Jutro, w piątek 24 czerwca, miną 4 miesiące od ataku Rosji na Ukrainę. Tego militarnego, bowiem aktywności w cyberprzestrzeni zaczęły się znacznie wcześniej. Co więcej – ich celem bywają również Polacy. Tak jak w przypadku nowej kampanii phishingowej.

„Nuclear Terrorism A Very Real Threat.rtf”. Taki dokument trafia na komputery w krajach, będących celem APT 28 (Fancy Bear/Sofacy), finansowanej przez Rosję grupy, powiązanej z tamtejszym wywiadem GRU. Jeśli damy się przekonać socjotechnicznej sztuczce (w tak trudnym geopolitycznie okresie sam chętnie poczytałbym analizę nt. potencjalnych planów i zamiarów putina) i otworzymy dokument, dowiemy się, że faktycznie zawiera treść, jednak oprócz niej instaluje w tle złośliwe oprogramowanie CredoMap. Podatność dotyczy aplikacji Microsoft Office, w wersjach od 2013, do działania nie potrzebuje włączonej obsługi makr.

Co może się stać?

CredoMap to malware wyspecjalizowany w wykradaniu danych (w tym haseł i ciasteczek sesyjnych) z przeglądarek internetowych. Rosyjscy szpiedzy wykorzystają w tym celu podatność 0-Day Windowsa o nazwie „Follina”, pozwalającą na zdalne wykonanie kodu na urządzeniu ofiary po uruchomieniu przez nią odpowiednio spreparowanego pliku. Powiecie „przecież to tylko hasła!”. A ja powiem, że jeśli mamy w ręku czyjeś hasła, to, co możemy z nimi zrobić, limitowane jest wyłącznie naszą kreatywnością, możliwościami i finansami. Działającej od lat grupie, za którą stoi rosyjski wywiad, nie brakuje z tej listy niczego. A gdy mamy do czynienia z tak zgrabnie przygotowanym phishingiem kierunkowym (ang. spear phishing), bo akurat potencjalne ryzyko użycia przez Rosję broni atomowej interesuje (niemal) każdego – w Ukrainie, atakowanej nie tylko militarnie, może to niestety przynieść efekty.

Ale dlaczego my mamy się bać?

Bo jesteśmy państwem frontowym. To akurat oczywiste. Co więcej jednak, opublikowany wczoraj raport Microsoftu dowodzi, iż ostrze rosyjskiego „szpiegostwa strategicznego” dotknęło od wybuchu wojny 128 organizacji w 42 krajach wspierających Ukrainę!

Co robić? Przede wszystkim uważać! Nie dać się zmanipulować socjotechnicznym sztuczkom. Jeśli interesują nas opracowania na konkretny temat, nie czytajmy ich, gdy nagle wpadną w mailu z nieznanego adresu. Po prostu poszukajmy ich w sieci! No i nie zaszkodzi zaktualizować MS Office i poczytać o najnowszych aktualizacjach Microsoftu.

Pamiętacie, jak pisałem, że instalując aplikacje ze Sklepu Play w zasadzie możecie być pewni, że nic złego się stanie? Cóż, kluczem w tej wypowiedzi jest „możecie”. Tyle dobrego, że opisywane oszustwo to tak naprawdę phishing, tylko w nieco innym opakowaniu.

Na początku zaznaczę jednak, że co do zasady mechanizmom bezpieczeństwa Sklepu Play można ufać. Na niezliczoną ilość aplikacji, które doń trafiają, tak naprawdę pojedynczym złośliwym programom zdarza się przejść przez ochronne sito. Google’owy „bramkarz” (po naszemu angielskie słowo bouncer to odpowiednim „selekcjonera” sprzed wejścia do lokalu) jest bardzo efektywny. Problemy pojawiają się wtedy, gdy…

Aplikacja nie jest złośliwa

„Zaraz zaraz – to jaki to ma sens?” – spytacie. „Jest zła, czy nie?”. Nie – bo nie zawiera złośliwego kodu. Tak – bo docelowo, przekonując „zainwestuj”, chce pozbawić nas pieniędzy. Ale dobra, do rzeczy:

Jak widzicie w pasku adresu, to jest Sklep Play. Ba, nawet nazwa twórcy aplikacji brzmi poważnie. Bo o to właśnie chodzi oszustom, gdy umieszczają swoje aplikacje w oficjalnym sklepie. To nie jest przecież podejrzana strona, nie ma dziwnego linku, żadnych podejrzanych nazw… Wszystko wygląda rzetelnie!

Czy aby na pewno?

Spójrzcie na logo i rating PEGI

Nie macie wrażenie, że orzeł wygląda jak rozdeptany przez słonia? PEGI 18+ w sumie na pierwszy rzut oka może mieć sens – w końcu mówimy o aplikacji do inwestowania pieniędzy! Nie wiem, jak Wy, ale ja nie bardzo bym chciał, by któryś z moich synów usiłował bez mojej wiedzy pomnożyć moje oszczędności…

Rozdeptany orzeł pełen brutalności

Skąd w ogóle pomysł na nieco inne logo (podobnie jest w przypadków oszustw „na Lotos”) i wysokie PEGI? Pierwsza sprawa to fakt, iż jednym z zadań wspominanego Bouncera przy umieszczaniu aplikacji w sklepie jest sprawdzenie, czy przypadkiem główne logo aplikacji gdzieś się nie powtarza! Wtedy wystarczy sprawdzić, czy zgadzają się inne cechy. Jeśli nie – żegnamy, pan do tego klubu nie wejdzie!

A kategoria wiekowa? Tu warto dodać, że po przewinięciu na ekranie aplikacji (nie dam Wam linka, już dawno „spadła z rowerka” okazuje się, że przyczyną wysokiego PEGI jest… duża brutalność! W tej sytuacji może chodzić o to, iż aplikacje, które twórcy sami tak oznaczyli są nieco mniej szczegółowo sprawdzane? Nie mam jednak pewności, jeśli ktoś ma większą wiedzę, podzielcie się proszę w komentarzach.

Zainwestuj w… ostrożność

Co się dzieje po zainstalowaniu takiej aplikacji?

Myślę, że część z Was może znać/pamiętać ten obrazek sprzed pewnego czasu. Aplikacja mobilna to bowiem przełożone 1:1 strony, przekonujące nas do inwestycji „w majątek narodowy”. Pełne okraszonych socjotechnicznymi sztuczkami bzdur w stylu „Polaku, zainwestuj, a zarobisz bardzo-dużo-pieniędzy-a-może-nawet-jeszcze-więcej”. A dlaczego w formie aplikacji? To kolejna socjotechniczna sztuczka. Bo przecież skoro aplikacje w oficjalnym sklepie są bezpieczne, to czemu nie zainstalować tej? Cóż:

Nie czyni to ich jednak – jak widać – niegroźnymi.

Nie dajcie się wyprowadzić w pole! Pamiętajcie, by zwracać uwagę na potencjalne ryzyka niezależnie od tego, czy korzystacie ze strony WWW, czy z aplikacji (będącej tak naprawdę stroną WWW…).

Gdy ktoś usiłuje Was przekonać, by wpłacić gdzieś Wasze ciężko zarobione pieniądze, zastanówcie się trzy razy!

Wyjdźcie do kuchni na kawę, przejdźcie się po osiedlu, czy firmowym patio. A gdy się dotlenicie – siądźcie znów przed komputerem/telefonem i zastanówcie się, czy taka „inwestycja” ma jakikolwiek sens?

A my w CERT Orange Polska będziemy dalej robić swoje. Na takie aplikacji też mamy pewien sposób ;), a koleżeństwo z Google po otrzymaniu informacji od nas błyskawicznie je usuwa. Nie zmienia to jednak faktu, że warto uważać. Jeśli chcesz inwestować, zainwestuj w siebie. Nie w złodzieja.

Jak wiosna, to zmiany – także w ofercie Telewizji od Orange. Wszyscy klienci, którzy mają pakiet telewizyjny od CANAL+ mogą bezpłatnie korzystać z nowego serwisu – CANAL+ online. Podpowiadamy także, jak z tej oferty mogą skorzystać nowi klienci.

Dlaczego warto?

Klienci Telewizji od Orange, którzy posiadają pakiet telewizyjny od CANAL+, mogą bezpłatnie korzystać z nowego serwisu – CANAL+ online dla abonentów. Wystarczy, że zarejestrują swoje konto. Szczegóły dostępne są na stronie: https://www.orange.pl/telewizja/canalplus-online

Z serwisu można korzystać na wielu urządzeniach z dostępem do Internetu, m.in.: na komputerze, smartfonie czy tablecie (po ściągnięciu bezpłatnej aplikacji). W CANAL+ online są wybrane kanały telewizyjne oraz treści na żądanie z oferty abonamentowej: filmy, pełne sezony topowych polskich i zagranicznych seriali m.in.: „Dexter: New Blood”, „Pitbull”, „Klangor” czy „Planeta Singli. Osiem historii” (w przypadku abonentów korzystających z pakietu CANAL+ Prestige lub CANAL+ Select), produkcje dla dzieci oraz doskonałe programy sportowe.

Żeby oglądanie kanałów linearnych oraz treści na żądanie było jeszcze przyjemniejsze, w serwisie dostępnych jest wiele nowoczesnych funkcji, m.in.: Timeshift, czyli możliwość przewijania, zatrzymywania i wznawiania oglądania kanałów na żywo; Start-Over –rozpoczynanie oglądania programu na żywo od początku. Można także pobierać treści na urządzenia mobilne i oglądać je później offline. Na wybranych kanałach linearnych jest opcja backward EPG – odtworzenie materiału, który był emitowany do 14 dni wstecz, a dzięki Multi-Live – można oglądać do 4 programów sportowych lub informacyjnych na jednym ekranie jednocześnie. Ponadto każdy użytkownik, w ramach jednego konta, może utworzyć do 10 profili i cieszyć się z treści dostosowanych specjalnie dla niego.

Jak zamówić pakiet?

Nowi klienci, którzy chcą zamówić dodatkowe pakiety telewizyjne od CANAL+, w ramach których zyskają też dostęp do serwisu CANAL+ online, mają do dyspozycji: pakiet CANAL+ Prestige za 49,99 zł/mies., pakiet CANAL+ Select za 39,99 zł/mies. lub pakiet Extra+ za 29,99 zł/mies. Przez pierwsze 3 miesiące pakiety dostępne są za 0 zł przy umowie na 24 miesiące.

Pakiety od CANAL+ można dokupić w ramach posiadanej w Orange oferty z Internetem i TV, a także w ramach Orange Love Standard lub Orange Love Extra (Internet, TV, abonament komórkowy). Z kolei klienci, którzy kupią Orange Love Premium mają już kanały z pakietu CANAL+ Prestige w cenie swojego abonamentu.

Dodatkowo, obecni abonenci Telewizji od Orange  w technologii kablowej, którzy korzystają z Dekodera Premium 4K lub Dekodera 4K, mogą w dowolnym momencie trwania swojej umowy, w prosty sposób kupić pakiet od CANAL+ bezpośrednio na swoim dekoderze (bez konieczności wizyty w salonie sprzedaży czy kontaktu z infolinią). Wystarczy, że skorzystają z opcji „Dokup pakiet”, którą znajdą na stronie startowej dekodera.

Co łączy oszustów z policją? Jak dla mnie, najlepiej, gdy są to kajdanki nakładane na ich dłonie i trzask zasuwy w Pomieszczeniu Dla Osób Zatrzymanych. Tymczasem w nowej serii kampanii phishingowych jest to jeden mały obrazek.

W ostatnich dniach obserwujemy znaczący wzrost kampanii phishingowych, ukierunkowanych na wykradanie loginów i haseł do Facebooka. Łączy je jedno – znany od lat motyw z „czymś-strasznym-z-czego-film-udało-się-nagrać”. Tym razem to śmiertelny, drastyczny wypadek drogowy. W dwóch wersjach – zderzenia anonimowych osób (przykład poniżej), bądź śmiertelnego wypadku gwiazdy popularnego (?) telewizyjnego show.

Zszokowana ofiara (phishingu, nie wypadku) ma oczywiście natychmiast kliknąć w link do filmu, by dalej odruchowo zalogować się do portalu społecznościowego. Ponieważ „skoro wygląda jak Facebook – to na pewno Facebook” nie będziemy przecież patrzeć na adres w pasku przeglądarki, prawda? Więc nie zauważymy, że z Facebookiem nie ma nic wspólnego. A potem przejęcie tożsamości, prośby o kod BLIK, postowanie z naszego konta takich samych treści na różnych grupach… Wybór ograniczony w zasadzie tylko kreatywnością przestępcy.

Bezczelność, czy lenistwo?

No ale o tym już było, więc po co piszę na ten temat znowu? Po pierwsze dlatego, że ostrzeżeń nigdy za wiele. Ale też dlatego, że znalazłem ciekawostkę, łączącą wszystkie te strony. Analizując jedną z witryn spojrzałem na listę adresów IP, z którymi się łączy:

Jeśli skróty przy drugim adresie wydają się Wam znajome, to dobrze Wam się wydaje.

AS 198704 to sieć Biura Łączności i Informatyki Komendy Głównej Policji.

Jakim cudem odwołuje się do niej (niejedna) strona oszustów? Po to, by wziąć z niej jeden obrazek. Najlepiej zobaczcie sami – spokojnie, możecie kliknąć 🙂

https://mazowiecka.policja.gov.pl/dokumenty/zalaczniki/288/288-104863.png.

Oszuści są na tyle bezczelni/leniwi (niepotrzebne skreślić, albo oba zostawić, jak wolicie), że nie chce im się nawet wrzucać na swoją stronę obrazka znaku ostrzegającego przed wypadkiem! Wolą zalinkować bezpośrednio do strony mazowieckiej policji!

Ile tego jest?

Dość sporo.

Zdaję sobie sprawę z tego, że po tej publikacji odwołania zapewne znikną. Oszustom będzie nie w smak fakt, że admini znajdując odwołania do tego obrazka (ułatwię sprawę, wszystkie 152 są tutaj) będą mogli praktycznie ze stuprocentową pewnością wykryć i zablokować fałszywą stronę. Z drugiej strony, mam przeczucie graniczące z pewnością, że w którejś z kolejnych serii kampanii pojawi się inny element, wiążący jest wszystkie. Jeśli lubicie przyglądać się takim przekrętom – szybko je znajdziecie.

No i pamiętajcie, że na Facebooka (jeśli już musicie) logujecie się przez Facebooka. Warto poświęcić chwilę, żeby zerknąć na adres strony.

CyberTarcza zablokowała w ostatnich dniach około 10 fałszywych domen podszywających się pod jeden ze znanych serwisów do tworzenia zbiórek pomocowych. Według CERT Orange Polska, codziennie pojawia się nawet kilkanaście stron z fałszywymi wiadomościami, wykorzystującymi m.in. kontekst wojny w Ukrainie. Fake newsy kierujące do fałszywych stron logowania są narzędziem wyłudzania danych lub pieniędzy. W natłoku informacji warto wiedzieć, jak ustrzec się przed dezinformacją i nie dać się oszukać. 

Oszuści zawsze wykorzystywali kontekst bieżących wydarzeń do swoich celów. Tak było w pandemii, kiedy pojawiały się kampanie phishingowe np. w postaci SMS-ów z informacją o konieczności „dopłaty za dezynfekcję paczki” czy fałszywe sklepy z maseczkami. Dziś z kolei jesteśmy świadkami posługiwania się przez oszustów kontekstem wojny w Ukrainie.

– Gdy dzieje się coś, co wzbudza ogromne emocje, zawsze uaktywniają się też internetowi oszuści i próbują te emocje wykorzystać do swoich celów. Stąd oprócz oszustw znanych i wciąż obecnych w sieci, takich jak fałszywe loterie, konkursy, giełdy kryptowalut, widzimy też te, które podpinają się pod obecną sytuację, takie jak na przykład fałszywe zbiórki, czy nieprawdziwe, sensacyjne wiadomości o wojnie w Ukrainie. Krzykliwe nagłówki zachęcają do kliknięcia w link, a stąd już tylko krok do utraty wrażliwych danych. Fake newsy służą także dezinformacji, a w tym celu wykorzystywane są nawet takie narzędzia jak deepfake. Dlatego przeglądając wiadomości w sieci i mediach społecznościowych, nie kierujmy się emocjami, nie klikajmy odruchowo i zawsze sprawdzajmy źródła informacji  – radzi Robert Grabowski, szef CERT Orange Polska.

Nie daj się oszukać – pamiętaj o podstawowych zasadach bezpieczeństwa

Przed logowaniem się na jakiejkolwiek stronie internetowej czy wpłacaniem pieniędzy na zbiórkę zawsze należy dokładnie sprawdzić adres strony, jaki wyświetla się na ekranie. Podrobiona strona może łudząco przypominać prawdziwą, dlatego tak ważne jest sprawdzenie całego adresu – może różnić się od tego właściwego zaledwie jedną literą czy słabo zauważalnym znakiem.

Chcąc wpłacić pieniądze na rzecz organizacji pomocowej, najlepiej samodzielnie wpisywać adres w pasku przeglądarki. Jeśli korzystamy z linków przekierowujących do wpłat, to tylko z takich, które znajdują się na wiarygodnych portalach, czy kontach zaufanych organizacji pomocowych w mediach społecznościowych.

Warto zwracać uwagę na błędy językowe. Sfałszowane strony czy wiadomości phishingowe często zawierają dziwne brzmiące, niepoprawne sformułowania. Powinny one być dla nas sygnałem ostrzegawczym.

Należy unikać klikania w linki przesyłane w SMS-ach czy w komunikatorach, a także wpisywania danych, jeśli przekierowują one do okienek logowania do serwisów bankowych czy portali społecznościowych). Grozi to utratą pieniędzy z konta lub przechwyceniem profilu w mediach społecznościowych i wykorzystania go do dalszych oszustw lub siania dezinformacji.

Warto śledzić aktualne informacje o pojawiających się oszustwach: np. na stronie cert.orange.pl, na Twitterze @CERT_OPL, a także na blogu Orange – m.in. w cotygodniowych, czwartkowych wpisach poświęconych bezpieczeństwu w sieci.