Bezpieczeństwo

Phishing na fałszywą aplikację InPost

24 września 2020

Phishing na fałszywą aplikację InPost

Sytuacja w zasadzie dzieje się już od kilku/nastu tygodni, o czym pisaliśmy już na stronie CERT Orange Polska (polecam, tam o bezpieczeństwie nie tylko w czwartki 😉 ). Do klientów naszej – i nie tylko – sieci przychodzą fale SMSów, podszywających się pod wiadomości z firmy InPost. Oczywiście z operatorem Paczkomatów nie mają nic wspólnego – celem ich nadawców, jest by na naszych smartfonach wylądował trojan Cerberus.

aaaaAplikacje tylko z oficjalnego sklepu!

Niemal od początku istnienia Androida wszyscy trąbią na lewo i prawo o konieczności instalowania aplikacji wyłącznie z oficjalnego sklepu. Co więcej, z kolejnymi głównymi edycjami pojawiały się coraz bardziej rozszerzone opcje bezpieczeństwa. I co? I ciągle znajdują się ludzie, którzy bez namysłu odklikują „nie instaluj ze źródeł zewnętrznych”, bo… właśnie, w zasadzie dlaczego? Może ktoś wie i podzieli się w komentarzach?

A skoro są tacy ludzie, to przestępcy skwapliwie to wykorzystują, od pewnego czasu biorąc na cel firmę InPost. Operator paczkomatów od jakiegoś czasu, jeśli korzystamy z aplikacji mobilnej, nie wysyła już SMSów, pozostając przy mailach i informacji push w aplikacji. Wciąż jednak sporo osób nie chce/nie umie radzić sobie z aplikacją, przychodzą więc do nich niezmiennie SMSy. Co gorsza – kolejkowane pod prawdziwymi, ze względu na identyczny nadpis (tzn. nazwę nadawcy). W internecie można znaleźć przynajmniej kilka historii osób, które zaufały fałszywym SMSom, co kończyło się zalogowaniem na witrynę, podszywającą się pod bramkę płatności i okradnięciem konta bankowego ofiary.

.

Ataki hybrydowe

W ostatnich tygodniach obserwujemy ataki, które można by określić mianem „hybrydowych”. Z jednej strony dostajemy SMSa, z drugiej zaś – sugerując pobranie aplikacji (bo przecież aplikacji należy ufać, tak jesteśmy uczeni!). Po kliknięciu w link widzimy stronę do złudzenia przypominającą Sklep Play. Z wyjątkiem linków, rzecz jasna. No i wchodząc z telefonu nie jesteśmy przekierowywani – jak zwykle w takich przypadkach – do aplikacji Sklep Google. Dlaczego? Oczywiście dlatego, że nie ma żadnego sklepu!

Oczywiście z aplikacją InPost nie ma to nic wspólnego, a po instalacji (oczywiście wcześniej musimy zgodzić się na instalację z nieznanych źródeł) „wzbogacamy” nasz telefon o malware Cerberus. A ten to wyjątkowy specjalista – od kradzieży najpierw naszych poświadczeń logowania do e-banków, a następnie naszych całych oszczędności.

Lepiej tego nie robić. Nie dajcie się oszukać. Polecamy korzystanie z aplikacji mobilnej (nie tylko w przypadku paczkomatów), a tę prawdziwą, nie podstawioną, weźcie po prostu ze Sklepu Play. Oczywiście 24 godziny na dobę pilnujemy, czy w sieci nie pojawią się nowe wersje „sklepów”, blokując coraz to kolejne.

W ciągu mijającego tygodnia takich stron było kilkanaście!

Jeśli sami chcecie trzymać rękę na pulsie – obserwujcie naszego Twittera, gdzie zaprzyjaźnieni researcherzy regularnie podrzucają nowe IoC (Indicators of Compromise, w tym przypadku po prostu adres stron, udających Sklep Play).

Udostępnij: Phishing na fałszywą aplikację InPost

Bezpieczeństwo

Jak próbują nas oszukać w sieci?

9 lipca 2020

Jak próbują nas oszukać w sieci?

Macie czasami wrażenie, że co krok w internecie ktoś chce Was oszukać? Tu phishingi, tam dziwne sklepy, tu podejrzane strony… Wszędzie źli ludzie czają się na pieniądze. Na nasze, ciężko zarobione pieniądze. A jako, że sposobów jest sporo, warto czasami, choćby pokrótce, opisać, na co konkretnie musimy szczególnie uważać.

Przesyłka, której nigdy nie było

Zaczyna się od maila. Na początku od „kuriera z DPD”, w ostatnich dniach przestępcy podszywają się również pod Pocztę Polską. Z jakiegoś powodu nie mogła dotrzeć, musimy kliknąć, by ją śledzić, wpisać nowy adres… I oczywiście zapłacić.

Możemy zapłacić tylko kartą, a kiedy wpiszemy jej dane (włącznie z datą ważności i kodem CVV) – mam przeczucie graniczące z… nie no, mam pewność, że nie zostaną użyte tylko raz.

Co najlepiej zrobić w takiej sytuacji? Jestem w stanie zrozumieć, że każdego może kusić sprawdzenie, że paczka jest może jednak do niego? 🙂 Ja bym w takiej sytaucji wszedł na stronę faktycznego dostawcy/kuriera i na niej wpisał podany nr listu przewozowego. Jeśli okaże się, że nie istnieje – sprawa załatwiona.

Jak dać się oszukać „na dopłatę”

Swego czasu blokowaliśmy po kilka stron dziennie, udających usługi kurierskie z własnymi podstronami udającymi internetowe bramki płatności. W takim przypadku zaczyna się od SMSa domagającego się dopłaty drobnej kwoty (zazwyczaj złotówki z groszami). Tak niska kwota ma uśpić potencjalną ofiarę, bo przecież „to żadne pieniądze”, a „skoro trzeba”, to zapłaci. A będąc już nastawionym na tę konieczność, często nie spojrzy na pasek adresu przeglądarki:

Gdy po wybraniu banku wpiszemy login i hasło, zobaczymy (przykład mBanku zupełnie losowy) taki obrazek jak poniżej. Oczywiście wcale nie czekamy na zalogowanie do banku siebie, tylko przestępców, którzy w kolejnym kroku podstawią nam fałszywy formularz potwierdzenia rzeczonego przelewu, a jeśli nie zauważymy, że tak naprawdę akceptujemy ich konto jako zaufane – pożegnamy się z całym stanem konta.

Nie zapominajcie – zawsze patrzcie na pasek adresu, gdy logujecie się do banku z przeglądarki.

Na komórkę też się da

Przestępcy pamiętają rzecz jasna o tym, że wielu z nas korzysta z urządzeń mobilnych. Stąd zwiększona w ostatnich tygodniach popularność złośliwego oprogramowania Cerberus, wyspecjalizowanego w atakach na użytkowników smartfonów. W tym przypadku zaczyna się od SMSa, który prowadzi nas do strony udającej Sklep Play. Jeśli damy się przekonać do instalacji aplikacji (do nas wpadły próbki Inpostu, Allegro i Facebooka) spoza Sklepu Play – cóż, już po nas.

Nie instalujcie niczego spoza Sklepu Play. Po prostu.

A jeśli chcecie dostawać informacje o zagrożeniach na bieżąco (w tym szerzej o tych opisanych powyżej), zaglądajcie na stronę CERT Orange Polska i na naszego Twittera. Nie dajmy się oszukać!

Udostępnij: Jak próbują nas oszukać w sieci?

Bezpieczeństwo

Komu fałszywą aplikację mobilną?

25 czerwca 2020

Komu fałszywą aplikację mobilną?

To w sumie był całkiem oczywisty krok. Kiedy specjaliści od cyberbezpieczeństwa (wyżej podpisanego włączając), wbijają nam na każdym kroku: „Nie ufaj dziwnym mailom!”, „Nie wchodź na dziwne strony!”, „Nie klikaj w linki w SMSach!”, „Używaj aplikacji mobilnych!” – to nic dziwnego, że coraz więcej z nas się ku rzeczonym aplikacjom mobilnym skłania. A tu – cóż, w to graj przestępcom, którzy… podsuwają nam aplikację mobilną. Swoją, rzecz jasna.

SMSy (nie) od Allegro i InPostu

I pewnie prędzej, czy później, lista firm, których marki przestępcy nadużywają przedłuży się o kolejne (update na samym dole). A to dlatego, że pomysł – to przestępcom trzeba przyznać – jest całkiem niegłupi. Zobaczcie jak to wygląda, na przykładzie scamu na jedną z wymienionych firm.

Zaczyna się od SMSa. W przypadku InPostu standardowego SMSa o umieszczeniu przesyłki w Paczkomacie. Z drobnym dodatkiem – sugestią „aktualizacji aplikacji”. Pomysł z aktualizacją jest niegłupi, bowiem tylko część (mam nadzieję, że mniejsza) użytkowników paczkomatów wciąż korzysta z SMSów, pozostałym ta metoda autoryzacji została ze względów bezpieczeństwa wyłączona, bowiem wybrali aplikację mobilną. Oni na „instalację aplikacji” się nie złapią, ale z aktualizacją może się udać…

Może, bo przy dokładniejszym przyjrzeniu się SMSowi, jest to intryga grubymi nićmi szyta. Nadawca to nie, jak przy poprzednich kampaniach, InPost, więc nowy SMS nie skolejkuje się z poprzednimi (a tak by było, gdyby przestępcy użyli nadpisu z nazwą firmy). Dodatkowo –

witryna inpost.ltd powinna nie tylko podnieść w naszym mózgu czerwoną flagę, a raczej obudzić ubraną w jaskrawy szkarłat orkiestrę dętą pokazującą maksimum swoich umiejętności.

Prawie jak Google Play

Jeśli klikniemy w ten link (zrobiłem to, żebyście Wy nie musieli – z maszyny wirtualnej, rzecz jasna) zobaczymy witrynę udającą całkiem sprytnie Sklep Play. Oczywiście z wyłączeniem adresu, no i wchodząc na nią na telefonie, nie zostaniemy przekierowani do aplikacji sklepu. Nie zapomnijmy też, że klikając w link do „instalacji” zostaniemy poproszeni o zgodę na instalację aplikacji… spoza Sklepu Play. Nie śmiejcie się – są ludzie, którzy dadzą się oszukać, nie każdy jest cyfrowo świadomy na odpowiednim poziomie.

A co jeśli zainstalujemy? Aplikacja – jak zakładam, tego nie testowałem – nie zadziała, ale na pewno zadziała trojan bankowy „Cerberus”.

On wykradnie nasze dane logowania do banku, a w następnym kroku nasze pieniądze.

Uważajmy, co czytamy, uważajmy, w co klikamy. Kilka minut więcej, poświęcone na ostrożność, może nam oszczędzić mnóstwo nerwów i zdrowia.

Update: W momencie pisania tego tekstu pojawiły się dwie nowe „aplikacje” – udające iPKO i Facebooka.

Nie ściągajcie NICZEGO spoza Google Play. W razie wątpliwości – piszcie do nas, na cert.opl@orange.com. Pomożemy, a jeśli faktycznie traficie na scam – Wy też pomożecie, innym internautom.

A po najświeższe bezpieczniackie newsy zaglądajcie na naszego Twittera.

Udostępnij: Komu fałszywą aplikację mobilną?

Bezpieczeństwo

Groźny phishing na banki i pocztę

30 kwietnia 2020

Groźny phishing na banki i pocztę

Dziś krótko, ostrzegawczo i informacyjnie. Uważajcie na phishing ukrywający się w SMSach od poczty/kurierów, a także mailach od banków. Każdą taką wiadomość czytajcie bardzo dokładnie, zanim w cokolwiek klikniecie. Ryzyko jest naprawdę duże.

„Bezpieczeństwo” – słowo klucz

Aż dziwne jak bardzo to działa. Jak byście się czuli, dostając takiego maila?

Drogi Kliencie, Uaktualnilismy kontrole bezpieczenstwa, aby dac Ci konkretne, spersonalizowane rekomendacje w celu zwiekszenia bezpieczenstwa Twojego konta. Kliknij tutaj, aby zobaczyc dzialania, które nalezy podjac, aby zwiekszyc bezpieczenstwo kont.

Dziekuje Ci

albo nieco podobnego, takiego?

Drogi Kliencie, Twoje konto wlasnie sie zalogowalo z nowego urzadzenia z systemem Windows. Otrzymujesz te wiadomosc e-mail, aby upewnic sie, ze to ty. SPRAWDZ AKTYWNOSC

Dziekuje Ci

Ja to akurat mam nadzieję, że Ci z Was, którzy czytają moje teksty regularnie, parsknęliby co najwyżej śmiechem, widząc nie tylko przekombinowaną formę, ale też brak polskich znaków diakrytycznych. Coś takiego, w korespondencji udającej oficjalną, powinno natychmiast zapalić nam w głowach wirujące, czerwone światła. W przypadku tego drugiego można się złapać jeszcze łatwiej, bowiem tam mamy „ostrzeżenie o zalogowaniu” z naszego konta i odruchowo możemy tę aktywność sprawdzić.

Podobny phishing pojawia się w polskim internecie od kilku dni, co ciekawe – nasze analizy wskazują, że każdego dnia przestępcy celują w klientów innego banku.

Dezynfekuj, ale w domu

Uważacie, czego dotykacie? Myjecie ręce po otwarciu paczki, wyjętej wcześniej z paczkomatu albo odebranej z poczty? Bardzo dobrze, róbcie to nadal (nawet po pandemii, nie zaszkodzi), ale nie liczcie, że ktoś zdezynfekuje paczkę za Was. Nawet za pieniądze.

Tego wpada ostatnimi dniami naprawdę sporo, głównie podszywania się pod Inpost i Pocztę Polską. Jak możecie się domyślać, kliknięcie w taki link przeniesie ofiarę do fałszywej bramki płatności, gdzie, po podaniu loginu i hasła do banku, nie zapłacimy wcale 1.40 PLN, ale wszystko, co mamy.

Nieprzerwanie trzymamy rękę na pulsie, gdy trafią do nas kolejne próbki, blokujemy je w trybie 24/7, zdarza się nawet, że po niecałej godzinie od… zarejestrowania przez przestępców fałszywej domeny. Robimy wszystko, żebyście czuli się u nas jak najbezpieczniejsi.

Bądźcie zdrowi, #zostanciewdomu

Udostępnij: Groźny phishing na banki i pocztę

Bezpieczeństwo

Coraz bliżej święta… i przestępcy o tym wiedzą

5 grudnia 2019

Coraz bliżej święta… i przestępcy o tym wiedzą

Święta już o krok! Jak tam, prezenty już zamówione u najbardziej lubianego świętego? Firmy kurierskie przeżywają oblężenie, pod paczkomatami kolejki, jak za dawnych, niekoniecznie miło wspominanych czasów, po parówki albo papier toaletowy. A przestępcy? Cóż, oni jak zwykle zacierają ręce, bo ten okres roku to dla nich szansa na wyjątkowe żniwa.

Stawiam bitcoiny przeciwko orzechom, że gdybym spojrzał wstecz przez całą historię bloga to może maksymalnie raz nie ostrzegałem w grudniu przed aktywnością cyberprzestępców. Jedni mogą powiedzieć, że się powtarzam. Możecie nawet mieć rację. Ale wtedy ja powiem, że nasze statystyki wskazują, iż nawet w wydające się najbardziej oczywistymi phishingowe pułapki regularnie wpadają internauci. Dlatego tak, co roku warto przypominać, na co trzeba uważać i jakie aktualnie panują przestępcze trendy.

Kto by chciał spędzać święta pod paczkomatem?

„Panie, teraz już nie ma szczytu świątecznego! Zaczyna się po Czarnym Piątku i już tak zostaje, do końca roku!” – usłyszałem ostatnio od kuriera Inpost, stojącego pod zapełnionym paczkomatem, z kilkuset paczkami w samochodzie, szukającego w tym stogu siana przesyłek dla kolejnych z dłuuugiej kolejki ludzi. Firma Rafała Brzóski, mimo rozbudowy sieci paczkomatów, rok do roku na święta staje się ofiarą własnego sukcesu i wiedzą o tym również przestępcy. Gdybym miał stawiać na jeden rodzaj ataku, jakiego niebawem zaczniemy doświadczać, byłyby to właśnie SMSy „na paczki”.

SMSy od przestępców można rozpoznać po sugestii dopłaty drobnej kwoty i zawartym w nich linku. Przyczyny mogą być różne – czy to dopłata do paczki, czy jej „zwolnienie” z magazynu, bądź też spowodowanie, by szybciej (czyż nie każdy z nas o tym marzy?) do nas dotarła. Co gorsza, przestępcy wysyłając je z tzw. nadpisu (czyli tego, co pokazuje się zamiast numeru nadawcy) „Inpost” powodują, że nasze telefony wrzucają je do tego samego wątku, co faktyczne informacje od kuriera. W efekcie odruchowo możemy kliknąć.

Nie róbcie tego. Przestępcy przekierują Was wtedy na stronę podszywającą się pod witrynę operatora płatności, przejmą Wasz login i hasło, by następnie przekonać Was do „akceptacji przelewu”, który tak naprawdę okaże się dodaniem rachunku zaufanego do Waszego konta. Tak, tego samego rachunku „słupa”, na który chwilę później trafią ukradzione Wam pieniądze.

My oczywiście będziemy trzymać rękę na pulsie, by każdego potwierdzonego nadawcę takich SMSów blokować, a witryny, do których będą prowadzić linki z wiadomości, od razu dodawać do CyberTarczy.

Uważaj na swoje pieniądze

O ile niemal przez cały rok się spieszymy, święta to w mojej opinii okres, gdy wreszcie na trochę możemy zwolnić. Wspomóżmy Mikołaja pomysłami odpowiednio wcześnie, nie spinajmy się, że świąteczna impreza ma wyjść wzorcowo, bo to nie konkurs piękności, a nawet jeśli nie uda się przygotować 12 wigilijnych potraw – nikomu krzywda się nie stanie. Dlatego zwolnij, przynajmniej na te kilka dni, i nie daj się przestępcom:

  • jeśli zakupy jeszcze przed Tobą, kupuj online tylko w zaufanych, sprawdzonych sklepach
  • podchodź z dużym dystansem do wszelkich okazyjnych, ogromnych promocji, chyba, że pochodzą z zaufanych, sprawdzonych sklepów
  • jeśli odbierasz przesyłki w paczkomatach, zainstaluj aplikację i po prostu nie zwracaj uwagi na SMSy 🙂
  • jeśli dostaniesz wiadomość z wymaganiem jakiejkolwiek zapłaty i podanym linkiem – zadzwoń do jej domniemanego nadawcy i upewnij się, czy na pewno ją nadał
  • uważaj przy bankomatach – szczególnie w miejscach odludnych sprawdź, czy moduł klawiatury i slot na kartę nie robią wrażenia, jakby ktoś przy nich operował; jeśli masz wątpliwości, nie wypłacaj
  • przy transakcjach kartowych zasłaniaj klawiaturę, wpisując PIN
  • a najlepiej płać i wypłacaj przy użyciu BLIKa, sam robię tak, kiedy tylko mogę 🙂
  • jeśli trafi do Ciebie jakikolwiek podejrzany mail, czy SMS, wyślij go do nas, na cert.opl@orange.com – wtedy pomożesz innym internautom

Święta to dla wielu najpiękniejszy okres w roku. Sprawmy, by był szczęśliwy dla nas i dla naszych najbliższych, a przestępcy niech spróbują zarobić na życie uczciwie.

Udostępnij: Coraz bliżej święta… i przestępcy o tym wiedzą

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej