Bezpieczeństwo

#Krótko Uważajcie przy zakupach na ostatnią chwilę

10 grudnia 2020

#Krótko Uważajcie przy zakupach na ostatnią chwilę

Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

  • Sprawdzajcie adres strony, na którą wchodzicie
    • bankowych przede wszystkim…
  • Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
  • Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
  • Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
    • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
  • A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Udostępnij: #Krótko Uważajcie przy zakupach na ostatnią chwilę

Bezpieczeństwo

Phishing na fałszywą aplikację InPost

24 września 2020

Phishing na fałszywą aplikację InPost

Sytuacja w zasadzie dzieje się już od kilku/nastu tygodni, o czym pisaliśmy już na stronie CERT Orange Polska (polecam, tam o bezpieczeństwie nie tylko w czwartki 😉 ). Do klientów naszej – i nie tylko – sieci przychodzą fale SMSów, podszywających się pod wiadomości z firmy InPost. Oczywiście z operatorem Paczkomatów nie mają nic wspólnego – celem ich nadawców, jest by na naszych smartfonach wylądował trojan Cerberus.

aaaaAplikacje tylko z oficjalnego sklepu!

Niemal od początku istnienia Androida wszyscy trąbią na lewo i prawo o konieczności instalowania aplikacji wyłącznie z oficjalnego sklepu. Co więcej, z kolejnymi głównymi edycjami pojawiały się coraz bardziej rozszerzone opcje bezpieczeństwa. I co? I ciągle znajdują się ludzie, którzy bez namysłu odklikują „nie instaluj ze źródeł zewnętrznych”, bo… właśnie, w zasadzie dlaczego? Może ktoś wie i podzieli się w komentarzach?

A skoro są tacy ludzie, to przestępcy skwapliwie to wykorzystują, od pewnego czasu biorąc na cel firmę InPost. Operator paczkomatów od jakiegoś czasu, jeśli korzystamy z aplikacji mobilnej, nie wysyła już SMSów, pozostając przy mailach i informacji push w aplikacji. Wciąż jednak sporo osób nie chce/nie umie radzić sobie z aplikacją, przychodzą więc do nich niezmiennie SMSy. Co gorsza – kolejkowane pod prawdziwymi, ze względu na identyczny nadpis (tzn. nazwę nadawcy). W internecie można znaleźć przynajmniej kilka historii osób, które zaufały fałszywym SMSom, co kończyło się zalogowaniem na witrynę, podszywającą się pod bramkę płatności i okradnięciem konta bankowego ofiary.

.

Ataki hybrydowe

W ostatnich tygodniach obserwujemy ataki, które można by określić mianem „hybrydowych”. Z jednej strony dostajemy SMSa, z drugiej zaś – sugerując pobranie aplikacji (bo przecież aplikacji należy ufać, tak jesteśmy uczeni!). Po kliknięciu w link widzimy stronę do złudzenia przypominającą Sklep Play. Z wyjątkiem linków, rzecz jasna. No i wchodząc z telefonu nie jesteśmy przekierowywani – jak zwykle w takich przypadkach – do aplikacji Sklep Google. Dlaczego? Oczywiście dlatego, że nie ma żadnego sklepu!

Oczywiście z aplikacją InPost nie ma to nic wspólnego, a po instalacji (oczywiście wcześniej musimy zgodzić się na instalację z nieznanych źródeł) „wzbogacamy” nasz telefon o malware Cerberus. A ten to wyjątkowy specjalista – od kradzieży najpierw naszych poświadczeń logowania do e-banków, a następnie naszych całych oszczędności.

Lepiej tego nie robić. Nie dajcie się oszukać. Polecamy korzystanie z aplikacji mobilnej (nie tylko w przypadku paczkomatów), a tę prawdziwą, nie podstawioną, weźcie po prostu ze Sklepu Play. Oczywiście 24 godziny na dobę pilnujemy, czy w sieci nie pojawią się nowe wersje „sklepów”, blokując coraz to kolejne.

W ciągu mijającego tygodnia takich stron było kilkanaście!

Jeśli sami chcecie trzymać rękę na pulsie – obserwujcie naszego Twittera, gdzie zaprzyjaźnieni researcherzy regularnie podrzucają nowe IoC (Indicators of Compromise, w tym przypadku po prostu adres stron, udających Sklep Play).

Udostępnij: Phishing na fałszywą aplikację InPost

Bezpieczeństwo

Jak próbują nas oszukać w sieci?

9 lipca 2020

Jak próbują nas oszukać w sieci?

Macie czasami wrażenie, że co krok w internecie ktoś chce Was oszukać? Tu phishingi, tam dziwne sklepy, tu podejrzane strony… Wszędzie źli ludzie czają się na pieniądze. Na nasze, ciężko zarobione pieniądze. A jako, że sposobów jest sporo, warto czasami, choćby pokrótce, opisać, na co konkretnie musimy szczególnie uważać.

Przesyłka, której nigdy nie było

Zaczyna się od maila. Na początku od „kuriera z DPD”, w ostatnich dniach przestępcy podszywają się również pod Pocztę Polską. Z jakiegoś powodu nie mogła dotrzeć, musimy kliknąć, by ją śledzić, wpisać nowy adres… I oczywiście zapłacić.

Możemy zapłacić tylko kartą, a kiedy wpiszemy jej dane (włącznie z datą ważności i kodem CVV) – mam przeczucie graniczące z… nie no, mam pewność, że nie zostaną użyte tylko raz.

Co najlepiej zrobić w takiej sytuacji? Jestem w stanie zrozumieć, że każdego może kusić sprawdzenie, że paczka jest może jednak do niego? 🙂 Ja bym w takiej sytaucji wszedł na stronę faktycznego dostawcy/kuriera i na niej wpisał podany nr listu przewozowego. Jeśli okaże się, że nie istnieje – sprawa załatwiona.

Jak dać się oszukać „na dopłatę”

Swego czasu blokowaliśmy po kilka stron dziennie, udających usługi kurierskie z własnymi podstronami udającymi internetowe bramki płatności. W takim przypadku zaczyna się od SMSa domagającego się dopłaty drobnej kwoty (zazwyczaj złotówki z groszami). Tak niska kwota ma uśpić potencjalną ofiarę, bo przecież „to żadne pieniądze”, a „skoro trzeba”, to zapłaci. A będąc już nastawionym na tę konieczność, często nie spojrzy na pasek adresu przeglądarki:

Gdy po wybraniu banku wpiszemy login i hasło, zobaczymy (przykład mBanku zupełnie losowy) taki obrazek jak poniżej. Oczywiście wcale nie czekamy na zalogowanie do banku siebie, tylko przestępców, którzy w kolejnym kroku podstawią nam fałszywy formularz potwierdzenia rzeczonego przelewu, a jeśli nie zauważymy, że tak naprawdę akceptujemy ich konto jako zaufane – pożegnamy się z całym stanem konta.

Nie zapominajcie – zawsze patrzcie na pasek adresu, gdy logujecie się do banku z przeglądarki.

Na komórkę też się da

Przestępcy pamiętają rzecz jasna o tym, że wielu z nas korzysta z urządzeń mobilnych. Stąd zwiększona w ostatnich tygodniach popularność złośliwego oprogramowania Cerberus, wyspecjalizowanego w atakach na użytkowników smartfonów. W tym przypadku zaczyna się od SMSa, który prowadzi nas do strony udającej Sklep Play. Jeśli damy się przekonać do instalacji aplikacji (do nas wpadły próbki Inpostu, Allegro i Facebooka) spoza Sklepu Play – cóż, już po nas.

Nie instalujcie niczego spoza Sklepu Play. Po prostu.

A jeśli chcecie dostawać informacje o zagrożeniach na bieżąco (w tym szerzej o tych opisanych powyżej), zaglądajcie na stronę CERT Orange Polska i na naszego Twittera. Nie dajmy się oszukać!

Udostępnij: Jak próbują nas oszukać w sieci?

Bezpieczeństwo

Komu fałszywą aplikację mobilną?

25 czerwca 2020

Komu fałszywą aplikację mobilną?

To w sumie był całkiem oczywisty krok. Kiedy specjaliści od cyberbezpieczeństwa (wyżej podpisanego włączając), wbijają nam na każdym kroku: „Nie ufaj dziwnym mailom!”, „Nie wchodź na dziwne strony!”, „Nie klikaj w linki w SMSach!”, „Używaj aplikacji mobilnych!” – to nic dziwnego, że coraz więcej z nas się ku rzeczonym aplikacjom mobilnym skłania. A tu – cóż, w to graj przestępcom, którzy… podsuwają nam aplikację mobilną. Swoją, rzecz jasna.

SMSy (nie) od Allegro i InPostu

I pewnie prędzej, czy później, lista firm, których marki przestępcy nadużywają przedłuży się o kolejne (update na samym dole). A to dlatego, że pomysł – to przestępcom trzeba przyznać – jest całkiem niegłupi. Zobaczcie jak to wygląda, na przykładzie scamu na jedną z wymienionych firm.

Zaczyna się od SMSa. W przypadku InPostu standardowego SMSa o umieszczeniu przesyłki w Paczkomacie. Z drobnym dodatkiem – sugestią „aktualizacji aplikacji”. Pomysł z aktualizacją jest niegłupi, bowiem tylko część (mam nadzieję, że mniejsza) użytkowników paczkomatów wciąż korzysta z SMSów, pozostałym ta metoda autoryzacji została ze względów bezpieczeństwa wyłączona, bowiem wybrali aplikację mobilną. Oni na „instalację aplikacji” się nie złapią, ale z aktualizacją może się udać…

Może, bo przy dokładniejszym przyjrzeniu się SMSowi, jest to intryga grubymi nićmi szyta. Nadawca to nie, jak przy poprzednich kampaniach, InPost, więc nowy SMS nie skolejkuje się z poprzednimi (a tak by było, gdyby przestępcy użyli nadpisu z nazwą firmy). Dodatkowo –

witryna inpost.ltd powinna nie tylko podnieść w naszym mózgu czerwoną flagę, a raczej obudzić ubraną w jaskrawy szkarłat orkiestrę dętą pokazującą maksimum swoich umiejętności.

Prawie jak Google Play

Jeśli klikniemy w ten link (zrobiłem to, żebyście Wy nie musieli – z maszyny wirtualnej, rzecz jasna) zobaczymy witrynę udającą całkiem sprytnie Sklep Play. Oczywiście z wyłączeniem adresu, no i wchodząc na nią na telefonie, nie zostaniemy przekierowani do aplikacji sklepu. Nie zapomnijmy też, że klikając w link do „instalacji” zostaniemy poproszeni o zgodę na instalację aplikacji… spoza Sklepu Play. Nie śmiejcie się – są ludzie, którzy dadzą się oszukać, nie każdy jest cyfrowo świadomy na odpowiednim poziomie.

A co jeśli zainstalujemy? Aplikacja – jak zakładam, tego nie testowałem – nie zadziała, ale na pewno zadziała trojan bankowy „Cerberus”.

On wykradnie nasze dane logowania do banku, a w następnym kroku nasze pieniądze.

Uważajmy, co czytamy, uważajmy, w co klikamy. Kilka minut więcej, poświęcone na ostrożność, może nam oszczędzić mnóstwo nerwów i zdrowia.

Update: W momencie pisania tego tekstu pojawiły się dwie nowe „aplikacje” – udające iPKO i Facebooka.

Nie ściągajcie NICZEGO spoza Google Play. W razie wątpliwości – piszcie do nas, na cert.opl@orange.com. Pomożemy, a jeśli faktycznie traficie na scam – Wy też pomożecie, innym internautom.

A po najświeższe bezpieczniackie newsy zaglądajcie na naszego Twittera.

Udostępnij: Komu fałszywą aplikację mobilną?

Bezpieczeństwo

Groźny phishing na banki i pocztę

30 kwietnia 2020

Groźny phishing na banki i pocztę

Dziś krótko, ostrzegawczo i informacyjnie. Uważajcie na phishing ukrywający się w SMSach od poczty/kurierów, a także mailach od banków. Każdą taką wiadomość czytajcie bardzo dokładnie, zanim w cokolwiek klikniecie. Ryzyko jest naprawdę duże.

„Bezpieczeństwo” – słowo klucz

Aż dziwne jak bardzo to działa. Jak byście się czuli, dostając takiego maila?

Drogi Kliencie, Uaktualnilismy kontrole bezpieczenstwa, aby dac Ci konkretne, spersonalizowane rekomendacje w celu zwiekszenia bezpieczenstwa Twojego konta. Kliknij tutaj, aby zobaczyc dzialania, które nalezy podjac, aby zwiekszyc bezpieczenstwo kont.

Dziekuje Ci

albo nieco podobnego, takiego?

Drogi Kliencie, Twoje konto wlasnie sie zalogowalo z nowego urzadzenia z systemem Windows. Otrzymujesz te wiadomosc e-mail, aby upewnic sie, ze to ty. SPRAWDZ AKTYWNOSC

Dziekuje Ci

Ja to akurat mam nadzieję, że Ci z Was, którzy czytają moje teksty regularnie, parsknęliby co najwyżej śmiechem, widząc nie tylko przekombinowaną formę, ale też brak polskich znaków diakrytycznych. Coś takiego, w korespondencji udającej oficjalną, powinno natychmiast zapalić nam w głowach wirujące, czerwone światła. W przypadku tego drugiego można się złapać jeszcze łatwiej, bowiem tam mamy „ostrzeżenie o zalogowaniu” z naszego konta i odruchowo możemy tę aktywność sprawdzić.

Podobny phishing pojawia się w polskim internecie od kilku dni, co ciekawe – nasze analizy wskazują, że każdego dnia przestępcy celują w klientów innego banku.

Dezynfekuj, ale w domu

Uważacie, czego dotykacie? Myjecie ręce po otwarciu paczki, wyjętej wcześniej z paczkomatu albo odebranej z poczty? Bardzo dobrze, róbcie to nadal (nawet po pandemii, nie zaszkodzi), ale nie liczcie, że ktoś zdezynfekuje paczkę za Was. Nawet za pieniądze.

Tego wpada ostatnimi dniami naprawdę sporo, głównie podszywania się pod Inpost i Pocztę Polską. Jak możecie się domyślać, kliknięcie w taki link przeniesie ofiarę do fałszywej bramki płatności, gdzie, po podaniu loginu i hasła do banku, nie zapłacimy wcale 1.40 PLN, ale wszystko, co mamy.

Nieprzerwanie trzymamy rękę na pulsie, gdy trafią do nas kolejne próbki, blokujemy je w trybie 24/7, zdarza się nawet, że po niecałej godzinie od… zarejestrowania przez przestępców fałszywej domeny. Robimy wszystko, żebyście czuli się u nas jak najbezpieczniejsi.

Bądźcie zdrowi, #zostanciewdomu

Udostępnij: Groźny phishing na banki i pocztę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej