Bezpieczeństwo

Przestępcy wysyłają SMSy

21 marca 2019

Przestępcy wysyłają SMSy

W ostatnich dniach obserwujemy wzmożony ruch jeśli chodzi o wysyłane przez cyberprzestępców SMSy. Informacje o podejrzanych aktywnościach nie tylko trafiają do naszych automatycznych systemów – dostajemy je także, za co dziękujemy, bezpośrednio od niedoszłych ofiar. Poniżej krótki opiszę trzy najpopularniejsze ostatnio style phishingowych kampanii.

Na zadłużenie

To najświeższy przypadek, który – to ciekawostka – trafił do bezpośrednio do CERT Orange Polska, na nasz adres mailowy (bardzo dziękujemy przestępcom, prosimy o więcej).

Wiadomość MMS od: 48501xxxxxx@mmsemail.orange.pl
Temat:
slajd numer 1
Twoj numer zostanie wkrotce zablokowany z powodu
braku splaty zadluzenia. Prosimy o szybka wplate 2,53 zl
https://wezwanienr911.83619.eu/91XF7EamS42/hKoIKnv

Tutaj naszą uwagę powinna zwrócić przede wszystkim forma informacji – tego typu powiadomień nikt nie przesyła MMSem. W ogóle mało kto w czasach komunikatorów wysyła MMSy. Kolejna „czerwona flaga” to zaledwie kilkuzłotowa kwota. To manipulacja przestępców obliczona na uspokojenie ofiary (przecież tak małe pieniądze to można wpłacić, nic się nie stanie). Dzięki temu, że przestępcy już od dłuższego czasu używają tego tricku stał się on już na tyle popularny, że można z góry zakładać, iż nakaz wpłaty takiej kwoty to oszustwo. Ostatni znak ostrzegawczy to oczywiście adres internetowy – domena 83619.eu nie kojarzy się z niczym, co mogłoby wymagać wniesienia przez nas jakiejkolwiek opłaty. Warto jednak pamiętać, iż często na początku adresu znajduje się fragment, kojarzony z firmą, która „wymaga dopłaty”, np. orange.pl.83619.eu. Pamiętajcie o tym.

Na dopłatę do ogłoszenia

Kolejny przykład to sytuacja, która spotkała w ostatnich dniach jednego z pracowników Orange Polska, a ten podzielił się z nami sposobem działania przestępców. Zaczęło się od tego, że niedoszła ofiara postanowiła sprzedać samochód. Przygotowała ogłoszenie, umieściła je na serwisie Otomoto, by po krótkim czasie (liczonym w minutach, maksymalnie godzinach) otrzymać takiego SMSa:

Tym razem przestępcy postanowili zwiększyć szanse na oszukanie ofiary, przeglądając na bieżąco serwis ogłoszeniowy pod kątem nowych ofert. Bazując na zgłaszanych przez ostatni czas próbkach wiemy, że zainteresowaniem przestępców cieszą się najpopularniejszy witryny tego typu, wśród nich również OLX, czy Allegro. Reszta to podobny schemat, jak powyżej – mała kwota i podejrzany adres, w tym przypadku jednak starający się przypominać prawdziwy.

Na kancelarię prawną

Ostatni trick jest wyjątkowo podstępny, bo – cóż – o ile reagujemy, gdy ktoś chce nam pieniądze zabrać, to czemu mamy mieć jakikolwiek problem z tym, że ktoś nam je oddaje?

Kolejna gra na emocjach i konkretne wezwanie do działania. Kto by nie chciał dostać kilkuset złotych, tym bardziej, że potrzeba tylko kliknąć? Tylko szybko, bo po 24 godzinach oferta będzie już nieważna! A w tle oczywiście znany nam już adres łudząco przypominający znany serwis płatności online.

Co robić?

Oczywiście czytać zanim cokolwiek klikniemy. I tak jak szkoląc się na prawo jazdy uczymy się zasady ograniczonego zaufania, tak samo tutaj wszelkie wiadomości, gdzie pojawiają się jakiekolwiek kwoty pieniędzy, czytajmy wyjątkowo dokładnie.

A oczywiście my będziemy robić swoje. Opisywane w tekście domeny są już od dawna blokowane przez CyberTarczę, a nasze automatyczne systemy „uczą się” jak wyglądają przestępcze treści, by blokować takie SMSy zanim dotrą do Waszych telefonów. A póki co, jeśli trafią się jakieś, które przemknąć się przez nasze systemy – wyślijcie je do nas, na cert.opl@orange.com. Wtedy pomożecie innym.

Udostępnij: Przestępcy wysyłają SMSy

Bezpieczeństwo

Na świecie Microsoft, u nas Rossmann

24 stycznia 2019

Na świecie Microsoft, u nas Rossmann

Microsoft i długo długo nic – tak, przynajmniej według badań Vade Secure, wygląda krajobraz ataków phishingowych w skali świata. Choć drugie miejsce zajmuje Netflix, markę producenta najpopularniejszego systemu operacyjnego na świecie atakowano aż 2.3 raza więcej. A jak to wygląda w Orange Polska? O ile sam phishing per se to przede wszystkim „faktury” i „niedopłaty”, to najczęściej atakowanymi markami w 2018 według statystyk CyberTarczy były Rossmann, Microsoft i – tu już bazując na próbkach, a nie surowych danych – dostawcy płatności i usług telekomunikacyjnych.

Jeden login, wiele usług

Skąd czołowe miejsce amerykańskiej korporacji? Przede wszystkim ze względu na popularności i rozległość jej usług, opartych na chmurze obliczeniowej. Korzystacie z konta Microsoft? Jeśli tak, daje Wam ono nie tylko możliwość skonfigurowania „pod siebie” systemu operacyjnego. Pozwala również – a może przede wszystkim – na dostęp do sieciowego dysku i usług, administracji konsolą Xbox, czy wreszcie platformy Office 365. A gdy już uda się dostać tam, przestępcy na długo zaświecą się oczy: pliki, kontakty, Outlook, możliwość zaszyfrowania danych, kradzieży ich, podszywania się pod ofiarę, przejęcia tożsamości, spear phishingu…

Zupełnie inne podejście jest w przypadku Netflixa, na którego ataki wzrosły w grudniu o przeszło 25 procent. Wakacje, odpoczynek, rozsiadamy się na kanapach, wreszcie obejrzymy wszystkie seriale, na które wcześniej nie było czasu… aż tu nagle informacja o problemach z płatnością. Aha, skoro tak, to trzeba się zalogować i wpisać dane karty, prawda? No może niekoniecznie.

Coraz rzadziej klikacie w „dopłaty”

Na naszym rynku sytuacja wygląda nieco inaczej, a najpopularniejszym phishingiem, na poziomie przeszło 46% całości, była witryna hxxp://play.leadzu.com/. Przytaczam najpierw witrynę, bowiem w zależności od tego, czy otworzyliśmy ją na urządzeniu mobilnym, czy komputerze, widzieliśmy informację o przyznanym nam kuponie Rossmanna, bądź nagrodzie od – jakże by inaczej – Microsoftu. Warto jednak zaznaczyć, iż statystyki CyberTarczy wykazują tylko zablokowane próby ataku, a nie liczbę maili, czy SMSów, otrzymanych przez potencjalne ofiary. Stąd brak odzwierciedlenia popularnych w ostatnich miesiącach wiadomości z wymaganiem „dopłaty do rachunku”, adresowanych do klientów operatorów telekomunikacyjnych (w tym Orange Polska), wpływających również na postrzeganie marek dostawców płatności, takich jak np. PayU. Powiązane z tymi kampaniami adresy są blokowane przez CyberTarczę, jednak – na szczęście – coraz częściej jest dla Was oczywiste, że macie do czynienia z atakiem, w efekcie więc kasujecie takie wiadomości, lub wysyłacie do nas.

Co robić?

Na koniec nie może zabraknąć serii rad. Zazwyczaj tych samych, co w każdym tego typu materiale, jednak nie zaszkodzi jeszcze raz je ich sobie utrwalić.

  • nie klikajcie w linki, nie otwierajcie załączników (jeśli macie jakiekolwiek wątpliwości)
  • przed zalogowaniem do jakiekogokolwiek serwisu sprawdźcie w pasku przeglądarki, czy to na pewno prawidłowy adres
  • wszędzie, gdzie się da (np. do konta Microsoft) uruchomcie uwierzytelnianie dwuskładnikowe
  • jeśli macie wątpliwości, czy faktycznie musicie coś dopłacić do faktury – zalogujcie się na stronę operatora i sami sprawdźcie
  • jeśli dostaliście mail z firmy, której nie jesteście klientami – hmmm, sami wiecie 🙂

Udostępnij: Na świecie Microsoft, u nas Rossmann

Bezpieczeństwo

Nie prosimy was o „mikro-dopłaty”

6 grudnia 2018

Nie prosimy was o „mikro-dopłaty”

Przez media, głównie społecznościowe i bezpieczniackie (pozdrawiam Niebezpiecznika, z uwagą, że określenie phishingowych maili jako maile „od Orange” wydaje mi się nieco niezręczne) przetacza się informacja o kolejnej fali ataków „na dopłatę”. Tym razem – jak można wnioskować po liczbie trafiających do CERT Orange Polska zgłoszeń – kampania jest mocno nastawiona na klientów Orange Polska. Oczywiście – jak łatwo domyślić się po tytule – to nie my wysyłamy takie maile! Na bieżąco monitorujemy zgłoszenia i sieć, każdy potwierdzony adres, kojarzony z tą kampanią, trafia do CyberTarczy.

Na Twitterze CERT OPL informowaliśmy o pierwszych atakach już 10 dni temu:

Jeśli chcecie, by takie informacje trafiały do Was na bieżąco, obok oficjalnego Twittera Orange Polska warto obserwować też konto naszego CERT.

I jak zawsze pamiętajcie – nie dajcie się złapać.

Udostępnij: Nie prosimy was o „mikro-dopłaty”

Bezpieczeństwo

CyberTarcza nie pisze przypadkiem

22 listopada 2018

CyberTarcza nie pisze przypadkiem

„Więcej jest rzeczy na ziemi i w niebie,
 Niż się ich śniło waszym filozofom.”
Wiliam Szekspir „Hamlet”

Mam pewne wrażenie, że tytułowy szekspirowski bohater rozmawiając z Horacym niekoniecznie miał na myśli kontekst, w jakim używa się tego wyrażenia w dzisiejszych czasach, ale i tak fakt, że cytat z początków XVII wieku ostał się w potocznym języku do teraz, to i tak rzecz wyjątkowa. Skąd takie rozpoczęcie? Ano stąd, że i nam w CERT Orange Polska zdarza się trafiać na sytuacje, które trudno sobie wyobrazić…

Ta CyberTarcza nam przeszkadza

Dzisiaj (w czwartek 22.11) trafił do nas kolejny mail z jednej z… hmmm, nazwijmy ją „instytucji miejskich” z jednej z małych miejscowości z Wielkopolski. Autorka, pełniąca tam rolę specjalisty ds. kadr i płac, poprosiła CERT Orange Polska o pomoc, pisząc:

„Witam,
Znów pojawił się komunikat jak w załączniku. Czy jest coś, co Państwo możecie zrobić by zapobiec takim sytuacjom? Nie ukrywam, że znacznie utrudnia mi to pracę (…)”

Jak wyglądał załącznik?

Przyjrzeliście się dokładnie? Właśnie tak – autorka maila usiłowała wejść na stronę phishingową (przekreślony adres na screenshocie), jednak CyberTarcza zablokowała możliwość kradzieży danych autoryzacyjnych i – docelowo – okradzenie firmy naszej nadawczyni.

Czytajmy komunikaty!

Skąd wziął się taki ekran? Powodów mogło być wiele – począwszy od kliknięcia w link w phishingowym mailu, łudząco przypominającym wiadomość z banku, skończywszy na przejęciu kontroli nad modemem, czy routerem ofiary. Co w takiej sytuacji zrobić? Na pewno nie próbować za wszelką cenę połączyć się z tego typu stroną! Chcąc dostać się na witrynę banku trzeba po prostu wpisać adres „z ręki”. Stanowczo jednak zalecamy, by wcześniej przeskanować komputer programem antywirusowym z aktualnymi definicjami wirusów. Nie zaszkodzi też sprawdzić, czy nasz router/modem ma zmienione hasło dostępu, a jeśli nie – zrobić to czym prędzej.

Uważajcie na swoje pieniądze. Nie dajcie się okraść.

Udostępnij: CyberTarcza nie pisze przypadkiem

Bezpieczeństwo

Ten SMS nie jest z Gumtree

15 listopada 2018

Ten SMS nie jest z Gumtree

Klikacie czasami w linki z SMSów? Bo jakby co to pamiętajcie, że my to robimy, żebyście Wy nie musieli, oczywiście wtedy, gdy chodzi o wiadomości mniej lub bardziej podejrzane. Tak jak ostatni przypadek, nakierowany na klientów serwisu ogłoszeniowego Gumtree.

Pieniędzy nie oddadzą, a jeszcze hasło zabiorą

Do naszego laboratorium trafiły wiadomości SMS sugerujące, że ktoś chce nam zapłacić. W treści mogliśmy znależć anglo- i włoskojęzyczną informację o tym, że należy nam się zwrot nadpłaty oraz link do serwisu hxxp://www-gumtree.com/xxxxxxx (zwróćcie uwagę na dywiz po prefiksie www w miejsce kropki), gdzie xxxxxxx to losowy ciąg siedmiu cyfr. Jeśli cyfry zgadzają się z faktyczną aukcją, po zostaniemy przeniesieni na stronę z rzekomym zwrotem.

Gdy wejdziemy w menu „zalogowanego” użytkownika, podstawiona strona przeniesieni nas na prawdziwe Gumtree. Jeśli jednak połaszczymy się na zwrot, panel logowania, który zobaczymy, będzie już fałszywy. A efekt jakże standardowy – login i hasło trafią do cyberprzestępców.

Atak z polskich numerów

Choć język kampanii wskazuje, iż kierowana jest do użytkowników w Wielkiej Brytanii i USA, nadawcami SMSów są… polskie numery. Skąd się wzięły? Ano stąd, że przestępcy znaleźli kolejny sposób na wykorzystanie podatnych urządzeń, wyposażonych w karty SIM. Tym razem posiadacze problematycznych sprzętów nie tylko płacą za SMSy wysyłane do Wlk. Brytanii i Włoch, ale ich sprzęty są też wykorzystywane do popełnienia przestępstwa.

Co zrobić? Jeśli dysponujecie urządzeniem, używającym karty SIM do komunikacji M2M (machine-to-machine) zajrzycie koniecznie tutaj i wykonajcie zalecane tam kroki. Warto poświęcić na to nawet dłuższą chwilę.

Udostępnij: Ten SMS nie jest z Gumtree

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej