Bezpieczeństwo

Fałszywa pizzeria, czyli jedzenia nie będzie

4 marca 2021

Fałszywa pizzeria, czyli jedzenia nie będzie

Kolejny dzień home office, kolejna godzina podczas długiego dnia. Właśnie przypominacie sobie, że w zasadzie to nie macie na dziś obiadu. Na ratunek przychodzi pizzeria – pod warunkiem, że nie okaże się… fałszywa!

Prawie jak pizzeria

Z czymś takim spotkałem się po raz pierwszy w mojej bezpieczniackiej karierze. Domenę hxxps://timepizza.fun nasze systemy wychwyciły ze względu na niestandardowo wysoką aktywność połączoną z niestandardową lokalizacją geograficzną. Mnie już samo „fun”, jak każda niestandardowa domena wyższego rzędu, zapala czerwoną latarnię, ale gdy na wirtualnej maszynie wpisał adres, trochę się zdziwiłem:

Wygląda jak pizzeria Papa Johns, ale zatrudniająca tłumacza, który średnio przyłożył się do roboty. Większość po angielsku, część po polsku i jeden językowy potworek „boki”, tłumaczony zapewne bezpośrednio z „side dishes”.

No dobra, to może zamiast marudzić, zamówmy pizzę?

Wygląda dobrze, mamy nawet zniżkę! Schodząc niżej musimy tylko wpisać dane do dostarczenia naszego pysznego, dobrze wypieczonego placka:

Adres wpisałem pierwszy lepszy, bazując na pierwszym kodzie pocztowym, który pojawił się na rozwijanej liście. Czy w Was też zdziwienie wzbudziła „podłoga”? Tak, to bezpośrednia kalka z angielskiego „piętro” (floor). No i informacja o czasie dostawy podana nie wiedzieć czemu po angielsku?

Chcesz płacić kartą, czy… kartą?

Jeszcze tylko wybór, czy chcemy płacić kartą, czy gotówką? Ja wybrałem kartę, bo jakżeby inaczej w czasie pandemii, a dodatkowo już od pierwszej strony widzimy, że płatność kartą wiąże się z 50-procentową zniżką.

No i wpisać dane karty:

W zasadzie wszystko jest dobrze, prawda? Gdyby tylko nie ten adres hxxps://m-order.fun. Największy fun mają przy tym pewnie przestępcy. Co ciekawe, jeśli wybierzemy płatność gotówką, to najpierw pokaże się ostrzeżenie, że tracimy naszą 50-procentową promocję, a potem… i tak przekieruje nas do płatności kartą.

Jak nie paść ofiarą ataku?

Szczerze Wam przyznam, że tego jeszcze nie grali… Fałszywe bramki płatności to hit ubiegłego roku, to fałszywa pizzeria to coś, co spotykam po raz pierwszy. Ciekawe, czy inni oszuści zainteresują się takim podejściem, a jeśli tak – sytuacja może okazać się naprawdę groźna. O ile bowiem na dokładne sprawdzanie witryn banków jesteśmy już wyczuleni, coraz więcej z nas nie daje się też oszukać przy użyciu fałszywych bramek płatności, ale… podszycie się pod taki biznes jak pizzeria? Śmiem stwierdzić, że gdyby przyłożyli się do tłumaczenia, sporo osób mogłoby się na to złapać.

Pamiętajcie zatem, by:

  • gdziekolwiek planujecie dokonać płatności online, dokładnie sprawdzić adres strony
  • zachować szczególną ostrożność, jeśli zobaczycie na stronie szereg widocznych błędów językowych
  • jeśli płacicie online, najlepiej korzystać z witryn, które przekierowują na strony operatorów płatności z odpowiadającymi im adresami (dzięki czemu łatwo je zweryfikować)
  • jeśli macie jakiekolwiek wątpliwości – powstrzymajcie się od płatności!

To nie musi być jedyna pizzeria w sieci.

Udostępnij: Fałszywa pizzeria, czyli jedzenia nie będzie

Bezpieczeństwo

Jak szybko stracić pieniądze – poradnik

21 stycznia 2021

Jak szybko stracić pieniądze – poradnik

Czy są wśród nas ludzie tacy sta… tzn. z takim doświadczeniem życiowym jak ja :), którzy pamiętają, gdy na początku istnienia internetu zachłysnęliśmy się tym, że choć płacimy zań pieniądze, wszystko co znajdziemy, wydaje się być darmowe? Teraz czasy się zmieniły, internet zmonetyzował, ale wciąż wielu z nas szuka w sieci sposobów na… Hmm, nazwijmy to „ominięciem płatności”. A oszustom w to graj.

SMS, czyli niby małe pieniądze

Nieco ponad 28 lat temu, 3 grudnia 1992 pracujący w Vodafone Neil Papworth wysłał swoim kolegom bożonarodzeniowe życzenia SMSem. Wiele wody w – hmmm, Tamizie? – upłynęło, a SMS wciąż trzyma się mocno, choć internetowe komunikatory i coraz śmielej poczynający sobie standard RCS mocno go podgryzają. Fakt, iż SMS jeszcze żyje, wyjątkowo natomiast podoba się oszustom. Jeśli uda im się bez naszej wiedzy (albo z wiarą, że nie dzieje się nic złego) wysłać „nieco więcej” SMSów z naszego konta, rachunki mogą sięgnąć nawet czterocyfrowych. Jakim cudem? Socjotechniką, jak zawsze. Nierzadko nawet bez udziału złośliwego oprogramowania.

Spójrzmy na przykład na stronę hxxp://unlockme247.com

Kto by nie chciał za darmo dostępu do całego cyfrowego multimedialnego dobra? Tym bardziej w czasach pandemii, #stayathome i w ogóle? Przecież mamy to wszystko na odległość kliknięcia, wystarczy puknąć w „Confirm”! A wtedy…

Nie, nie zainstaluje się malware. Nie stanie się nic podejrzanego (a przynajmniej tak mamy myśleć). Jeśli otworzymy witrynę z komputera, zobaczymy biały ekran, bądź przekierowanie na coś mało/w ogóle nie podejrzanego. Celem oszustów są bowiem ci, którzy wchodzą na ich witrynę z urządzeń mobilnych. Zaimplementowanie mechanizmu rozpoznawania urządzenia źródłowego z poziomu strony nie jest żadnym problemem. A gdy spróbujemy potwierdzić z telefonu, zobaczymy coś takiego:

To SMS z rzekomym kodem weryfikacji, wysyłany… nie nie – nie tylko na numer na Tajwanie. Jest ich +/- 20, na testowanych przez nas serwisach były to głównie numery z Wlk. Brytanii (dzięki za Brexit, to lada chwila nie będą tanie rzeczy) i z Tajwanu.

„A teraz odpowiedz na kilka pytań”

Opisywanej powyżej witryny nie testowałem dokładnie, ale w przypadku innej po „wysłaniu” (używałem telefonu bez karty SIM, podłączonego tylko przez WiFi) serii SMSów na ekranie pokazały się pytania. Najpierw o system operacyjny telefonu, potem sposób połączenia (dane/WiFi). W sumie pięć pytań zamkniętych, każda odpowiedź potwierdzana SMSami na te same numery. 100 SMSów to już jest jakiś koszt dla nas, a dla oszustów zysk.

Jaki? Choć nie są to wiadomości Premium, ale nawet te zwykłe, wysyłane na numery zagraniczne, w grę mogą wchodzić podobne pieniądze. Przy Tajwanie i UK może to oznaczać koszt rzędu kilkuset złotych za serię SMSów. Oszust zarabia natomiast na podziale zysków (revenue share) z operatorem, u którego terminuje rozmowy/SMSy (stąd określenie nadużycia mianem IRSF – International Revenue Share Fraud). Zysk na jednym SMSie to średnio 5 eurocentów, ale działa efekt skali. Przy 100 tysiącach naciągniętych na 100 wiadomości każdy robi się z tego pół miliona euro. Co więcej, niektóre smartfony automatycznie przerabiają na MMSa wiadomości wysyłane pod wiele adresów. Terminowanie najkrótszego MMSa to już od 0,18€ dla oszusta, niemal czterokrotnie więcej, niż przy SMSie.

Skąd to się bierze?

Wystarczy wyszukać sieci haseł w stylu „free robux”, czy „watch Netflix for free”. Wodą na młyn oszustów jest wspólna cecha wielu internautów, o której pisałem na początku tekstu: szukanie sposobów na dostęp do treści, za które normalnie trzeba zapłacić pieniądze, czy dostęp do streamów transmisji sportowych. Swoje sieci zarzucają także na dzieci i młodzież, podsuwając „kody” na darmowe pieniądze do mobilnej gry, czy skórki do postaci. Na koniec procesu nie dostajemy oczywiście żadnego kodu dostępu, bądź jesteśmy przekierowywani na witryny z rozwiązaniami, które okazują się darmowe.

Co można z tym zrobić? Z założenia nie ufać szemranym witrynom, proponującym za darmo coś, co normalnie jest płatne. Z własnego doświadczenia wiem, że kody dostępów do serwisów VOD rozdają albo te serwisy, albo duże firmy (np. dostawcy internetu, jak Orange Polska 🙂 ). Moi koledzy z CERT Orange Polska pracują nad tym, by ograniczyć wpływ tego typu kampanii na naszych klientów, ale w tym przypadku akurat nie będę się dzielić szczegółami – naszego bloga może przecież czytać każdy!

Nie dajcie się złapać na takie prostackie chwyty. Nie traktujcie mojego clickbaitowego tytuł przesadnie poważnie 🙂

Udostępnij: Jak szybko stracić pieniądze – poradnik

Bezpieczeństwo

Bitcoiny za darmo? Nie daj się złapać!

7 stycznia 2021

Bitcoiny za darmo? Nie daj się złapać!

Bitcoiny! Wielkie bogactwo, najlepiej bez przesadnie dużego wkładu czasu i energii. Taka perspektywa wielu kusi. Szczególnie w czasach pandemii, gdy wielu traci pracę, bądź staje przed innymi problemami. W takiej sytuacji danie nadziei na błyskawiczny zysk z kryptowalut jest… Cóż, jest przede wszystkim podłe, ale pada na podatny grunt

Bitcoiny dla każdego?

Kiedyś celebryci, a w ostatnich czasach zwykli ludzie. Kasjerka w Biedronce, wielodzietna rodzina, zdarzył się nawet przykład prostytutki. Oni wszyscy potrafili wyjść z życiowych tarapatów, gdy dowiedzieli się o genialnym pomyśle na zainwestowanie niewielkich pieniędzy i milionowych zyskach. Zainwestowanie w bitcoiny, rzecz jasna.

przykład strony z fake news naciągającej na inwestycję w bitcoiny

Na czym to polega? Oczywiście mamy do czynienia z klasyczną socjotechniką, która w dzisiejszych czasach szczególnie ma szansę paść na podatny grunt. Najpierw świecimy w oczy będącym na wyciągnięcie ręki bogactwem na tyle, bo ofiary pewnym krokiem podążyły za latarnią. Następnie pokazujemy już konkretne potencjalne zarobki. Najlepiej wysokie, ale nie ekstremalnie wysokie, tak żeby ostatkiem możliwości poznawczych uwierzyli, że to samo może się zdarzyć również im. A na koniec pokażmy, że wystarczy zainwestować zaledwie kilkaset złotych, by efektywnie pomnożyć je co najmniej w dziesiątki tysięcy.

Chociaż nie, to nie na koniec. Na koniec orientujemy się, że strona zniknęła, firma przestała istnieć, a nasze pieniądze… cóż, jakie pieniądze? A potem firma pojawia się kolejny raz, na stronie z nieco zmienionym adresem. Zdarza się nawet, że „firma” nie zmieniła jeszcze nazwy! Pisałem o tym szerzej jakiś czas temu.

Prowizja za bitcoiny, których nie było?

Opisywanych wyżej stron z fake newsami o metodach na szybkie wzbogacenie widziałem setki, a przez nasze systemy przez miniony rok przewinęły się ich – tak myślę – tysiące, może nawet pięciocyfrowe liczby. W ostatnich dniach dzięki jednemu z internautów trafił do nas jednak jeszcze bardziej wyrafinowany pomysł.

No bo w zasadzie radzenia sobie z fake newsami można się nauczyć. Niektórym przychodzi to wyjątkowo trudno, są tacy, którzy wciąż się łapią nawet na najbardziej prostackie tricki. A co byście powiedzieli na sytuację, gdy oszust do Was… zadzwoni?

Taka sytuacja zdarzyła się jednemu z internautów, który skontaktował się z nami. Do niego po prostu zadzwonił rzekomy „konsultant działu finansów”, przedstawiając się polskim imieniem i nazwiskiem, ale mówiąc z wyraźnym, wschodnim akcentem. Z nie byle powodu – dzwonił ze wspaniałą informacją, jakoby potrzebował tylko numeru konta, by przelać „prowizję za obrót pańskimi kryptowalutami” w wysokości 0,93 BTC. Ktoś z Was by wzgardził? Wg. kursu na dzisiaj to przeszło 135 tysięcy złotych!

Na swoje nieszczęście oszust trafił na programistę. Człowieka, który był świadom, że nie ma żadnego konta w firmie Bitcoin IG, a już na pewno wiedział, że zlecenie przelewu wymaga po prostu adresu konta BTC, a nie… instalacji aplikacji AnyDesk. Aplikacji, która daje atakującemu pełen dostęp do komputera ofiary, włącznie z widokiem tego, co zaatakowany aktualnie robi. Może więc albo namawiać nieświadomego użytkownika do aktywności, związanych z finansami, bądź też po prostu zainstalować złośliwe oprogramowanie pod pozorem rzekomo niegroźnego pliku.

Co zrobić?

Przede wszystkim jeśli chcecie inwestować w bitcoiny, róbcie to samemu. Z własnej woli, sami poczytajcie poradniki lub spytajcie ekspertów (ja się nie na tym np. totalnie nie znam…). Jeśli ktoś usiłuje Wam wcisnąć, że w jego firmie czeka specjalnie dla Was 135 tysięcy… No kurczę, naprawdę byście uwierzyli? No i pamiętajcie, jak przy każdym phishingu – nie łapcie się na prostą socjotechnikę.

I zaglądajcie regularnie na stronę CERT Orange Polska (tam w piątek bardziej szczegółowo opiszę drugą z powyższych historii), a także na naszego CERTowego Twittera. Tam piszę o bezpieczeństwie częściej, niż co czwartek :), a jeśli coś złego się dzieje – ostrzegam na bieżąco.

Bądźcie bezpieczni.

Udostępnij: Bitcoiny za darmo? Nie daj się złapać!

Bezpieczeństwo

Stary scam, czyli przestępcy wracają do źródeł

21 maja 2020

Stary scam, czyli przestępcy wracają do źródeł

yak się czujecie w trzecim miesiącu dobrowolnej izolacji? Bo przestępcy chyba całkiem nieźle. Obserwując wpadające do nas zgłoszenia od internautów, no i rzecz jasna efekty pracy naszych automatycznych „strażników” odnoszę wrażenie, że koronawirus jako nośnik phishingu przestał już „grzać”. Źli ludzie internetu zorientowali się chyba, że ich scam jest szyte nićmi tak grubymi, że naprawdę bardzo niewielu dawało się na to nabierać.

Całe zło siedzi na Facebooku?

Oczywiście nie w rozumieniu „całego zła wszechświata”, tylko tego, co dociera do naszej CyberTarczy. Tydzień w tydzień, przeglądając statystyki wejść na strony informujące o phishingu, odnotowuję od przeszło 60 do 70-kilku procent internautów wchodzących na nie właśnie ze społecznościowego serwisu spod znaku wielkiego F. O co chodzi? Przykład możecie zobaczyć poniżej. Przykład mocno przewrotny, bowiem scam z Robertem Lewandowskim pojawił się jednemu z nas w treści… artykułu z Bezprawnika o podszywaniu się pod Orange Polska!

No to teraz – ręka w górę, kto widział coś takiego na Facebooku, ewentualnie na Youtubie? Postawiłbym bitcoiny (najlepiej te, które według scammerów zebrał „Lewy” 🙂 ), że co najmniej połowa z Was rękę podniosła. Celebryci, „zwykli ludzie”, policjanci – głównie takie osoby mają uwiarygodnić oszustwo, zazwyczaj polegające na tym, że skuszeni perspektywą zarobku wpłacamy „opłatę wstępną”, której potem oczywiście nie zobaczymy na oczy.

Strony o porwaniach to oszustwo (scam)!

Wciąż popularny jest niestety scam „na porwanie”. Toż cierpienie dzieci zawsze emocje wzbudzało zawsze, a liczba trafiających do nas domen dowodzi, że przestępcom kreowanie kolejnych zwyczajnie się opłaca. Czasami udaje nam się wejść na taki serwis zanim pokażą się na nim treści, dzięki czemu po nazwach katalogów widzimy na jakie „rynki” źli ludzie szykują oszustwo.

C0 potem? Zazwyczaj ofiara w emocjach albo udostępnia treść „na Facebooku” (de facto wpisując login i hasło na stronie przestępców), bądź instaluje „wtyczkę” niezbędną do oglądania rzekomego filmu. Rzecz jasna z „wkładką” w postaci trojana, czy nawet ransomware’u. Staramy się oczywiście być o pół kroku za przestępcami (czasami jak widać nawet przed) i w większości przypadków jeśli macie internet w sieci Orange Polska to nawet po infekcji Wasz komputer nie połączy się z serwerami botnetu, bowiem przeszkodzi mu CyberTarcza. Dlatego warto raz na jakiś czas (ja sam robię to kilka razy w tygodniu) wejść na stronę CyberTarczy i sprawdzić, czy nie zdarzyła się Wam chwila niefrasobliwości.

Wygląda więc na to, że przestępcy wracają do źródeł. Uważajcie i nie dajcie się oszukać. I pamiętajcie – jeśli wpadnie do Was coś ciekawego, wyślijcie to nam. Możecie pomóc innym internautom, jak Pan Zbigniew, do przeczytania historii którego zaproszę Was „po sąsiedzku” na stronę CERT Orange Polska.

Bądźcie zdrowi.

Udostępnij: Stary scam, czyli przestępcy wracają do źródeł

Bezpieczeństwo

„CEO scam” coraz popularniejszy

31 października 2019

„CEO scam” coraz popularniejszy

Niezależnie od tego, czy pracujecie w małej firmie, czy w wielkiej korporacji, czy pensje wypłaca Wam „prywaciarz”, czy budżet państwa, przyspieszone bicie serca wywołuje… mail od prezesa, czy kogoś z top managementu. Nie chodzi o to, że od razu pisze, by nas „przeczołgać”. Może po prostu mieć mocno priorytetową sprawę, a my – no cóż, my powinniśmy sprawić, by nie musiał zbyt długo czekać. Przestępcy też o tym wiedzą.

„Otwórz szybko dokument ode mnie”

Czy dotarły do ciebie dokumenty, które wysłałem ci rano? Załączyłem je raz jeszcze, czekam na informację zwrotną na temat zaznaczonych fragmentów.

Takiego maila dostali wszyscy odbiorcy z książki Briana Fishera, dyrektora badań klinicznych brytyjskiej firmy Evergreen Life. Link, który miał prowadzić do chmurowej usługi OneDrive, kierował – jak można się domyślać – do domeny, kupionej trzy dni wcześniej przez przestępców. To tzw. „CEO scam”, oszustwo „na prezesa” W opinii ekspertów bezpieczeństwa Evergreen przestępcy poza wykradzeniem danych logowania pracowników firmy planowali zainfekować ich komputery oprogramowaniem ransomware. Biorąc pod uwagę, iż firma współpracuje z szeregiem szpitali w Wielkiej Brytanii, potencjalne ryzyko powoduje, że stają włosy na głowie… Na szczęście systemy bezpieczeństwa firmy zablokowały docelową domenę zanim ktokolwiek dał się złapać na oszustwo.

Prezes prosi o pilny przelew

Tego typu zagrożenia to nie są też obce polskim firmom. Do CERT Orange Polska kilkakrotnie trafiały maile, podszywające się pod najwyższych menedżerów z naszej firmy, trafiające do skrzynek współpracujących z nimi osób. Wbrew pozorom dotarcie do listy takich osób w czasach internetu i social mediów jest dość łatwe i nie musi być efektem wcześniejszego włamania.

Na adres jednego z naszych pracowników przyszedł mail z adresu opisanego, jako mail od naszego prezesa  Jean-François Fallacher. Gdy jednak zajrzało się na właściwy adres mailowy, od razu było widać, że nie ma on ani z domeną Orange Polska, ani z naszym prezesem nic wspólnego.  W mailu o tytule „Zapłata” znajdowała się prośba o wykonanie przelewu na kwotę 24.350,33 € na podane konto. Na pierwszy rzut oka wszystko wyglądało – to taki zgrabny, pasujący tu makaronizm ery internetu – „legitnie”.

By uniknąć takiego ryzyka, kluczowe w tej sytuacji jest wyrobienie w sobie reakcji, by zastanowić się zanim podejmiemy nieodwracalną decyzję. Dlatego poniższy mail od razu po jego otrzymaniu przez potencjalną ofiarę trafił do naszego zespołu.

Odetchnij, uspokój emocje

Według danych FBI z 2017 roku już w latach 2015-17 ataki „CEO scam” kosztowały amerykańskie firmy przeszło 3 mld dolarów. Przelew na konto przestępcy, przejęcie loginów i haseł do zewnętrznych serwisów (a w kolejnym kroków do wewnętrznej sieci w firmie, ludzie wciąż dublują hasła), instalacja ransomware’u, atak APT… Wiele złego może się stać, gdy z lęku przed konsekwencjami podejmiemy decyzję zbyt szybko. W tym przypadku przestępcy wzorcowo stosują Regułę Autorytetu, jedną z sześciu zasad wpływu społecznego, opisanych przez Roberta Cialdiniego. Traktuje ona o tym, iż jesteśmy bardziej skłonni do ulegnięcia osobom, które w naszej opinii są autorytetami. Dlatego uparcie, konsekwentnie, w każdej sytuacji, gdy tylko mogę, piszę i mówię:

Jeśli niestandardowy mail wywołuje w Tobie wysoki poziom emocji – odetchnij, daj sobie chwilę i przeczytaj go na spokojnie

Dzięki temu nie tylko ryzyko nie tylko udanego „CEO scam” ale większości socjotechnicznych ataków na Ciebie spadnie niemal do zera.

Udostępnij: „CEO scam” coraz popularniejszy

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej