Cyberoszuści nie oszczędzają nikogo. Ich celem stali się uchodźcy z Ukrainy, których chcą ograbić nie tylko z danych, ale i pieniędzy.

W ciągu tygodnia przez nasze systemy bezpieczeństwa przewijają się nawet dziesiątki milionów domen, z których kilka tysięcy trafia do bazy zablokowanych. Mechanizmy CyberTarczy sprawdzają się bardzo dobrze, czasami jednak podejrzane domeny trafiają na tzw. 3. linię. Czyli m.in. do mnie. Strona hxxps://help-compensation-ua[.]xyz znalazła się tam – jak zakładam – z tego względu, że operatorzy SOC nie mieli pewności, czy jest prawdziwa, jednak domena XYZ wystarczająco wzbudziła ich niepokój.

Tajemnicze centrum kompensacyjne

Centrum Kompensacyjne Zwrotu Niewypłaconych Małych Kosztów (to luźne tłumaczenie tytułu strony z ukraińskiego, jeśli ktoś potrafi przetłumaczyć dokładnie to zapraszam do komentarzy). Aż się prosi, żeby sprawdzić, czy mi też coś wypłacą?

Stwierdziłem więc dla celów testu, iż nazywam się Tester Testowy, wpisałem losowe sześć cyfry „karty płatniczej” i czekałem co się stanie. Pojawiła się informacja o „przeszukiwaniu bazy”, z mnóstwem przewijających się tajemniczych numerów i powoli rosnącą kwotą mojej „kompensacji”. Na koniec okazało się, że coś dla mnie mają!

76 tysięcy hrywien to ponad 11 tysięcy złotych! Przyda się. Tylko mam nadzieję, że do rozmowy online z „dyżurnym prawnikiem organizacji”, która jeszcze mnie czeka, mój rosyjski wystarczy…

Proszę wypełnić ankietę

Jest, zgłosiła się prawniczka! Wygląd budzi zaufanie, poważny język, to nie może (aha…) być oszustwo!

O, ciekawe, mają część moich danych! Swoją drogą podejrzewam, że mógłbym poprosić o przywiezienie mi tych pieniędzy na białym jednorożców, a automatyczny skrypt odpowiedziałby dokładnie to samo… Proszą jeszcze o wypełnienie ankiety? W sumie czemu by nie?

Dane wpisane, klikam „powrót”, wracam do rozmowy z automat… prawniczką 😉 i wreszcie jest! Wreszcie wiadomo o co chodzi!

Zapłać 186 UAH za usługę prawniczą!

Jeśli jesteście stałymi czytelnikami bloga, wiecie, że taki link zwykle prowadzi do fałszywej bramki płatności, gdzie logujemy się, podając dane naszego konta bankowego, lub wszystkie informacje o karcie płatniczej! W tym przypadku oszustom coś się nie udało, bowiem po kliknięciu pokazuje się błąd serwera. Stawiam jednak bitco… no dobra, póki co dolary przeciwko orzechom, że niestety szybko to naprawią. W sieci Orange Polska stronę oczywiście blokuje CyberTarcza.

Uchodźcy z Ukrainy, nie wierzcie takim stronom!

Nie mam oczywiście wiedzy, jak wygląda wypłata „socjali” w Ukrainie, ale tym razem dam sobie uciąć prawą rękę, że nie przy użyciu stron w domenie .xyz. Takie ataki mogą – i będą – się powtarzać! Wystarczyły krótkie poszukiwania, by odnaleźć przeszło 100 podobnych witryn, które będą – lub już to robią – uczestniczyć w atakach.

Не довіряйте дивним сайтам, які пропонують вам гроші. Вводьте номери платіжних карт ТІЛЬКИ на сайтах магазинів або на знайомих вам сайтах. Вводьте логін та пароль банку ТІЛЬКИ на сайті банку!

Hasło do banku. Dziś będzie chyba krótko, ale treściwie, na temat, który w zasadzie nieprzerwanie leży mi na sercu. Przyglądając się bowiem kolejnym phishing kitom, raz na jakiś czas tuningowanym przez oszustów, zastanawiam się… kto u licha wpisuje na dziwnej stronie tyle swoich danych?

Gwoli jasności – będę ostatnim, który „pojedzie po internautach”. Kilka lat temu, jeszcze gdy nikt nie myślał o pandemii, na konferencji Confidence Adam Haertle powiedział (w skrócie): „Bezpieczniaku, to nie user, który dał się złapać na phishing, jest idiotą. To ty nim jesteś! Bo nie użyłeś swojej wiedzy, by go uświadomić”. Od tamtego czasu to jeden z motywów pchających mnie do działania. Dlatego też powstaje ten tekst. Nie zmienia to jednak faktu, że często nie mogę wyjść z szoku dlaczego są ludzie, w których takie okna, na stronie której adres nie ma nic wspólnego z bankiem, nie budzą niepokoju:

Hasło do banku – i co jeszcze?

Przypomnijcie sobie, kiedy ostatnio wprowadzaliście hasło do banku. I co więcej było wtedy potrzebne? Bazując na moim doświadczeniu (i kontach w dwóch bankach) przy logowaniu w przeglądarce login i hasło, zaś przy aplikacji mobilnej – PIN lub odcisk palca. Wszystko jasne. A kiedy ostatnio używaliście PESELu lub panieńskiego nazwiska mamy? Ew. PINu do aplikacji mobilnej przy korzystaniu z przeglądarki na komputerze?

Konfigurując aplikację mobilną!

No właśnie! Co trzeba zrobić, żebyśmy zapamiętali, że tak wrażliwych danych jak te przytoczone powyżej nie podaje się przy płatności? Nie wiem, jak jest we wszystkich bankach (będę wdzięczny za informacje w komentarzach), ale w tym w którym korzystam z aplikacji mobilnej, w trakcie jej aktywacji słyszę bodaj pięciokrotnie informację do czego służy kod! Czego mam z nim nie robić, gdzie nie wpisywać i co robić, jeśli ktoś mnie o niego prosi. Zastanawiam się, czy tak wielu ludzi wtedy „odlatuje” myślami?

Błagam. Jeśli wykonujecie jakąkolwiek transakcję finansową online, bądźcie wyjątkowo uważni! Niczym za kierownicą, stosujcie zasadę ograniczonego zaufania. A jeśli cokolwiek budzi Wasz niepokój – odstąpcie od transakcji! Możecie stracić wszystkie pieniądze, a nawet więcej. Jasne, przestępcy będą używać wielu sztuczek, żeby przekonać Was do wpisania tych danych. Macie wątpliwości? Zadzwońcie do banku. Albo napiszcie do nas na cert.opl@orange.com. Nie ryzykujcie.

BLIK. W mojej prywatnej opinii jedno z najgenialniejszych rozwiązań, jeśli chodzi o rynek finansowy. To nie reklama, nie lokowanie produktu – nie trzeba mi płacić za dobre opinie o czymś, czego na co dzień używam. Co więcej – o czymś co uważam za wyjątkowo bezpieczne rozwiązanie do płatności, wypłat z bankomatów, czy przelewów między… No dobra, z tym ostatnim bywa różnie. Ale nie ze względu na wady systemu, lecz pomysłowość sieciowych oszustów.

SMS (nie) od BLIK-a

W ostatnich dniach sporo Polaków dostało takie (lub podobne) SMS-y:

Po kliknięciu przenosiły one ofiarę do fałszywej bramki płatności (klasyk znany od kilku lat):

gdzie po wybraniu naszego banku w kolejnym kroku byliśmy pytani o nieco więcej niż standardowe informacje, po to, by umożliwić oszustom podpięcie pod nasze konto aplikacji mobilnej i szybkiego wyczyszczenia do zera naszego konta:

Czym się różni BLIK – skąd mam wiedzieć, że to oszust?

Przede wszystkim strony używane przez BLIK to https://blik.com i https://eblik.pl. W najnowszych kampaniach oszuści wykorzystując socjotechniczną sztuczkę rejestrują witryny z adresami blik.[TLD], gdzie TLD (Top Level Domain) to „wynalazki” w stylu .xyz, czy pokazywane na początku .auction. Od zawsze proszę Was o „czytanie” domen od tyłu i zdwojoną (co najmniej!) uwagę, gdy adres kończy się w rzadko spotykany sposób. W obecnych kampaniach może się też rzucić w oczy mała liczba banków na stronie „bramki płatności”, bez przynajmniej kilku czołowych graczy na rynku. To jednak może się szybko zmienić, mam przeczucie graniczące z pewnością, że oszuści pracują nad kolejnymi nakładkami.

Druga sprawa to sama mechanika płatności BLIK. Możemy z niego skorzystać na trzy sposoby):

• sześciocyfrowy kod, wygenerowany przez aplikację mobilną banku
• ośmiocyfrowy kod i przesyłane odrębnym kanałem (np. jedno mailem, drugie SMS-em) hasło; to tzw. czek BLIK, oba ciągi trzeba wpisać do bankomatu przy wypłacie
• transakcja P2P na numer telefonu (do odbiorcy korzystającego z tego standardu, tj. posiadającego zgodną aplikację bankową)

Żadne z tym rozwiązań nie wiąże się z wysłaniem SMS-a z linkiem. W żadnym z tych rozwiązań

nie musimy logować się do banku, a tym bardziej podawać numeru PESEL!

Zdaję sobie sprawę, że 450 złotych w prezencie kusi. Że kwota z jednej strony wysoka jest na tyle niska, że możemy uwierzyć w to, że faktycznie ktoś nam ją przysłał. Dlatego warto pamiętać, jak wygląda taka mobilna płatność i ostrzec naszych mniej świadomych bliskich (i dalekich 😉 ) przed ryzykiem.

I błagam Was – jeśli wykonujecie jakąś transakcję płatniczą, sprawdzajcie adres w pasku przeglądarki! W przypadku jakiejkolwiek wątpliwości zamknijcie stronę (i najlepiej wyślijcie maila/SMS na cert.opl@orange.com). No chyba, że lubicie życie na krawędzi, ale tego nie zmienię.

…ani dla nikogo innego. Thermomix, popularny kuchenny – hmmm, gadżet? – jest bohaterem najnowszej, rozkręcającej się na dobre dopiero od kilku godzin, kampanii phishingowej, której celem są polscy internauci!

Zaczęło się od przeglądania jednego z naszych systemów bezpieczeństwa, gdzie trafiłem na podejrzanie brzmiący adres, hxxp://thermomix-wyniki[.]pl (przy publikacji podejrzanych stron przyjęte jest zastępowanie t przez x i „nawiasowanie” kropki, w razie, gdyby ktoś przypadkiem w nie kliknął). Po wpisaniu w wirtualnej maszynie (na wszelki wypadek) zobaczyłem to, czego od początku się spodziewałem:

Niby okno logowania Facebooka, ale spójrzcie na pasek adresu! To nie jest okno logowania do serwisu społecznościowego. Wpisane tutaj login i hasło trafią do przestępców, a my trafimy na:

• jeśli wchodzimy z wirtualnej maszyny – na instalkę TikToka na Google Play (to zaślepka dla automatycznych systemów bezpieczeństwa)
• wchodząc z telefonu – na stronę, która wymaga zgody na pokazywanie powiadomień (niestety nie mam testowego telefonu i na tym kroku poprzestałem)
• a gdy wchodzimy z Orange Polska, zobaczymy ekran CyberTarczy 🙂 (z tymi schematami bardzo dobrze radzi sobie nasza sztuczna inteligencja)

O ile w każdym przypadku tracimy przede wszystkim poświadczenia logowania do Facebooka, doświadczenie mówi mi, że przy wejściu z telefonu (i zgodzie na powiadomienia) zostaniemy zarzuceni reklamami, być może również sugerującymi pobranie złośliwych aplikacji. Sami wiecie – jeśli powiadomień pojawia się multum, w końcu z rozpędu w któreś klikniemy.

Skąd to się wzięło?

No to efekt znamy – pytanie, skąd to paskudztwo w ogóle się wzięło? Skoro efektem końcowym jest logowanie do Facebooka, poszukajmy tego adresu na Facebooku właśnie.

Bingo!

Oszuści wzięli na celownik chyba wszystkie grupy na Facebooku, których tematem jest Thermomix. Po zajrzeniu do jednej z nich widzimy już w pierwszym poście ostrzeżenie zirytowanego admina:

Co poza ostrzeżeniem mamy? Nazwę podejrzanego fanpage’a, rozsyłającego newsa o konkursie! Co istotne, ci wszyscy nieszczęśnicy zablokowani przez admina mogą być Bogu ducha winni! Choć nie – w zasadzie winni, ale nie bezpośrednio. To zapewne nie oni wysyłali te treści na grupę, jednak wcześniej musieli zrobić coś niefrasobliwego, co pomogło oszustom przejąć ich konta. Albo są botami, stworzonymi tylko na potrzeby oszukańczej kampanii.

Zajrzyjmy więc na rzekomy fanpage producenta Thermomix.

Brak jakichkolwiek danych właściciela strony, a spośród 41 obserwujących, większość to nazwiska wskazujące na pochodzenie dalekowschodnie oraz pisane cyrylicą (jeśli wierzyć informacjom osobistym, to głównie osoby pochodzące z Ukrainy). Oszuści nawet się więc przesadnie nie starali, kupując kilku fanów i dodając zapewne kilka przejętych kont. Jedyna treść na fanpage’u, to widoczna informacja. Zastanawiam się, czy literówka w nazwie to przypadek, bowiem w adresie strony słowo „jubileusz” jest już napisane poprawnie.

Co może mi się stać?

Co ciekawe, poza ryzykiem wycieku danych i włączenia podejrzanych powiadomień, gdy analizowałem przypadek, pojawiło się jeszcze jedno ryzyko. Widzicie początek skrótowca na fanpage’u? Po kliknięciu zaprowadził mnie do „lewego” Facebooka, ale gdy wyciąłem tylko początek i rozwinąłem w przeznaczonym do tego serwisie – wszedłem na jeszcze inną witrynę! Co ciekawe, strona jest hostowana w chmurze Google (sites.google.com) – oszuści liczą, że systemy bezpieczeństwa nie zablokują przecież takiego serwisu.

Nie mając już nadziei, że Thermomix padnie moim łupem :), kliknąłem w umieszczony pod obrazkiem przycisk „Pobierz”:

…wybrałem operatora:

I oczywiście nie wpisałem numeru telefonu, bo znam lepsze pomysły na wydanie 14,99 PLN co 7 dni. Gwoli jasności – dostawca wymienionej powyżej usługi też jest w tej sytuacji ofiarą. Jego marka jest bowiem nadużywana, a oszuści liczą… Hmmm, w zasadzie to nawet nie wiem, na co liczą. Ci którzy „sprzedają iPhone’y za cenę wysyłki” przynajmniej dbają o pozory. A ci liczą, że widząc oczyma duszy Thermomix nie zauważę, że tak naprawdę abonuję serwis z grami.

No sorry. Ani ja nie, ani nasi czytelnicy nie 🙂

A korzystając z sytuacji, że już pojutrze ostatnia cyfra roku zmieni się na dwa, przecisnę tutaj jeszcze swoje życzenia, bo na bank pojawią się też blogowe 🙂

Bądźcie bezpieczni, uważajcie w sieci, nie ufajcie przesadnie świetnym okazjom. I bądźcie zdrowi.

Złodzieje wiedzą co robią. Ci „offline’owi” czatują – jak mniemam – w sklepach i innych miejscach, gdzie gromadzą się ludzie. Ci nowocześni natomiast, grasujący w sieci, wysyłają w bój kolejne kampanie phishingowe. A w nich najpopularniejszy w ostatnich miesiącach ładunek – bankowy trojan Flubot.

Ci, którzy czytają Bloga regularnie, pamiętają, że Flubot zawitał doń nie pierwszy raz. O tym wyjątkowym paskudztwie pisałem już pięć miesięcy temu. Co się zmieniło? Niestety to, że oszuści ciągle nad nim pracują, usprawniając zarówno samą aplikację, jak i sposoby jej komunikacji ze swoimi serwerami. Uaktualniają też sposoby dotarcia do ofiar, nazywane „w branży” wektorami ataku. Tym razem ewidentnie ustawiając je pod nadchodzące święta.

To nie jest przesyłka!

Jak to „pod święta”? A czego najczęściej spodziewamy się, gdy zbliża się Boże Narodzenie? Oczywiście przesyłek:

ewentualnie życzeń od najbliższych. A jeśli nie zdążyliśmy odebrać telefonu, to nagrają się na pocztę głosową.

Brzmi niegroźnie? Brzmi może tak, ale ryzyko jest spore. Jak się domyślacie, w obu przypadkach pod linkiem ukrywa się Flubot właśnie. Po jego zainstalowaniu wystawimy się na cel i lada moment stracimy dane logowania do banku. Czemu? Bowiem złośliwa aplikacja generuje tzw. nakładki na strony i aplikacje najpopularniejszych polskich banków. W zasadzie nie tylko polskich, bowiem na celowniku oszustów są internauci z przeszło 20 krajów z całego świata (to poniekąd istotne, ale o tym za chwilę). Jak działa taka nakładka? My w momencie logowania jesteśmy pewni, że logujemy się do banku, podczas, gdy wpisywane dane trafiają prosto do oszustów. Jeśli przelewy, czy dodanie zaufanego odbiorcy, autoryzujemy kodem SMS – mamy problem, bowiem przy zainstalowanej złośliwej aplikacji, której daliśmy wiele uprawnień, wiadomości tekstowe również trafiają bezpośrednio do przestępców.

Czemu istotne jest, że przestępcy działają nie tylko w Polsce? Ze względu na sposób, w jaki rozpowszechniany jest Flubot. Jedną z jego aktywności jest bowiem wykradzenie książki telefonicznej ofiary. Po co? Po to, by wysłać ją innej, losowej ofierze, a ona – dopiero ona – wysyła kolejne SMSy naszym znajomym. Czemu tak? Bo jeśli przykładowo SMS „od DHL” trafiłby do Wojtka Jabczyńskiego, wysłany z mojego numeru, to Wojtek zadzwoniłby do mnie i spytał, czy mi odbiło. Jeśli wyśle go ktoś obcy – możemy uznać, że po prostu z takiego numeru korzysta nasz oddział firmy kurierskiej. A jeśli akurat do nas trafi książka telefoniczna ofiary z Wlk. Brytanii, USA, czy Nowej Zelandii? Jak duże mogą być koszty? Cóż, rekordziści wysyłali (bez swojej wiedzy rzecz jasna) nawet kilkadziesiąt tysięcy wiadomości do kolejnych ofiar. To może już być kawał rachunku…

Flubot – co robić?

Jak działa nowy Flubot? To już wersja 4.9 tego wyrafinowanego złośliwego narzędzia, więc parę zmian w swojej historii przeszła. Jeśli chcecie przyjrzeć się bardziej technicznej analizie, znajdziecie ją na stronie CERT Orange Polska. Tam też znajdziecie najnowsze przykłady tekstów fałszywych SMSów.

A jak uniknąć infekcji? Jak zawsze, przede wszystkim UWAŻAĆ. Dokładnie czytajcie przychodzące SMSy, szczególnie jeśli wydają się być choć trochę podejrzane. Tego typu wiadomości nie dostajemy wiele, poświęcenie minutę na szczegółowe przyjrzenie się treści – a przede wszystkim linkom – nie powinno być stanowić problemu. Pamiętajcie, że żadna firma nie prosi Was o zainstalowanie aplikacji spoza Sklepu Play. Jeśli obawiacie się, czy nie zostaliście zainfekowani – zajrzyjcie z telefonu na stronę CyberTarczy. Chyba, że pamiętacie, że zainstalowaliście coś, co podszywało się pod aplikację DHL lub Voicemail z zewnętrznego źródła – wtedy na pewno jesteście zainfekowani. Wtedy rada jest już tylko jedna – doprowadzenie telefonu do stanu fabrycznego.