange pracuje jak szalona, seniorzy pozostaną grupą społeczną, dla której internet nie jest środowiskiem naturalnym. Ergo – grupą zwiększonego ryzyka. Szczególnie przy kierowanych do nich phishingach.

Wiem, święta idą, gotować trzeba, sprzątać, odpoczywać… Ale – cóż – nie ma złego momentu na ostrzeżenie przed sieciowymi oszustami, prawda?

Emerytura… Ja mam już bliżej niż dalej, ale miliony Polaków w ten sposób właśnie musi się utrzymywać. Nie zahaczając o kwestie polityczne – wiemy po prostu, że opieranie egzystencji na tym źródle bywa sporym wyzwaniem. Nie sposób więc się nie zainteresować, gdy w sieci wpadamy na taką ofertę!

Emeryt+, czyli oszust na polowaniu

Wygląda poważnie, rzetelnie, prawda? Na górze logo PZU, motyw „+”, popularny od lat w aspekcie programów socjalnych. No i wsparcie trzech instytucji kojarzonych z dysponowaniem finansami państwa. Tylko – jak zawsze w tego typu oszustwach – „drobnostka” na samej górze. t1active.site to adres, który z instytucjami, których symbole graficzne widzimy niżej nie ma nic wspólnego. A także rzecz, która wielu może umknąć. Co w aspekcie emerytury i wniosku do wypełnienia miałby oznaczać zwrot „przedstawić”?

Dalej w końcu pojawia się to, na co czekamy, czyli liczby:

Nie mam co prawda pojęcia co ma oznaczać mój dzienny dochód. Ale ważne, że to, co pokazuje się na dole (jak zakładam, efekt przystąpienia do „programu”) jest przeszło dwukrotnie większe, niż kwota wejściowa. A dlaczego? Oczywiście „dzięki technologiom sztucznej inteligencji”. Ładne, okrągłe, modne słowa. Łatwo przekonać mniej świadomych cyfrowo i technologicznie. Ba – niektórzy już się dali przekonać i nie żałują!

Zdjęcia ze stocka zawsze cieszą się popularnością. Co więcej, treść wypowiedzi rzekomych uczestników programu brzmi, jakby każdy emeryt miał tego samego wnuka albo dziecko, które za nią/niego pisało…

W czym tkwi haczyk?

Ano w tym:

Gdy zainteresowany pomnożeniem pieniędzy emeryt wpisze swoje dane w okienko na pierwszej stronie i zdecyduje się… przedstawić, zostanie przekierowany na stronę MarketsOfHunt. Serwisu (giełdy? portalu inwestycyjnego?) o którym w sieci nie znajdziemy ani słowa. Nic dziwnego – domena została zakupiona zaledwie dwa dni temu. Gdy szukamy informacji o jej właścicielu, okazuje się, że:

Cóż, wyjątkowo dba o swoją prywatność. Dość mocno, jak na firmę, mającą obracać milionami? Przypadek?

Aha, no i nie wiem, czy zwróciliście uwagę, ale po wejściu na tę witrynę nagle zniknęły gdzieś promujące główną stronę logotypy!

Co ciekawe, moje alter ego, po wpisaniu maila, dostało wiadomość!

Ada Łowkis istnieje – oszuści nigdy nie biorą „z głowy” pomysłów na personalia, zawsze znajdują jakąś istniejącą osobę, czyniąc ją de facto też jedną z ofiar swoich przekrętów. Ale – zwróćcie uwagę – pojawia się kolejna domena, tym razem funkcjonującej od 50 lat platformy tradingowej z siedzibą w Luksemburgu.

Co robić?

Nie dać się oszukać, rzecz jasna. Spokojna analiza przypadku wykazuje, że emeryt nie ma tu co szukać. To grubymi nićmi szyty przekręt. Klasyczne socjotechniczne sztuczki – podobieństwo do istniejących programów socjalnych, logotypy instytucji, kojarzonych z finansami. No i to, co najbardziej trafia do człowieka – duże pieniądze!

Niestety, to tak nie działa. Wiecie, to jak w legendarnym skeczu Kabaretu „Dudek”:

– Jest interes do zrobienia!
– Ile można stracić?

No właśnie…

Pamiętacie czasy przed pandemią? Pobudka rano, kawa, pies, dzieci do żłobka/przedszkola/szkoły i przemieszczanie się w korku albo jazda w gronie porannych zombie w zbiorkomie. Praca zdalna? Kiedyś było to marzenie, dziś standard. Ciekawe, czy spodziewacie się tego, co teraz napiszę… Wiedzą o tym oczywiście również przestępcy.

Do naszych systemów bezpieczeństwa wpadają różne strony. Niektóre na pierwszy (czasem nawet i drugi) rzut oka wyglądają legitnie. Zobaczywszy witrynę hxxps://pracawdomu24[.]pl/ chciałem ją na początku zamknąć, ze statusem „false positive”, ale moją uwagę zwróciło jedno określenie:

Praca zdalna, nie wymagamy doświadczenia!

Mnie taki zwrot od razu kojarzy się ze scamem „na skręcanie długopisów”, znanym jeszcze w latach 80., zanim powstał internet. Nie powiem, skusiło mnie. Byłem ciekaw, ile można zarobić, a ponieważ w tym celu mam stworzoną sieciową tożsamość – wypełniłem ankietę i czekałem na maila.

Przyszedł dość szybko, kliknąłem w link, podałem hasło, które dostałem w mailu i wszedłem na stronę firmowaną przez Social Tech Media Agency. Szybkie poszukiwania w sieci? Taka firma nie istnieje, jej stołeczny adres też nie. Brytyjski (na stronie są dwa) pokazuje… pole golfowe, a tamtejszy odpowiednik naszego NIP zwracany jest jako nieprawidłowy.

A co możemy tam robić? Otóż zostaniemy „asystentem Facebook Managera”. Brzmi nieco enigmatycznie i mocno „socialmediowo”. Gdy podesłałem linka naszej SM guru, Stelli – wybuchnęła śmiechem (dobra, tak zakładam, bo wysłałem komunikatorem).

Na czym miałaby polegać ta praca? Na „opiece nad fanpage”. 3 godziny pracy tygodniowo nad jednym FP za 3600 zł netto, maksymalnie możesz ich prowadzić 10 (36 koła?! wow!). Do tego firma daje 5000 na biurko i fotel, zwraca koszty internetu, daje Macbooka, iPada, iPhone’a, nie stoi z batem i nie rozlicza nas z czasu… Gdzieś musi być kruczek! Ano jest.

5200 za… założenie konta?

Przekonało Was to, że za głupie założenie konta ktoś Wam zapłaci ponad 5 tysięcy złotych, bo „poświęcacie swój czas”? Mnie też nie… Jeśli ktoś każe mi założyć konto, co więcej – zaznacza, że nie mogę być już klientem tego banku i mam wejść na stronę z linka referencyjnego, to lampka świeci się jak oszalała, a w tle wyje syrena.

I fakt, że oszuści sugerują zamazanie danych wrażliwych, może być wyłącznie socjotechniczną sztuczką. Ściema na wysokie zarobki długo się nie utrzyma, zastanawia mnie zapis: „Zweryfikujemy zadanie w przeciągu od 3 do 14 dni”. Na czym może polegać ta weryfikacja? Na logikę wydaje się, że oszuści będą próbowali przekonać „pracownika” do przekazania loginu i hasła, czy to w sposób otwarty, czy przez instalację na jego komputerze „niezbędnego programu”: złośliwego lub służącego do ustanowienia połączenia zdalnego pulpitu.

Choć w tytule założyłem, że konta będą wykorzystywane jako „słupy” do prania pieniędzy, może się np. okazać, że przestępcy wezmą na nie kredyty, a pieniądze szybko wyprowadzą np. na giełdy kryptowalut. Wciąż chodzi mi głowie najprostsze rozwiązanie – witaj, Brzytwo Ockhama – czyli zarobek z linków referencyjnych. Pytanie brzmi, czy skala zainteresowanych jest tak dużo, że od 100 do kilkuset złotych zarobku na jednej osobie może się opłacać?

Jeśli chcielibyście się zapoznać z szerszą analizą tego przypadku – zapraszam na stronę CERT Orange Polska.