Bezpieczeństwo

Co zrobić by Twój e-mail pozostał Twoim?

17 czerwca 2021

Co zrobić by Twój e-mail pozostał Twoim?

Słyszeliście, że ostatnio w mediach dość sporo mówi się o zabezpieczaniu korespondencji e-mail? Nie każdy z nas jest celem wysokiej wartości (High Value Target, HVT), ale każdy z nas przez swoją niefrasobliwość może narazić się na ryzyka, związane z wyciekiem korespondencji. Naruszenie prywatności, wgląd w nasze intymne/wrażliwe treści, kradzież tożsamości (podszywanie się pod nas), okradanie (jako my) naszych znajomych, czy wreszcie dostęp do (ważnych) danych naszego pracodawcy. To nie wszystkie z potencjalnych ryzyk, związanych z uzyskaniem przez osobę niepowołaną dostępu do naszego konta e-mail. To nie muszą być dane ważne dla bezpieczeństwa państwa, by zrobiło nam się gorąco…

Jak się chronić? Na szczęście dla znaczącego ograniczenia ryzyka nie trzeba wiele. W dzisiejszych zaganianych czasach szkoda nam czasu na czynności, które wydają się zbędne. Jeśli jednak zdamy sobie sprawę, że zmiana naszych przyzwyczajeń względem kont e-mail, czy social mediowych, tak naprawdę nie zajmie nam o wiele więcej czasu – łatwiej będzie się do tego przyzwyczaić.

Po pierwsze – hasło

Od lat się mówi, że hasło to przeżytek, że kto to wszystko spamięta, żeby od haseł odchodzić. Co do zasady – absolutnie się zgadzam! Tylko, że w przypadku konta mailowego nikt nie wymyślił sensownej alternatywy. Dodatek do hasła – tak (o tym później), ale zastępstwo hasła jeszcze nie.

Choć są firmy, w których niezmiennie trwa podejście „bardzo-długie-totalnie-losowe-hasła-zmieniane-co-miesiąc” od tego na szczęście już się odchodzi. Nie powiem Wam, jaka jest polityka haseł w Orange Polska, ale zdradzę, że hasła zmieniamy rzadziej, niż co miesiąc. Dzięki temu nie zdarzają się sytuacje, gdy pół firmy loguje się, wpisując: „Czerwiec21!”, a przy zmianie hasła – „Lipiec21!”. Takie podejście mobilizuje do tego, żeby wymyślić hasło realne do zapamiętania, a jednocześnie wystarczająco trudne. Ja na szkoleniach podaję przykład znanego tylko Tobie zwrotu, zdania, np.:

Litwo, ojczyzno moja! Ty jesteś jak zdrowie!

Z którego można wziąć pierwsze litery i znaki przestankowe,  by powstało:

L,om!Tjjz!

Trudne? Trudne. Łatwe do zapamiętania, jeśli znamy punkt wyjścia? No ba! Może tylko trochę za krótkie. Jeśli z serwisu, z którego korzystasz, wycieknie baza haseł, z prawdopodobieństwem graniczącym z pewnością złodziej spróbuje złamać te do 8, ew. do 12 znaków. 13- i dłuższych nie będzie mu się opłacało.

W przypadku haseł przede wszystkim polecam korzystanie z menedżera haseł (jest ich sporo w sieci). Ja sam jednak kilka podstawowych haseł: do menedżera haseł (ha!), banku, czy sieci firmowej pamiętam w głowie. Uwierzcie mi, nawet jeśli jest to pokręcone 20-znakowe hasło, po wpisaniu go 30. raz i tak je zapamiętacie.

Po drugie – zaskocz oszusta

Wyobraź sobie gościa, który w jakiś sposób wszedł w posiadanie Twoje hasła. Z uśmiechem godnym Don Pedro, szpiega z Krainy Deszczowców wpisuje je, potwierdza i… wyskakuje mu monit o wpisanie drugiego składnika uwierzytelnienia!

Ha!

Chyba nie potrafię sobie skojarzyć żadnego poważnego serwisu, który nie udostępnia możliwości uwierzytelniania dwuskładnikowego. O co chodzi? W skrócie – konfigurujemy odpowiednią aplikację (SMSowe 2FA odradzam, wiadomość z kodem łatwiej przechwycić/podejrzeć, ale to temat na inny tekst). Po więcej zapraszam do lektury tekstu na blogu, poświęconego 2FA. Ja, ze względu na częste zmiany telefonów, korzystam z aplikacji Authy, polecam również Google Authenticator.

Specyficzną odmianą 2FA jest klucz sprzętowy. W Orange Polska używamy dedykowanego rozwiązania kryptograficznego, które pozwala nam zalogować się do sieci korporacyjnej, podpisać cyfrowo maila, czy zaszyfrować go. Ogólnodostępne rozwiązanie, np. Yubikey, generuje jednorazowy, specyficzny dla konkretnego egzemplarza kod po dotknięciu guzika w kluczu wetkniętym w gniazdo USB komputera. W lepszej wersji klucz można przytknąć do telefonu i autoryzować się przez NFC.

Po trzecie – patrzysz w ekran? Uważaj!

Podejście „mnie nikt nie zaatakuje, jestem bezwartościowy dla przestępcy” to pierwszy krok do porażki. Każdy z nas jest wartościowy dla przestępcy. Jeśli jesteś HVT, można od Ciebie wykraść dane, które następnie można sprzedać, czy opublikować w sieci. Konto na Facebooku zwykłego internauty można wykorzystać do podsunięcia jego przyjaciołom oszustwa „na BLIKa”. No i wreszcie – kto z nas nie ma danych, których zaszyfrowanie byłoby dla nas duuużym kłopotem? Zdjęcia dzieci, niedokończona praca magisterska, dokumentacja projektowa… To nie jest tak, że nikt tego nie widzi! Kilkukrotnie, czy to w pociągu, czy w samolocie, miałem możliwość zajrzenia na ekran laptopa siedzącego przede mną współpasażera (co ciekawe, akurat we wszystkich przypadkach były to osoby zajmujące się prawem) i przeczytania dokładnych szczegółów toczonych przez nich spraw, taktyki procesowej, nawet danych wrażliwych klientów!

Warto wyrobić w sobie przyzwyczajenie zasłaniania klawiatury, gdy w przestrzeni publicznej wpisujemy hasła, czy PINy!

Nie tylko przy bankomacie, ale także logując się do komputera w „kawiarnia office”, czy „park office”. Ściany mają uszy, a drzewa mają oczy. Czasem by wykraść dane logowania nie trzeba wcale wrzucać ofierze trojana…

Po czwarte – myśl, co i gdzie klikasz

…ale można. Na ten temat sam napisałem już chyba gigabajty treści, więc warto przypomnieć tylko w krótkich bulletach:

  • Jeśli nie spodziewałeś się tego maila – nie klikaj linków i nie otwieraj załączników!
  • Jeśli dodatkowo nie znasz nadawcy – jeszcze bardziej nie klikaj i nie otwieraj!!! (znając nadawcę możesz się z nim zawsze skontaktować i upewnić, czy to aby na pewno on)
  • Logując się na jakąkolwiek stronę, albo wpisując na niej dane wrażliwe, upewnij się, czy to na pewno właściwy adres (ostatnio nasze systemy wyłapały domenę gov-pl.in, jak sądzicie, co w niej jest nie tak?)
  • Nie ufaj absurdalnie wyjątkowym okazjom – zdarzają się tak rzadko, że nie warto podejmować ryzyka
  • Rozdzielaj tożsamości – nie mieszaj spraw (i kont e-mail) prywatnych i służbowych. Wyrób w sobie nawyk wyjątkowej ostrożności przy korzystaniu z maila i infrastruktury w pracy

Dbajcie o siebie. Niech każdy Wasz mail pozostanie Waszym.

Udostępnij: Co zrobić by Twój e-mail pozostał Twoim?

Urządzenia

Aktualizacja telefonu – dlaczego jest potrzebna?

11 czerwca 2021

Aktualizacja telefonu – dlaczego jest potrzebna?

„A bo to mi się coś takiego pojawiło, to dałam/em ‘odłóż’!”, „Wpadają ciągle te monity na telefonie i tylko czas zajmują, wywalam wszystko od razu”. Czy wreszcie: „A po co mi aktualizacja czegoś, co dobrze działa?”. Już wiecie o czym dziś będzie? O tym, że wszystkie te teksty są – hmmm – mocno niefortunne. A wiecznie odkładana aktualizacja oprogramowania nie tylko nie pozwoli nam się cieszyć nowościami, ale też – a to chyba ważniejsze – może skończyć się źle.

Aktualizacja do wszystkiego

Takie mamy czasy, że oprogramowanie znajdziemy w miejscach i urządzeniach, w których byśmy się go nie spodziewali. Świat słyszał o przypadkach takich, jak właściciela samochodu Tesla, który nie chciał ruszyć bez instalacji nowego oprogramowania. O, albo odkurzacza, który stwierdził, że chętnie posprząta mieszkanie, ale są rzeczy ważne i ważniejsze, więc najpierw update. Ba, nawet przeglądarki internetowe, które przez lata potrafiły gromadzić nawet łatki bezpieczeństwa, by czekać, aż użytkownik będzie tak uprzejmy, by je zainstalować, już od dawna aktualizują się same. Telefony tymczasem, choć coraz częściej trzymamy na nich znacznie więcej znacznie bardziej wrażliwych danych, niż na komputerach, wciąż wymagają w tym zakresie naszej interakcji. Dlaczego warto, byśmy „chcieli chcieć”?

Aktualizacja, czyli bezpieczeństwo

Po pierwsze – bezpieczeństwo. Nie spodziewaliście się, chyba, że zacznę od czegokolwiek innego 🙂 O ile spora część poprawek bezpieczeństwa wgrywa się sama (dzięki automatycznym aktualizacjom Usług Google), do niektórych wymagana jest aktualizacja oprogramowania. Choćby sytuacja, o której pisałem na blogu wczoraj, opisując trojana Flubot. Chodzi o to, że (ale do tekstu i tak polecam zajrzeć) od Androida 10 system informuje nas, gdy jakaś aplikacja chce się wyświetlić nad inną, wymagając naszej zgody.

Kilka „dużych” Androidów wcześniej doszła np. aktualizacja, informująca explicite o tym, że wysyłanie SMSów Premium wiąże się z większymi wydatkami. Dlatego telefon prosi o dodatkowe potwierdzenie wysłania takiej wiadomości. No i oczywiście – last, but not least – szereg systemowych podatności, których „na wierzchu” nie widać. Mogą one jednak ułatwić złym ludziom przejęcie kontroli nad naszym telefonem. Jak aktualne są poprawki bezpieczeństwa w naszym telefonie sprawdzimy w menu telefonu (w miejscu zależnym od producenta/nakładki).

Aktualizacja, czyli nowoczesność

Errare humanum est, Time to Market is the king. Trochę łaciny, trochę korpobełkotu 😉 Generalnie chodzi o to, że presja czasu (i użytkowników, pragnących coraz to nowszych smartfonów) powoduje, iż zdarzają się urządzenia, trafiające na rynek, hmmm… zbyt wcześnie. To taki eufemizm, który jedni mogą przetłumaczyć na „niedopracowane”, inni wybiorą opcję: „z chorobami wieku dziecięcego”. Lwia część firm jest tego świadoma i gdy tylko może, publikuje tak istotne dla użytkowników uaktualnienia. A ponieważ z racji na możliwości dzisiejszych technologii kluczem do działania małych urządzeń jest bateria – może się zdarzyć, że w poprawkach znajdziemy optymalizację pracy ogniwa. Sami powiedzcie, kto nie marzy, żeby jego ulubione urządzenie działało dłużej?

No i nowe możliwości. Gdybyśmy dostawali po 10 złotych za każdy komentarz na blogu: „A kiedy VoLTE/WiFi Calling dla (i tu model telefonu)?”, to byśmy… No dobra, może ok. 1000 PLN by się zebrało 🙂 Nie jest powiedziane, że tylko w nowych telefonach pojawią się te możliwości. Jest jednak powiedziane, że po to, by z nich korzystać, trzeba telefon zaktualizować!

No i nie zapominajmy o „dużych” aktualizacjach do kolejnych wersji Androida. Trafiają się średnio raz do roku, ale producenci deklarują, że ich telefony dostaną dwie, a czasami nawet trzy „duże” wersje systemu z zielonym robotem. A tam już zmiany bywają rewolucyjne.

Jak to zrobić?

Wielu z Was na pewno wie, bo tak naprawdę to nie jest to żadne wielkie wyzwanie. Gdy na pasku zadań pojawi się monit o nowej wersji oprogramowania, należy:

  • Połączyć się z siecią WiFi (oprogramowanie ma nierzadko nawet kilka GB, więc jeśli mamy mały pakiet internetu, po aktualizacji może się okazać, że… nie mamy pakietu danych)
  • Zaakceptować monit
  • Poczekać, aż paczka danych ściągnie się na urządzenie
  • Upewnić się, że możemy sobie pozwolić na ok. kilkanaście minut przerwy w korzystaniu z urządzenia
  • Po raz kolejny zaakceptować monit, tym razem o instalację
  • Po restarcie urządzenia wpisać PIN karty SIM
  • Cieszyć się zaktualizowanym telefonem!

No i mieć świadomość, że jesteśmy bardziej eko! Uaktualniony telefon to telefon z którego dłużej będziemy się cieszyć, więc później go wymienimy (pewnie wtedy, gdy okaże się, że nowego Androida dla nas już nie ma).

Piąteczka, Matko Ziemio!

Dane z ankiety w tytułowej grafice: badanie zrealizowane przez Mobiem Polska techniką CAWI, na ogólnopolskiej próbie 856 osób w wieku 15-35 lat. Ankietowani odpowiadali na przełomie grudnia 2019 i stycznia 2020, https://www.telepolis.pl/wiadomosci/prawo-finanse-statystyki/smartfon-jak-dlugo-uzywa-polak-spi-z-telefonem

Udostępnij: Aktualizacja telefonu – dlaczego jest potrzebna?

Bezpieczeństwo

Flubot rozpowszechnia się jak grypa

10 czerwca 2021

Flubot rozpowszechnia się jak grypa

Rozpowszechnia się jak grypa, korzystając z prostej socjotechnicznej sztuczki. Od kilku miesięcy posiadacze telefonów komórkowych w Polsce (i kilku innych krajach) otrzymują SMSy o nadchodzących rzekomych przesyłkach kurierskich, z linkiem do ich „śledzenia”. Jak się ustrzec przed instalacją skrytego pod linkami trojana Flubot i co zrobić, jeśli jednak go zainstalowaliśmy?

Instaluj tylko ze Sklepu Play!

Najpierw zastanówmy się, czy na pewno cokolwiek zamawialiśmy. Jeśli spodziewamy się, że ktoś mógł nam zrobić miłą niespodziankę? Zerknijmy w adres w linku, czy na pewno ma coś wspólnego z firmą kurierską? Jeśli oszuści użyli skracacza linków, otwórzmy w przeglądarce stronę https://urlscan.io/, skopiujmy adres z SMSa i wklejmy go tam. Po kilku(nastu) sekundach zobaczymy, co się skrywa pod faktycznym adresem. Jeśli strona jest już rozpoznana jako złośliwa, serwis URL Scan od razu nas ostrzeże.

SMS z phishingiem Flubot

Chcąc poczuć odrobinę więcej emocji (użytkownikom o wiedzy podstawowej – odradzam) możemy kliknąć w linka (wyłącznie w telefonie – o tym za chwilę). Faktyczna strona firmy kurierskiej pokaże nam informację o przesyłce wraz z numerem listu przewozowego. Jeśli otwarta strona od razu będzie nas monitować o instalację pliku APK, lub poda nam link, wraz z instrukcją instalacji pliku z nieznanego źródła – mamy pewność, że to oszustwo.

Flubot sam się rozsyła

Flubot to tzw. banker, czyli złośliwy program, wyspecjalizowany w wykradaniu loginów i haseł do aplikacji do e-bankowości. Dlatego właśnie występuje w formie aplikacji na Androida i dlatego, jeśli wejdziemy na strony z phishingowych SMSów na komputerze nie zobaczymy nic, bądź zostaniemy przekierowani na zupełnie niepodejrzane witryny (oszuści ostatnio preferują Leroy Merlin).

Już przy instalacji aplikacja wymaga niestandardowych – i niebezpiecznych – uprawnień: wysyłania i odbierania SMSów oraz dostępu do listy kontaktów. Potrzebne jej to w dwóch celach: odbierania SMSów autoryzacyjnych do banku (o tym dalej) oraz rozsyłania się do kolejnych ofiar. Przestępcy wymyślili sprytną metodę replikacji. Wykradzioną listę kontaktów przesyłają do… innego zainfekowanego urządzenia, by dopiero stamtąd rozesłać phishingowe SMSy. To dlatego, że dla znajomych ofiary A numer ofiary B będzie anonimowy. W przeciwnym przypadku łatwo zorientowalibyśmy się, że coś jest nie w porządku, dostając od znajomych propozycję instalacji „lewej” aplikacji.

Co może się stać?

Cóż – nic dobrego. Cecha charakterystyczna malware’u Flubot to zasłanianie aplikacji bankowych nakładkami (tzw. overlays). W efekcie ofiara, sądząc, że robi przelew znajomemu, może właśnie dodawać konto przestępcy do zaufanych. Albo wpisując login i hasło tak naprawdę podawać je oszustom. Skutki mogą być opłakane, jak to klasycznie w przypadku bankerów – wyczyszczenie konta do zera, nierzadko również wzięcie wszelkich możliwych kredytów.

Na szczęście przestępcom sytuacje może utrudnić… nowa wersja Androida (o tym, jak przydatne są aktualizacje oprogramowania telefonu, napiszę na blogu jutro). Od Androida 10 bowiem system informuje nas za każdym razem, gdy jakaś aplikacja wymaga wyświetlania nad innymi. Za pierwszym razem wymaga naszej zgody. Za kolejnymi – w trakcie korzystania z „nakładkowej” aplikacji wyświetla odpowiednią ikonę na pasku zadań.

Czy Flubot jest łatwy do usunięcia

Jeśli jesteście klientami Orange Polska, CyberTarcza nie dopuszcza do transmisji danych między Waszym telefonem a infrastrukturą wirusa. Nie zmienia to jednak faktu, że trzymanie szkodnika na swoim telefonie byłoby niemądre. Niektóre z wersji Flubota są wykrywane i usuwane przez antywirusy. Jeśli zdarzyło Wam się zainstalować podejrzaną aplikację spoza Sklepu Play (albo sprawdzenie przy użyciu CyberTarczy) wykazało infekcję malwarem Flubot), ale antywirus niczego nie znalazł, przejrzyjcie listę zainstalowanych aplikacji. Jeśli znajdziecie Fedex/DHL, czy też aplikację o innej nazwie z logiem firmy kurierskiej, spróbujcie ją odinstalować.

Udało się – super! Nie udało się, a aplikacja uraczyła Was komunikatem o tym, że system nie pozwala jej usunąć? To w zasadzie też super, bo to dowód na to, że trafiliście w dziesiątkę. Niedoświadczonym użytkownikom polecam wtedy oddanie telefonu w ręce eksperta (możecie podać link do tego tekstu). Doświadczeni i świadomi tego co robią – zajrzyjcie na XDA Developers, gdzie opisane jest dedykowane narzędzie do usuwania Flubota. Ponieważ jest to… plik .apk spoza Sklepu Play, decyzję pozostawiam Wam. Niestety najnowszych wersji Flubota nie da się usunąć tym sposobem, tym niemniej do nas jeszcze nie trafiła taka „nieusuwalna” próbka.

Dla użytkowników z wiedzą techniczną – jeśli jeszcze nie widzieliście, zajrzyjcie na szczegółowe analizy Flubota w wykonaniu CERT Orange Polska. Tutaj znajdziecie pierwszą, a tutaj drugą.

Udostępnij: Flubot rozpowszechnia się jak grypa

Bezpieczeństwo

Oszuści nie dali rady Wojtkowi!

2 czerwca 2021

Oszuści nie dali rady Wojtkowi!

Oszuści znowu zaatakowali Wojtka! Znaczy próbowali, ale nasz rzecznik ma… mnie? Trochę żartuję, przede wszystkim ma budowaną przez lata wiedzę, ale nie zmienia to faktu, że z każdą wątpliwością może „uderzać” do mnie. Tak było i teraz.

Michał, sprzedajemy łóżko na OLX i ktoś właśnie do nas napisał, chwilę po wystawieniu ogłoszenia – zaczął Wojtek. A ja, gdy usłyszałem „OLX” wiedziałem, że może być ciekawie. – Mam mu wysłać łóżko do Sopotu, a on zapłaci. Wysłał już link, ale prosi o numer karty płatniczej, śmierdzi troszeczkę?
Karty, powiadasz? A jak napisał: wiadomością na OLX, czy WhatsAppem?
WhatsAppem, a co?

Ano właśnie. Jeśli na początku gdzieś tam delikatnie zza krzaków wychylił się główka pana z czerwoną flagą to teraz już wszystko zaświeciło mi piękną, soczystą czerwienią! Toż o oszustach, piszących przez WhatsApp do sprzedających w OLX piszemy już przynajmniej od kilku miesięcy! Ale jako, iż pokazanie czyjegoś przykładu (a rzecznika to już w ogóle 🙂 ) zdecydowanie bardziej wpływa na wyobraźnię, niż jakiś abstrakcyjny opis, przyjrzyjmy się jak oszuści (nieskutecznie) zaatakowali Wojtka.

Oszuści napiszą WhatsAppem

Zaczęło się od wystawienia przedmiotu i automatycznego potwierdzenia od OLX. Ta informacja zwrotna to jedyna oficjalna korespondencja w całej opisywanej sytuacji. Co ciekawe, w mailu można przeczytać m.in.:

Nie klikaj w żadne linki wysyłane przez nieznajomych poza OLX w SMS-ach czy komunikatorach, np. WhatsApp.

Po czym na telefon, wymieniony w opisie oferty, trafia zapytanie. Przez – jakże! – WhatsApp.

oszuści kontaktują się przez komunikator WhatsApp oszuści kontaktują się przez komunikator WhatsApp

To był moment, dosłownie kilka minut od publikacji ogłoszenia odezwała się zainteresowana kupnem osoba – opowiada Wojtek. – Bez żadnego dopytywania, od razu chciała rozmawiać o wysyłce – dodaje.

Szajki oszukujące na OLX to wyspecjalizowane przestępcze przedsiębiorstwa. Nie zajmują się „drobnicą”, szukając przedmiotów wystarczająco (ale też nieprzesadnie) drogich, ale też takich, które nie zmieszczą się do paczkomatu. Ja – nawet nie znając schematu tego oszustwa – nie dałbym się przekonać na jakieś kombinacje, gdy po prostu wystarczy włożyć towar do paczkomatu. Pod tym kątem monitorują na bieżąco serwis, robiąc to – na co wskazują statystyki i nasza korespondencja z wieloma ofiarami – z szokująco wysoką skutecznością.

Dodatkowo oszust wymyślił sobie „legendę” – nieco naciąganą – dlaczego nie może ze mną porozmawiać

– zaznacza Wojtek. Spójrzcie na sam dół lewego screenshota. Rzekomy „problem” ze słuchem nie istnieje. OLX-owe szajki atakują nas zza wschodniej granicy, bazując albo na dość podstawowej znajomości języka polskiego, bądź też czasami na gotowych skryptach! Poza tym, żeby przeprowadzić dobrą socjotechniczną manipulację, gdy ofiara nas słyszy, trzeba być naprawdę wyjątkowym fachowcem.

Skąd wiadomo, że to przestępcy ze Wschodu? Często z adresacji ich infrastruktury (z którą się zazwyczaj nie kryją). Zdarza się też, że niedoszłe ofiary, domyślając się oszustwa, w mniej lub bardziej wybredny sposób piszą rozmówcom co o nich myślą. W odpowiedzi dostają pozdrowienia napisane cyrylicą.

Dziwny SMS, czyli „rzuf”

Wróćmy jednak do opisywanego przypadku. Na końcu konwersacji rozmówca napisał o „SMS potwierdzającym”. Faktycznie, przyszedł:

Jeśli komuś do tej pory nie mieniło się czerwienią przed oczami, to teraz już musi. Ale najpierw krótka niby-dygresja (bo tak naprawdę na temat). W jakim słowie w języku polskim można zrobić błąd przy każdej literze? Mnie kojarzy się żółw, z którego (dzieci bywają mocno kreatywne) może nagle wyłonić się „rzuf”.

I właśnie powyższy SMS skojarzył mi się z takim „rzufem”:

  • Zamówienie uformowany.
    • Jakie zamówienie, skoro to Wojtek sprzedawał?
    • „Uformowany” nie brzmi dobrze
  • Zapraszamy do odebrania kwoty
    • To jakaś totalnie oderwana od polszczyzny forma
  • Link oooc.in
    • Nie ma w nazwie ani OLX ani żadnej bramki płatności

No „rzuf”, no…

Prawie jak OLX

Tym bardziej, że po kliknięciu w link (Wojtek lubi chyba żyć na krawędzi 😉 ) w przeglądarce otworzyła się strona olx.pl-otrzymac.work. To też znany numer – na początku coś, co wygląda jak faktyczna domena firmy, a potem – cóż, potem cokolwiek. Nasz mózg, wspomagając się heurystykami, bardzo często podświadomie „odetnie” to, co potem.

W tym momencie niemal każdego by już oświeciło – wyjaśnia Wojtek. – Po co numer karty? Przecież osoba prywatna nie będzie mi wpłacać pieniędzy na kartę, tylko na konto!

Dokładnie. W tym przypadku akurat nikt nie chce nam niczego wpłacać. Oszuści chcą nam tylko zabrać. W kolejnym kroku padnie pytanie o datę ważności i kod CVV. A potem? Potem pozostanie już tylko spłacać to, co przestępcy wydadzą.

Bądźcie jak Wojtek, nie dajcie się oszukać. Może znacie kogoś, kto ma potencjał, by paść ofiarą takiego oszustwa? Wyślijcie mu wtedy linka do tekstu. Warto też zaglądać regularnie na stronę CERT Orange Polska i CERTowego Twittera, gdzie o bezpieczeństwie w sieci piszemy i ostrzegamy regularnie.

Udostępnij: Oszuści nie dali rady Wojtkowi!

Bezpieczeństwo

Phishingi na PGE – uważaj, co akceptujesz!

13 maja 2021

Phishingi na PGE – uważaj, co akceptujesz!

Choć do tupetu i bezczelności sieciowych przestępców przez lata zdążyłem się już przyzwyczaić, zdarzają się sytuacje, gdy nóż po raz kolejny sam otwiera mi się w kieszeni. Co ciekawe, phishingowy schemat, który za chwilę opiszę, nie jest nowy. Jednak ewentualna niefrasobliwość ofiary pozwoli przestępcy zabrać jej wszystkie (i jeszcze więcej) pieniądze.

Znowu „drobne” do dopłacenia

Zaczyna się od SMSa, w naszym przypadku podszywającego się pod zaległość w fakturze za energię dla PGE.

Energetyczna spółka w ostatnim czasie jest jednym z ulubionych celów oszustów. Jeśli damy się przekonać, że nie dopłaciliśmy kilku złotych i klikniemy w link w wiadomości, „skracacz” rozwinie się na pełny adres.

Tu wprawne oko dojrzy nie tylko nie mający nic wspólnego z PGE ani jakimikolwiek płatnościami adres (hxxps://thepostowanie[.]xyz). Zobaczycie także to, przed czym od miesięcy ostrzegamy – drobną kwotę do zapłaty. To prostacka socjotechniczna sztuczka, mająca uspokoić nasz mózg. „To przecież drobna kwota, na takie kwoty się nie okrada!”. To prawda – chcą Was okraść na znacznie większą. Ale o tym zaraz. Jeśli przejdziemy do „płatności”, pojawi się kolejna czerwona flaga. Spójrzcie:

Co to jest to „48”? Można się domyślić, że chodzi o numer telefonu, ale z treści stron nic nie wynika. Spodziewałbym się jednak, że to też niedługo ulegnie zmianie. Przestępcy postarają się, żeby wyglądało jeszcze naturalniej. Kolejny krok to już znany standard:

z informacją „dane nabywcy” tam gdzie – jak zakładam – oszuści chcieliby dostać numer telefonu ofiary.

Co mnie zatem tak wyjątkowo zdenerwowało?

Instalują mobilną aplikację banku!

Zazwyczaj przestępcy w kolejnym kroku podstawiają na swojej stronie formularz logowania do banku, wykradając nasz login i hasło. Tu jednak jest inaczej:

Od kiedy do mTransferu potrzebny jest PESEL i nazwisko panieńskie matki? Ano od nigdy – to dane potrzebne, by aktywować aplikację mobilną banku (i dać jej pełne uprawnienia do naszego konta)! Kolejne kroki mogą się udać tylko w przypadku osób, które nigdy nie korzystały z aplikacji mobilnej, dlatego to bardzo ważne, byście w tym aspekcie uświadomili mniej świadome osoby, np. seniorów, którzy nie korzystają z aplikacji na smartfony.

Przestępcy proszą bowiem o podanie dwóch kluczowych kodów. Najpierw PINu, „uwalniającego” blokadę drugiego ciągu cyfr, a po jego wpisaniu – finalnego kodu, aktywującego aplikację mobilną. Po drodze automatyczny konsultant WIELOKROTNIE komunikuje (do znudzenia wręcz), że kody te służą on do aktywacji aplikacji i by nie podawać ich NIKOMU, wpisując na klawiaturze telefonu (!) i w aplikacji! To miało ukrócić praktyki przestępców, ale skoro wciąż atakują m.in. klientów mBanku należałoby założyć, że nawet takie ostrzeżenie nie zawsze działa!

Uważajcie i ostrzeżcie mniej technicznych członków rodziny/znajomych. Ja wiem, że słuchanie IVRów potrafi być ekstremalnie nudne, ale gdy idzie o transakcje finansowe

słuchamy dokładnie i szczegółowo, co do nas mówi automat!

Taka ostrożność wystarczy, by nie zostać oszukanym w opisywanym przeze mnie schemacie.

Kto za tym stoi?

Wiele wskazuje na to, że ataki „na faktury” to kolejny odłam wschodni grup cyberprzestępczych, które wydają się celować w dominację na polskim rynku. Starając się co najmniej iść krok w krok z nimi (czasami udaje się nawet wyprzedzać kryminalistów) sporo widzimy, choćby nie tylko zbieżność modus operandi z atakami „na Allegro”, czy „na OLX”, ale także zbyt bliskie podobieństwa w zakresie używanej infrastruktury. Na poprawę skuteczności może wpłynąć też fakt, iż oszuści zaczęli wysyłać phishingowe SMSy z polskich numerów (wcześniej przychodziły m.in. z niemieckiej numeracji +49).

Utrudnieniem dla zespołów bezpieczeństwa może być też fakt, iż do kradzieży używana jest niestandardowa infrastruktura. Nie mamy do czynienia z klasycznym botnetem, kierowym przez oszusta sprzed peceta. Analiza ruchu sieciowego wskazuje, iż strony przestępców komunikują się z nimi za pośrednictwem protokołu aplikacji Telegram. To rozwiązanie, używane często w społeczeństwach totalitarnych. Utrudnia ono służbom specjalnym dotarcie do nadawców wiadomości, ale także zespołom bezpieczeństwa wyśledzenie cyfrowych napastników. Na szczęście mamy też inne sposoby. Również te, które całkiem niedawno opisywałem.

No i bloga, za pośrednictwem którego możemy ostrzec Was i poprosić, byście przekazali tę wiedzę wszystkim, co do których obawiacie się, że mogliby dać się oszukać. I oczywiście nie sugerujcie się tym, że aktualna kampania jest na PGE – przestępcy mogą za kolejnym razem wybrać zupełnie inną firmę. Chodzi o schemat działania, który naprawdę warto zapamiętać.

 

Udostępnij: Phishingi na PGE – uważaj, co akceptujesz!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej