Bezpieczeństwo

Emeryt+, czyli kolejne oszustwo

22 grudnia 2022

Emeryt+, czyli kolejne oszustwo

Emeryt, czyli wymarzona ofiara cyberprzestępcy? Daleki jestem od szufladkowania, ale jestem świadom, że choć Fundacja Orange pracuje jak szalona, seniorzy pozostaną grupą społeczną, dla której internet nie jest środowiskiem naturalnym. Ergo – grupą zwiększonego ryzyka. Szczególnie przy kierowanych do nich phishingach.

Wiem, święta idą, gotować trzeba, sprzątać, odpoczywać… Ale – cóż – nie ma złego momentu na ostrzeżenie przed sieciowymi oszustami, prawda?

Emerytura… Ja mam już bliżej niż dalej, ale miliony Polaków w ten sposób właśnie musi się utrzymywać. Nie zahaczając o kwestie polityczne – wiemy po prostu, że opieranie egzystencji na tym źródle bywa sporym wyzwaniem. Nie sposób więc się nie zainteresować, gdy w sieci wpadamy na taką ofertę!

Emeryt+, czyli oszust na polowaniu

Emeryt+ - główna strona nieistniejącego programu

Wygląda poważnie, rzetelnie, prawda? Na górze logo PZU, motyw „+”, popularny od lat w aspekcie programów socjalnych. No i wsparcie trzech instytucji kojarzonych z dysponowaniem finansami państwa. Tylko – jak zawsze w tego typu oszustwach – „drobnostka” na samej górze. t1active.site to adres, który z instytucjami, których symbole graficzne widzimy niżej nie ma nic wspólnego. A także rzecz, która wielu może umknąć. Co w aspekcie emerytury i wniosku do wypełnienia miałby oznaczać zwrot „przedstawić”?

Dalej w końcu pojawia się to, na co czekamy, czyli liczby:

Nie mam co prawda pojęcia co ma oznaczać mój dzienny dochód. Ale ważne, że to, co pokazuje się na dole (jak zakładam, efekt przystąpienia do „programu”) jest przeszło dwukrotnie większe, niż kwota wejściowa. A dlaczego? Oczywiście „dzięki technologiom sztucznej inteligencji”. Ładne, okrągłe, modne słowa. Łatwo przekonać mniej świadomych cyfrowo i technologicznie. Ba – niektórzy już się dali przekonać i nie żałują!

Zdjęcia ze stocka zawsze cieszą się popularnością. Co więcej, treść wypowiedzi rzekomych uczestników programu brzmi, jakby każdy emeryt miał tego samego wnuka albo dziecko, które za nią/niego pisało…

W czym tkwi haczyk?

Ano w tym:

Rzekomy program Emeryt+ to tak naprawdę "inwestycje" w fałszywym serwisie

Gdy zainteresowany pomnożeniem pieniędzy emeryt wpisze swoje dane w okienko na pierwszej stronie i zdecyduje się… przedstawić, zostanie przekierowany na stronę MarketsOfHunt. Serwisu (giełdy? portalu inwestycyjnego?) o którym w sieci nie znajdziemy ani słowa. Nic dziwnego – domena została zakupiona zaledwie dwa dni temu. Gdy szukamy informacji o jej właścicielu, okazuje się, że:

Cóż, wyjątkowo dba o swoją prywatność. Dość mocno, jak na firmę, mającą obracać milionami? Przypadek?

Aha, no i nie wiem, czy zwróciliście uwagę, ale po wejściu na tę witrynę nagle zniknęły gdzieś promujące główną stronę logotypy!

Co ciekawe, moje alter ego, po wpisaniu maila, dostało wiadomość!

Fałszywy e-mail do uczestnika programu Emeryt+

Ada Łowkis istnieje – oszuści nigdy nie biorą „z głowy” pomysłów na personalia, zawsze znajdują jakąś istniejącą osobę, czyniąc ją de facto też jedną z ofiar swoich przekrętów. Ale – zwróćcie uwagę – pojawia się kolejna domena, tym razem funkcjonującej od 50 lat platformy tradingowej z siedzibą w Luksemburgu.

Co robić?

Nie dać się oszukać, rzecz jasna. Spokojna analiza przypadku wykazuje, że emeryt nie ma tu co szukać. To grubymi nićmi szyty przekręt. Klasyczne socjotechniczne sztuczki – podobieństwo do istniejących programów socjalnych, logotypy instytucji, kojarzonych z finansami. No i to, co najbardziej trafia do człowieka – duże pieniądze!

Niestety, to tak nie działa. Wiecie, to jak w legendarnym skeczu Kabaretu „Dudek”:

– Jest interes do zrobienia!
– Ile można stracić?

No właśnie…

Udostępnij: Emeryt+, czyli kolejne oszustwo

Bezpieczeństwo

Masz wątpliwości? Dzwoń do banku!

25 sierpnia 2022

Masz wątpliwości? Dzwoń do banku!

Trafił do Ciebie mail z banku z informacją, że ktoś logował się na Twoje konto? A może propozycja włączenia wyjątkowej oferty „jednym kliknięciem”? Zastanów się, zanim to zrobisz…

Kończą się wakacje. Niestety, tego nie powstrzymamy. Tak samo, jak faktu, że oszuści też z nich wracają. Z mniej lub bardziej przemyślnymi pomysłami, jak pozbawić nas pieniędzy. A jak uzyskać najlepszy „zwrot z inwestycji”? Oczywiście okradając ofiary z pieniędzy, zgromadzonych na koncie bankowym (a wcześniej z loginu i hasła).

„Nielegalnie użyta karta”

Przejęlibyście się takim mailem?

Twoja karta została nielegalnie użyta? Sztuczka socjotechniczna prosta/prostacka, ale wciąż dla wielu wystarczająca (i żeby było jasne – wcale się nie dziwię!).

Podany adres IP – super, urealnia całą sytuację. Hinduski Vodafone (stąd pochodzi adresacja, ale nikt poza bezpieczniakami tego nie sprawdza 🙂 – trochę dziwne, nie spodziewałbym się raczej nadużyć z tamtej części świata.

Po kliknięciu już standardowo jesteśmy przenoszeni na stronę, która od prawdziwej witryny banku (w przypadku próbek, które trafiły dziś do CERT Orange Polska są to Pekao S.A. i Santander Bank Polska) różni się tylko adresem. Tam wpisujemy nasz login i hasło, przekazujemy przestępcom, a oni okradają nas ze wszystkich pieniędzy i w miarę możliwości zaciągają kredyty.

Aktywuj usługę (nie)bezpieczeństwa

Efekty będą podobnie w przypadku trzeciego banku, kampanię na który zaobserwowaliśmy. Tym razem ofiarą jest BNP Paribas – i potencjalnie jego klienci – gdzie oszuści starają się przekonać adresatów maila o konieczności aktywacji nowej… usługi bezpieczeństwa.

Przyjrzyj się dokładnie treści. Tutaj łatwiej zorientować się, że coś jest nie tak. Dziwny temat wiadomości, dużo błędów stylistycznych, brak identyfikacji wizualnej nadużywanej marki. No i link, zupełnie inny niż ten, za który się podaje.

Bądźcie bezpieczni. Nie dajcie się oszukać! A przede wszystkim – jak w tytule:

Jeśli masz wątpliwości co do treści maila – zadzwoń do banku!

Udostępnij: Masz wątpliwości? Dzwoń do banku!

Bezpieczeństwo

Węgiel i inne groźne rzeczy

4 sierpnia 2022

Węgiel i inne groźne rzeczy

Węgiel. Mam wrażenie, że gdybym w ostatnich tygodniach za każdą sytuację, gdy trafiłem na to słowo w sieci dostawał złotówkę, mógłbym kupić co najmniej tonę Czarnego Złota. Dla wielu Polaków zapewnić sobie węgiel na zimę, jest kluczową sprawą. I jak zawsze wiedzą o tym też sieciowi oszuści.

Węgiel, a dokładnie strony internetowe oferujące zakup nieistniejącego paliwa, to tylko punkt wyjścia do szerszego spojrzenia na temat. Na to, by w internecie – niczym w samochodzie, tylko znacznie bardziej – stosować zasadę ograniczonego zaufania.

Zakupy bez nerwów, zakupy bez kolejki

„Zobacz Rosiu, temat dla Ciebie!”Wojtek podrzucił na naszej blogowej grupie link do artykułu o oszustwie, które… cóż, zupełnie mnie nie zaskoczyło. Wręcz zdziwiłem się, że dopiero teraz zaczynają pojawiać się strony, usiłujące przekonać, że mają na sprzedaż węgiel. Bez wirtualnej kolejki, nerwowego przeładowywania witryny i konieczności dzwonienia na infolinię. Jestem sobie w stanie wyobrazić sytuację, gdy potencjalnej ofiary nie trzeba będzie przyciągać wyjątkowo atrakcyjną ceną! Wystarczy fakt, że towar jest.

Co działo się potem – tego niestety cytowany tekst nie zdradza. Mając jednak wiedzę o tego typu oszustwach nie spodziewam się tutaj fałszywej bramki płatności (i wykradzenia loginów i haseł). To domena bardziej wyrafinowanych przestępców. Tutaj widzę toporne konto na „słupa” i po oszukaniu odpowiedniej liczby ofiar – transfer pieniędzy na konta giełd kryptowalut.

Węgiel, czyli oszustwo na czasie

Sieciowi oszuści to ludzie dobrze zorientowani w panujących trendach. W końcu to ich – na swój sposób – „praca”, więc świadomość tego, czym akurat interesują się internauci (czyli de facto my wszyscy) to klucz to dużych pieniędzy. Jasne, przelew nieco ponad tysiąca złotych na konto słupa dla wielu może oznaczać, że nie tylko nie będą mieli się za co ogrzać, ale i z jedzeniem mogą mieć problem. Bardziej wyrafinowani oszuści nie będą się jednak łasić na – w ich rozumieniu – drobne. Oni przygotują socjotechniczną sztuczkę, która sprawi, że bez obaw otworzymy przysłany nam załącznik, czy zalogujemy się na witrynę, która nie będzie ani trochę tym, czym się wydawała. W efekcie np. możemy być zmuszeni do zapłaty kilkutysięcznego okupu za odzyskanie dostępu plików z naszego dysku, które zostały zaszyfrowane w wyniku nieostrożnego kliknięcia w rzekomą fakturę.

Mam nieodparte wrażenie, że ostatnich czasach ataków ransomware na zwykłych użytkowników sieci nie ma już tak wielu. Przestępcy idą tam, gdzie jest wielka kasa. Do firm, które mogą zapłacić, by uchronić się przed publikacją wykradzionych dokumentów. Czy to oznacza, że nic zwykłemu internaucie nie grozi? Odpowiem pytaniem na pytanie – korzystasz z internetu w pracy, odbierasz maile? No właśnie.

Na końcu i tak chodzi o pieniądze

A jeśli nie wiadomo o co chodzi… No dobra, bez żartów. Przecież na końcu i tak chodzi o kasę. Tę dużą od firm albo od kilkuset oszukanych indywidualnych ofiar, co przestępcom zazwyczaj przychodzi łatwiej, niż „zrobienie” jednej firmy. Bo my, korzystając z sieci, nie możemy sobie pozwolić nawet na chwilę opuszczenia gardy. Warto wiedzieć, co akurat dzieje się w kraju, czy na świecie. Gdy zapowiadane jest upublicznienie ważnych dokumentów, jak choćby Raportu Komisji Millera po katastrofie smoleńskiej, szukać ich na oficjalnych stronach, a nie w różnych dziwnych miejscach w sieci. Gdy dzieją się takie potworności jak wojna w Ukrainie, liczyć się z tym, że w sieci mogą pojawić się treści mające wywołać w nas emocje (i oczekiwaną przez oszustów reakcję). Wreszcie czytać choćby stronę CERT Orange Polska, gdzie szybko znajdziecie ostrzeżenia o nowych wektorach ataków na nieświadomych internautów.

I nie wierzyć w cuda. Jeśli coś wydaje Ci się niewiarygodnie atrakcyjne, najlepiej założyć, że to nieprawda. Patrz na adresy stron, na które się logujesz. Nie szermuj swoimi hasłami na lewo i prawo. Bądź niczym przyczajony tygrys, gdy ktoś chce Twojego numeru karty płatniczej.

Bądźcie bezpieczni! I odpoczywajcie. Ja mam właśnie taki plan, więc mój kolejny tekst na blogu zobaczycie 25 sierpnia. Jadę do… no nie, co Wy! Nie napiszę. Zachowanie OPSEC w życiu codziennym to też przydatna sprawa. Jasne, kierunek w którym się udaję, nie jest jakąś wielką tajemnicą. Ale jeśli zaczniemy mimochodem „wyciekać” dane, których nie musi znać nikt inny, taka lekkomyślność może przejść na inne nasze zachowania. A stamtąd już krok do… No sami wiecie, w końcu przeczytaliście ten tekst 🙂

Udostępnij: Węgiel i inne groźne rzeczy

Bezpieczeństwo

Dostawa, której nie będzie

10 marca 2022

Dostawa, której nie będzie

Oszuści mają nowy sposób wykradnięcia naszych pieniędzy! Tym razem w zainteresowali się dostawą jedzenia. Może pamięć mnie zawodzi, ale wydaje mi się, że – z jednym wyjątkiem, o którym za chwilę – sektor gastronomicznym był poza strefą działania internetowych przestępców.

Najpierw trochę historii. W zasadzie jedna historia, sprzed roku i sześciu dni. Swoją drogą – ciekawa sprawa, czy marzec to czas, gdy oszuści przypominają sobie o gastronomii? Wtedy właśnie na łamach bloga opisałem dla Was podszycie się pod pizzerię Papa John’s. Tamten przekręt był całkiem dopracowany i wyrafinowany. Obwiesie zadali sobie trud, by skopiować witrynę prawdziwej pizzerii i tylko pewne niedociągnięcia językowe (i adres strony, oczywiście) mogły wywołać w niedoszłej ofierze pewien niepokój. I raczej brak wiary w to, że zamówiona w taki sposób dostawa do nas dotrze.

„Ale tu niczego nie ma!”

hxxp://glovo-paczka[.]ml – to strona, której pojawienie się w naszych systemach wzbudziło nie tylko moje zainteresowanie. Oczywiście może się okazać, że trafiam kulą w płot i oszuści pod szyldem dostarczyciela jedzenia wymyślą usługę przewozu paczek, ale nie sądzę, by zadali sobie taki trud.

Dlaczego teoretyzuję? Mamy bowiem domenę (tak naprawdę niejedną), ale pod jej adresem nie zobaczymy niczego. Będzie pusta. Wygląd phishing kitu zobaczymy dopiero na witrynie „skrojonej” pod konkretnego użytkownika, co zazwyczaj wymaga czasu (oczywiście dostęp do witryny oszustów z sieci Orange Polska jest blokowany od razu). Dzisiaj przestępcy łatwiej zrobić kampanię efemeryczną, z jedną domeną dla zaledwie kilku/nastu ofiar, znikającą z sieci nawet po 10 minutach.

Mimo tego z z dużym prawdopodobieństwem można założyć, iż będzie to fałszywa bramka płatności. To bowiem motyw wykorzystywany praktycznie w każdym tego typu ataku.

Co zrobić, by moja dostawa trafiła do mnie?

Zastanawiam się, czy fakt, iż oszuści zaczynają się – wszystko na to wskazuje – interesować kolejnym sektorem gospodarki, oznacza, że czeka nas teraz fala ataków na Glovo/UberEats/Pyszne, czy też „black stores” jak Lisek, czy Jokr? Cóż, o tym, że pecunia non olet wiedzieli już starożytni, a widocznie internauci zaczęli coraz częściej rozgryzać dotychczasowe motywy phisherów. Co robić? Po prostu uważać, jak wszędzie w sieci. Ja np. jestem zwolennikiem używania do wszystkiego dedykowanych aplikacji i płatności BLIKiem, co ogranicza płaszczyznę ataku na mnie w tej materii praktycznie do zera. Po prostu – nie klikamy byle czego byle gdzie, podobnie z wpisywaniem naszych danych płatniczych.

No i warto czytać stronę CERT Orange Polska i obserwować naszego Twittera. Tam informujemy o zagrożeniach na bieżąco.

Bądźcie bezpieczni!

Udostępnij: Dostawa, której nie będzie

Bezpieczeństwo

Thermomix tym razem nie dla Was. To oszustwo!

30 grudnia 2021

Thermomix tym razem nie dla Was. To oszustwo!

…ani dla nikogo innego. Thermomix, popularny kuchenny – hmmm, gadżet? – jest bohaterem najnowszej, rozkręcającej się na dobre dopiero od kilku godzin, kampanii phishingowej, której celem są polscy internauci!

Zaczęło się od przeglądania jednego z naszych systemów bezpieczeństwa, gdzie trafiłem na podejrzanie brzmiący adres, hxxp://thermomix-wyniki[.]pl (przy publikacji podejrzanych stron przyjęte jest zastępowanie t przez x i „nawiasowanie” kropki, w razie, gdyby ktoś przypadkiem w nie kliknął). Po wpisaniu w wirtualnej maszynie (na wszelki wypadek) zobaczyłem to, czego od początku się spodziewałem:

Fałszywa strona logowania do Facebooka pod szyldem konkursu Thermomix

Niby okno logowania Facebooka, ale spójrzcie na pasek adresu! To nie jest okno logowania do serwisu społecznościowego. Wpisane tutaj login i hasło trafią do przestępców, a my trafimy na:

  • jeśli wchodzimy z wirtualnej maszyny – na instalkę TikToka na Google Play (to zaślepka dla automatycznych systemów bezpieczeństwa)
  • wchodząc z telefonu – na stronę, która wymaga zgody na pokazywanie powiadomień (niestety nie mam testowego telefonu i na tym kroku poprzestałem)
  • a gdy wchodzimy z Orange Polska, zobaczymy ekran CyberTarczy 🙂 (z tymi schematami bardzo dobrze radzi sobie nasza sztuczna inteligencja)

O ile w każdym przypadku tracimy przede wszystkim poświadczenia logowania do Facebooka, doświadczenie mówi mi, że przy wejściu z telefonu (i zgodzie na powiadomienia) zostaniemy zarzuceni reklamami, być może również sugerującymi pobranie złośliwych aplikacji. Sami wiecie – jeśli powiadomień pojawia się multum, w końcu z rozpędu w któreś klikniemy.

Skąd to się wzięło?

No to efekt znamy – pytanie, skąd to paskudztwo w ogóle się wzięło? Skoro efektem końcowym jest logowanie do Facebooka, poszukajmy tego adresu na Facebooku właśnie.

Bingo!

Oszuści wzięli na celownik chyba wszystkie grupy na Facebooku, których tematem jest Thermomix. Po zajrzeniu do jednej z nich widzimy już w pierwszym poście ostrzeżenie zirytowanego admina:

Co poza ostrzeżeniem mamy? Nazwę podejrzanego fanpage’a, rozsyłającego newsa o konkursie! Co istotne, ci wszyscy nieszczęśnicy zablokowani przez admina mogą być Bogu ducha winni! Choć nie – w zasadzie winni, ale nie bezpośrednio. To zapewne nie oni wysyłali te treści na grupę, jednak wcześniej musieli zrobić coś niefrasobliwego, co pomogło oszustom przejąć ich konta. Albo są botami, stworzonymi tylko na potrzeby oszukańczej kampanii.

Zajrzyjmy więc na rzekomy fanpage producenta Thermomix.

Oszukany fanpage Thermomix

Brak jakichkolwiek danych właściciela strony, a spośród 41 obserwujących, większość to nazwiska wskazujące na pochodzenie dalekowschodnie oraz pisane cyrylicą (jeśli wierzyć informacjom osobistym, to głównie osoby pochodzące z Ukrainy). Oszuści nawet się więc przesadnie nie starali, kupując kilku fanów i dodając zapewne kilka przejętych kont. Jedyna treść na fanpage’u, to widoczna informacja. Zastanawiam się, czy literówka w nazwie to przypadek, bowiem w adresie strony słowo „jubileusz” jest już napisane poprawnie.

Co może mi się stać?

Co ciekawe, poza ryzykiem wycieku danych i włączenia podejrzanych powiadomień, gdy analizowałem przypadek, pojawiło się jeszcze jedno ryzyko. Widzicie początek skrótowca na fanpage’u? Po kliknięciu zaprowadził mnie do „lewego” Facebooka, ale gdy wyciąłem tylko początek i rozwinąłem w przeznaczonym do tego serwisie – wszedłem na jeszcze inną witrynę! Co ciekawe, strona jest hostowana w chmurze Google (sites.google.com) – oszuści liczą, że systemy bezpieczeństwa nie zablokują przecież takiego serwisu.

Strona podszywająca się pod konkurs Thermomix

Nie mając już nadziei, że Thermomix padnie moim łupem :), kliknąłem w umieszczony pod obrazkiem przycisk „Pobierz”:

…wybrałem operatora:

I oczywiście nie wpisałem numeru telefonu, bo znam lepsze pomysły na wydanie 14,99 PLN co 7 dni. Gwoli jasności – dostawca wymienionej powyżej usługi też jest w tej sytuacji ofiarą. Jego marka jest bowiem nadużywana, a oszuści liczą… Hmmm, w zasadzie to nawet nie wiem, na co liczą. Ci którzy „sprzedają iPhone’y za cenę wysyłki” przynajmniej dbają o pozory. A ci liczą, że widząc oczyma duszy Thermomix nie zauważę, że tak naprawdę abonuję serwis z grami.

No sorry. Ani ja nie, ani nasi czytelnicy nie 🙂

A korzystając z sytuacji, że już pojutrze ostatnia cyfra roku zmieni się na dwa, przecisnę tutaj jeszcze swoje życzenia, bo na bank pojawią się też blogowe 🙂

Bądźcie bezpieczni, uważajcie w sieci, nie ufajcie przesadnie świetnym okazjom. I bądźcie zdrowi.

Udostępnij: Thermomix tym razem nie dla Was. To oszustwo!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej