Bezpieczeństwo

Hasło do banku – gdzie je wpisujesz?

17 lutego 2022

Hasło do banku – gdzie je wpisujesz?

Hasło do banku. Dziś będzie chyba krótko, ale treściwie, na temat, który w zasadzie nieprzerwanie leży mi na sercu. Przyglądając się bowiem kolejnym phishing kitom, raz na jakiś czas tuningowanym przez oszustów, zastanawiam się… kto u licha wpisuje na dziwnej stronie tyle swoich danych?

Gwoli jasności – będę ostatnim, który „pojedzie po internautach”. Kilka lat temu, jeszcze gdy nikt nie myślał o pandemii, na konferencji Confidence Adam Haertle powiedział (w skrócie): „Bezpieczniaku, to nie user, który dał się złapać na phishing, jest idiotą. To ty nim jesteś! Bo nie użyłeś swojej wiedzy, by go uświadomić”. Od tamtego czasu to jeden z motywów pchających mnie do działania. Dlatego też powstaje ten tekst. Nie zmienia to jednak faktu, że często nie mogę wyjść z szoku dlaczego są ludzie, w których takie okna, na stronie której adres nie ma nic wspólnego z bankiem, nie budzą niepokoju:

Co jeszcze podajesz, gdy wpiszesz hasło do banku?

Hasło do banku – i co jeszcze?

Przypomnijcie sobie, kiedy ostatnio wprowadzaliście hasło do banku. I co więcej było wtedy potrzebne? Bazując na moim doświadczeniu (i kontach w dwóch bankach) przy logowaniu w przeglądarce login i hasło, zaś przy aplikacji mobilnej – PIN lub odcisk palca. Wszystko jasne. A kiedy ostatnio używaliście PESELu lub panieńskiego nazwiska mamy? Ew. PINu do aplikacji mobilnej przy korzystaniu z przeglądarki na komputerze?

Konfigurując aplikację mobilną!

No właśnie! Co trzeba zrobić, żebyśmy zapamiętali, że tak wrażliwych danych jak te przytoczone powyżej nie podaje się przy płatności? Nie wiem, jak jest we wszystkich bankach (będę wdzięczny za informacje w komentarzach), ale w tym w którym korzystam z aplikacji mobilnej, w trakcie jej aktywacji słyszę bodaj pięciokrotnie informację do czego służy kod! Czego mam z nim nie robić, gdzie nie wpisywać i co robić, jeśli ktoś mnie o niego prosi. Zastanawiam się, czy tak wielu ludzi wtedy „odlatuje” myślami?

Błagam. Jeśli wykonujecie jakąkolwiek transakcję finansową online, bądźcie wyjątkowo uważni! Niczym za kierownicą, stosujcie zasadę ograniczonego zaufania. A jeśli cokolwiek budzi Wasz niepokój – odstąpcie od transakcji! Możecie stracić wszystkie pieniądze, a nawet więcej. Jasne, przestępcy będą używać wielu sztuczek, żeby przekonać Was do wpisania tych danych. Macie wątpliwości? Zadzwońcie do banku. Albo napiszcie do nas na cert.opl@orange.com. Nie ryzykujcie.

Udostępnij: Hasło do banku – gdzie je wpisujesz?

Bezpieczeństwo

Nowe oszustwo „na BLIK”

3 lutego 2022

Nowe oszustwo „na BLIK”

BLIK. W mojej prywatnej opinii jedno z najgenialniejszych rozwiązań, jeśli chodzi o rynek finansowy. To nie reklama, nie lokowanie produktu – nie trzeba mi płacić za dobre opinie o czymś, czego na co dzień używam. Co więcej – o czymś co uważam za wyjątkowo bezpieczne rozwiązanie do płatności, wypłat z bankomatów, czy przelewów między… No dobra, z tym ostatnim bywa różnie. Ale nie ze względu na wady systemu, lecz pomysłowość sieciowych oszustów.

SMS (nie) od BLIK-a

W ostatnich dniach sporo Polaków dostało takie (lub podobne) SMS-y:

Po kliknięciu przenosiły one ofiarę do fałszywej bramki płatności (klasyk znany od kilku lat):

gdzie po wybraniu naszego banku w kolejnym kroku byliśmy pytani o nieco więcej niż standardowe informacje, po to, by umożliwić oszustom podpięcie pod nasze konto aplikacji mobilnej i szybkiego wyczyszczenia do zera naszego konta:

Czym się różni BLIK – skąd mam wiedzieć, że to oszust?

Przede wszystkim strony używane przez BLIK to https://blik.com i https://eblik.pl. W najnowszych kampaniach oszuści wykorzystując socjotechniczną sztuczkę rejestrują witryny z adresami blik.[TLD], gdzie TLD (Top Level Domain) to „wynalazki” w stylu .xyz, czy pokazywane na początku .auction. Od zawsze proszę Was o „czytanie” domen od tyłu i zdwojoną (co najmniej!) uwagę, gdy adres kończy się w rzadko spotykany sposób. W obecnych kampaniach może się też rzucić w oczy mała liczba banków na stronie „bramki płatności”, bez przynajmniej kilku czołowych graczy na rynku. To jednak może się szybko zmienić, mam przeczucie graniczące z pewnością, że oszuści pracują nad kolejnymi nakładkami.

Druga sprawa to sama mechanika płatności BLIK. Możemy z niego skorzystać na trzy sposoby):

  • sześciocyfrowy kod, wygenerowany przez aplikację mobilną banku
  • ośmiocyfrowy kod i przesyłane odrębnym kanałem (np. jedno mailem, drugie SMS-em) hasło; to tzw. czek BLIK, oba ciągi trzeba wpisać do bankomatu przy wypłacie
  • transakcja P2P na numer telefonu (do odbiorcy korzystającego z tego standardu, tj. posiadającego zgodną aplikację bankową)

Żadne z tym rozwiązań nie wiąże się z wysłaniem SMS-a z linkiem. W żadnym z tych rozwiązań

nie musimy logować się do banku, a tym bardziej podawać numeru PESEL!

Zdaję sobie sprawę, że 450 złotych w prezencie kusi. Że kwota z jednej strony wysoka jest na tyle niska, że możemy uwierzyć w to, że faktycznie ktoś nam ją przysłał. Dlatego warto pamiętać, jak wygląda taka mobilna płatność i ostrzec naszych mniej świadomych bliskich (i dalekich 😉 ) przed ryzykiem.

I błagam Was – jeśli wykonujecie jakąś transakcję płatniczą, sprawdzajcie adres w pasku przeglądarki! W przypadku jakiejkolwiek wątpliwości zamknijcie stronę (i najlepiej wyślijcie maila/SMS na cert.opl@orange.com). No chyba, że lubicie życie na krawędzi, ale tego nie zmienię.

Udostępnij: Nowe oszustwo „na BLIK”

Bezpieczeństwo

Thermomix tym razem nie dla Was. To oszustwo!

30 grudnia 2021

Thermomix tym razem nie dla Was. To oszustwo!

…ani dla nikogo innego. Thermomix, popularny kuchenny – hmmm, gadżet? – jest bohaterem najnowszej, rozkręcającej się na dobre dopiero od kilku godzin, kampanii phishingowej, której celem są polscy internauci!

Zaczęło się od przeglądania jednego z naszych systemów bezpieczeństwa, gdzie trafiłem na podejrzanie brzmiący adres, hxxp://thermomix-wyniki[.]pl (przy publikacji podejrzanych stron przyjęte jest zastępowanie t przez x i „nawiasowanie” kropki, w razie, gdyby ktoś przypadkiem w nie kliknął). Po wpisaniu w wirtualnej maszynie (na wszelki wypadek) zobaczyłem to, czego od początku się spodziewałem:

Fałszywa strona logowania do Facebooka pod szyldem konkursu Thermomix

Niby okno logowania Facebooka, ale spójrzcie na pasek adresu! To nie jest okno logowania do serwisu społecznościowego. Wpisane tutaj login i hasło trafią do przestępców, a my trafimy na:

  • jeśli wchodzimy z wirtualnej maszyny – na instalkę TikToka na Google Play (to zaślepka dla automatycznych systemów bezpieczeństwa)
  • wchodząc z telefonu – na stronę, która wymaga zgody na pokazywanie powiadomień (niestety nie mam testowego telefonu i na tym kroku poprzestałem)
  • a gdy wchodzimy z Orange Polska, zobaczymy ekran CyberTarczy 🙂 (z tymi schematami bardzo dobrze radzi sobie nasza sztuczna inteligencja)

O ile w każdym przypadku tracimy przede wszystkim poświadczenia logowania do Facebooka, doświadczenie mówi mi, że przy wejściu z telefonu (i zgodzie na powiadomienia) zostaniemy zarzuceni reklamami, być może również sugerującymi pobranie złośliwych aplikacji. Sami wiecie – jeśli powiadomień pojawia się multum, w końcu z rozpędu w któreś klikniemy.

Skąd to się wzięło?

No to efekt znamy – pytanie, skąd to paskudztwo w ogóle się wzięło? Skoro efektem końcowym jest logowanie do Facebooka, poszukajmy tego adresu na Facebooku właśnie.

Bingo!

Oszuści wzięli na celownik chyba wszystkie grupy na Facebooku, których tematem jest Thermomix. Po zajrzeniu do jednej z nich widzimy już w pierwszym poście ostrzeżenie zirytowanego admina:

Co poza ostrzeżeniem mamy? Nazwę podejrzanego fanpage’a, rozsyłającego newsa o konkursie! Co istotne, ci wszyscy nieszczęśnicy zablokowani przez admina mogą być Bogu ducha winni! Choć nie – w zasadzie winni, ale nie bezpośrednio. To zapewne nie oni wysyłali te treści na grupę, jednak wcześniej musieli zrobić coś niefrasobliwego, co pomogło oszustom przejąć ich konta. Albo są botami, stworzonymi tylko na potrzeby oszukańczej kampanii.

Zajrzyjmy więc na rzekomy fanpage producenta Thermomix.

Oszukany fanpage Thermomix

Brak jakichkolwiek danych właściciela strony, a spośród 41 obserwujących, większość to nazwiska wskazujące na pochodzenie dalekowschodnie oraz pisane cyrylicą (jeśli wierzyć informacjom osobistym, to głównie osoby pochodzące z Ukrainy). Oszuści nawet się więc przesadnie nie starali, kupując kilku fanów i dodając zapewne kilka przejętych kont. Jedyna treść na fanpage’u, to widoczna informacja. Zastanawiam się, czy literówka w nazwie to przypadek, bowiem w adresie strony słowo „jubileusz” jest już napisane poprawnie.

Co może mi się stać?

Co ciekawe, poza ryzykiem wycieku danych i włączenia podejrzanych powiadomień, gdy analizowałem przypadek, pojawiło się jeszcze jedno ryzyko. Widzicie początek skrótowca na fanpage’u? Po kliknięciu zaprowadził mnie do „lewego” Facebooka, ale gdy wyciąłem tylko początek i rozwinąłem w przeznaczonym do tego serwisie – wszedłem na jeszcze inną witrynę! Co ciekawe, strona jest hostowana w chmurze Google (sites.google.com) – oszuści liczą, że systemy bezpieczeństwa nie zablokują przecież takiego serwisu.

Strona podszywająca się pod konkurs Thermomix

Nie mając już nadziei, że Thermomix padnie moim łupem :), kliknąłem w umieszczony pod obrazkiem przycisk „Pobierz”:

…wybrałem operatora:

I oczywiście nie wpisałem numeru telefonu, bo znam lepsze pomysły na wydanie 14,99 PLN co 7 dni. Gwoli jasności – dostawca wymienionej powyżej usługi też jest w tej sytuacji ofiarą. Jego marka jest bowiem nadużywana, a oszuści liczą… Hmmm, w zasadzie to nawet nie wiem, na co liczą. Ci którzy „sprzedają iPhone’y za cenę wysyłki” przynajmniej dbają o pozory. A ci liczą, że widząc oczyma duszy Thermomix nie zauważę, że tak naprawdę abonuję serwis z grami.

No sorry. Ani ja nie, ani nasi czytelnicy nie 🙂

A korzystając z sytuacji, że już pojutrze ostatnia cyfra roku zmieni się na dwa, przecisnę tutaj jeszcze swoje życzenia, bo na bank pojawią się też blogowe 🙂

Bądźcie bezpieczni, uważajcie w sieci, nie ufajcie przesadnie świetnym okazjom. I bądźcie zdrowi.

Udostępnij: Thermomix tym razem nie dla Was. To oszustwo!

Bezpieczeństwo

Flubot atakuje świątecznie

9 grudnia 2021

Flubot atakuje świątecznie

Złodzieje wiedzą co robią. Ci „offline’owi” czatują – jak mniemam – w sklepach i innych miejscach, gdzie gromadzą się ludzie. Ci nowocześni natomiast, grasujący w sieci, wysyłają w bój kolejne kampanie phishingowe. A w nich najpopularniejszy w ostatnich miesiącach ładunek – bankowy trojan Flubot.

Ci, którzy czytają Bloga regularnie, pamiętają, że Flubot zawitał doń nie pierwszy raz. O tym wyjątkowym paskudztwie pisałem już pięć miesięcy temu. Co się zmieniło? Niestety to, że oszuści ciągle nad nim pracują, usprawniając zarówno samą aplikację, jak i sposoby jej komunikacji ze swoimi serwerami. Uaktualniają też sposoby dotarcia do ofiar, nazywane „w branży” wektorami ataku. Tym razem ewidentnie ustawiając je pod nadchodzące święta.

To nie jest przesyłka!

Jak to „pod święta”? A czego najczęściej spodziewamy się, gdy zbliża się Boże Narodzenie? Oczywiście przesyłek:

ewentualnie życzeń od najbliższych. A jeśli nie zdążyliśmy odebrać telefonu, to nagrają się na pocztę głosową.

Brzmi niegroźnie? Brzmi może tak, ale ryzyko jest spore. Jak się domyślacie, w obu przypadkach pod linkiem ukrywa się Flubot właśnie. Po jego zainstalowaniu wystawimy się na cel i lada moment stracimy dane logowania do banku. Czemu? Bowiem złośliwa aplikacja generuje tzw. nakładki na strony i aplikacje najpopularniejszych polskich banków. W zasadzie nie tylko polskich, bowiem na celowniku oszustów są internauci z przeszło 20 krajów z całego świata (to poniekąd istotne, ale o tym za chwilę). Jak działa taka nakładka? My w momencie logowania jesteśmy pewni, że logujemy się do banku, podczas, gdy wpisywane dane trafiają prosto do oszustów. Jeśli przelewy, czy dodanie zaufanego odbiorcy, autoryzujemy kodem SMS – mamy problem, bowiem przy zainstalowanej złośliwej aplikacji, której daliśmy wiele uprawnień, wiadomości tekstowe również trafiają bezpośrednio do przestępców.

Czemu istotne jest, że przestępcy działają nie tylko w Polsce? Ze względu na sposób, w jaki rozpowszechniany jest Flubot. Jedną z jego aktywności jest bowiem wykradzenie książki telefonicznej ofiary. Po co? Po to, by wysłać ją innej, losowej ofierze, a ona – dopiero ona – wysyła kolejne SMSy naszym znajomym. Czemu tak? Bo jeśli przykładowo SMS „od DHL” trafiłby do Wojtka Jabczyńskiego, wysłany z mojego numeru, to Wojtek zadzwoniłby do mnie i spytał, czy mi odbiło. Jeśli wyśle go ktoś obcy – możemy uznać, że po prostu z takiego numeru korzysta nasz oddział firmy kurierskiej. A jeśli akurat do nas trafi książka telefoniczna ofiary z Wlk. Brytanii, USA, czy Nowej Zelandii? Jak duże mogą być koszty? Cóż, rekordziści wysyłali (bez swojej wiedzy rzecz jasna) nawet kilkadziesiąt tysięcy wiadomości do kolejnych ofiar. To może już być kawał rachunku…

Flubot – co robić?

Jak działa nowy Flubot? To już wersja 4.9 tego wyrafinowanego złośliwego narzędzia, więc parę zmian w swojej historii przeszła. Jeśli chcecie przyjrzeć się bardziej technicznej analizie, znajdziecie ją na stronie CERT Orange Polska. Tam też znajdziecie najnowsze przykłady tekstów fałszywych SMSów.

A jak uniknąć infekcji? Jak zawsze, przede wszystkim UWAŻAĆ. Dokładnie czytajcie przychodzące SMSy, szczególnie jeśli wydają się być choć trochę podejrzane. Tego typu wiadomości nie dostajemy wiele, poświęcenie minutę na szczegółowe przyjrzenie się treści – a przede wszystkim linkom – nie powinno być stanowić problemu. Pamiętajcie, że żadna firma nie prosi Was o zainstalowanie aplikacji spoza Sklepu Play. Jeśli obawiacie się, czy nie zostaliście zainfekowani – zajrzyjcie z telefonu na stronę CyberTarczy. Chyba, że pamiętacie, że zainstalowaliście coś, co podszywało się pod aplikację DHL lub Voicemail z zewnętrznego źródła – wtedy na pewno jesteście zainfekowani. Wtedy rada jest już tylko jedna – doprowadzenie telefonu do stanu fabrycznego.

Udostępnij: Flubot atakuje świątecznie

Bezpieczeństwo

Vinted, OLX, i inne – ulubione marki oszustów

4 listopada 2021

Vinted, OLX, i inne – ulubione marki oszustów

Kilkadziesiąt, a nawet przeszło sto dziennie. Tyle phishingowych domen, dotyczących wyłącznie oszustw „na wysyłkę” wpada codziennie do naszych systemów bezpieczeństwa. Przez jakiś czas było nieco spokojniej, nawet liczba ataków na sprzedających za pośrednictwem OLX wydawała się nieco maleć. W ostatnim czasie sytuacja jednak się zmieniła. Pod ostrzałem oszustów są sprzedający na OLX, Allegro i Vinted. Atakowani są nie tylko za pomocą podszycia pod dane marki. Przestępcy używają też witryn, udających InPost i DPD.

Jak wyglądają takie adresy? To część „urobku” z dzisiaj, oparta wyłącznie na jednej domenie głównej:

allegro-kdbu.id-info0328.me
vinted-iuq.id-info0328.me
vinted-iab.id-info0328.me
vinted-wkt.id-info0328.me
olx-medw.id-info0328.me
vinted-pkl.id-info0328.me
inpost-itgn.id-info0328.me
inpost-lnb.id-info0328.me
vinted-dkeh.id-info0328.me
inpost-raz.id-info0328.me
olx-hgm.id-info0328.me
inpost-zpc.id-info0328.me
dpd-rzu.id-info0328.me

Widzicie o co chodzi? Nadużywana marka znajduje się na samym początku adresu. To zachowanie wykorzystujące skłonność naszego mózgu do ograniczania zalewu danych. Często nie zdajemy sobie tego sprawy, ale nasz mózg – na poziomie podświadomości – potrafi w takiej sytuacji „odciąć” resztę adresu. W efekcie, działając automatycznie… klikamy w ten adres!

To nie Vinted, to nie kurier

Oszuści ostatnimi czasy tworzą fałszywe adresy hurtowo. Pod jedną domeną (w powyższych przypadkach id-info0328.me) od razu tworzą od kilkunastu do kilkudziesięciu adresów, w kilku wersjach na każdą markę. Tyle w tym dobrego, że nasza sztuczna inteligencja łatwo uczy się takich schematów. W efekcie CyberTarcza blokuje praktycznie wszystkie zanim ktokolwiek z klientów Orange Polska zdoła w nie kliknąć. Co jednak jeśli zdążysz kliknąć (lub nie masz naszych usług dostępu do internetu)?

Przestępcy – co już kilkakrotnie tutaj i na stronie CERT Orange Polska, opisywaliśmy – automatycznie skanują serwisy, rejestrując nowe oferty sprzedaży. W kolejnym kroku „żywy” oszust wybiera ofiarę i w swoim panelu generuje fałszywy link do oferty. Miałem kiedyś możliwość spojrzeć na taki interfejs administracyjny. Nie mogę jednak wrzucić nawet zrzutu ekranu – lepiej, by oszuści nie wiedzieli czy/gdzie mamy taki dostęp. W każdym razie po zalogowaniu wystarczy wkleić link do prawdziwej oferty, by wygenerować bliźniaczą stronę, a gdy tylko ofiara da się oszukać – w tym samym miejscu wyświetlają się wszystkie wyłudzone dane.

Jak wygląda taka witryna?

Gdyby nie adres w pasku na górze witryna w zasadzie nie wygląda podejrzanie, prawda? A co się stanie jeśli jednak zechcemy odebrać środki?

Standardowa sytuacja z fałszywą bramką płatności z aktywnymi linkami nawet do mniej popularnych banków. Czy to oznacza, że przestępcy mają przygotowane witryny na każdą okazję? Nie do końca. Jeśli wybierzemy popularny bank, zobaczymy podróbkę treści z oficjalnej witryny:

Czy są jakieś różnice w porównaniu z prawdziwym logowaniem do banku? Jeśli w systemie korzystacie z języka polskiego to w przypadku pierwszych dwóch już sam fakt, że są po angielsku, powinien sugerować, że coś jest nie tak. Dodatkowo w przypadku mBanku w treści jest też błąd ortograficzny i interpunkcyjny. Przede wszystkim jednak oszuści wymagają od nas:

  • kodu PIN
  • numeru PESEL
  • numeru z tokenu RSA
  • nazwisko panieńskie matki

te dodatkowe dane są niezbędne do aktywacji aplikacji mobilnej! Za jej pośrednictwem złodziej, już bez Twojej kontroli, wykradnie Ci wszystkie pieniądze i pozaciąga kredyty.

Login to za mało, dawaj numer karty!

A co się stanie, jeśli klikniemy na mniej popularny bank? To samo co po wpisaniu powyższych danych! Pokaże się monit o… podanie danych karty płatniczej.

Oczywiście jeśli już wpiszemy dane, nikt nam nie napisze: „Dzięki, właśnie dałeś się okraść!”. W zamian za to zobaczymy, że coś jest nie tak (cóż za zaskoczenie…).

Co robić?

Wiem (i ci z Was, którzy regularnie czytają Bloga, też wiedzą), że już o tym pisałem. I to nie raz. Jednak fakt, iż oszuści nie porzucili tego typu ataków, dowodzi, że ciągle są skuteczne. Analizując strony dwkurotnie skusiłem się nawet na próbę rozmowy z przestępcą. Tak, to nie problem – na każdej z tym stron w prawym dolnym rogu jest okno czatu z „obsługą klienta”. Niestety musiałem trafić na wyjątkowego skromnisia, bo gdy grzecznie spytałem, ile osób dziennie oszukuje i ile zarabia, wszystkie linki na stronie zaczęły nagle prowadzić do prawdziwych witryn Vinted i DPD.

Ale dość dygresji. Jak nie dać się oszukać?

Rozmawiaj wyłącznie przez interfejs aplikacji/strony (OLX, Vinted, Allegro)

Linki z rzekomo dokonanymi transakcjami są finalną częścią rozmów z ofiarą za pośrednictwem zewnętrznego komunikatora. A nad WhatsAppem, wykorzystywanym w polskich kampaniach, firmy pośredniczące w sprzedaży nie mają kontroli, nie mogą np. monitorować podejrzanych linków.

Pamiętaj, że firmy kurierskie (jak używane w tym oszustwie InPost, czy DPD) nie wypłacają pieniędzy sprzedającemu

One zajmują się dostarczeniem paczki lub ewentualnie pobraniem pieniędzy od kupującego.

Gdy na ekranie pojawia się strona płatności, obowiązkowo sprawdź adres w pasku przeglądarki

Przy prawidłowych płatnościach będzie to adres pośrednika płatności (zazwyczaj kończący się .pl, nigdy nie kończący się na dziwne zbitki liter, typu .me, .site, czy .xyz).

Nie wpisuj numeru karty, gdy to Ty masz dostać pieniądze

Jedyna sytuacja, w której spotkałem się z wykorzystaniem karty do otrzymania pieniędzy miała miejsce przy zwrocie artykułu w sklepie i wymagała włożenia jej do terminala.

Jeśli dysponujesz dwoma numerami telefonów, w serwisach pośredniczących w sprzedaży użyj tego, do którego nie masz podpiętych komunikatorów

Gdy numer nie jest skojarzony z WhatsAppem, nikt WhatsAppem nie napisze! Genialne, co nie?

A poza tym, jak mawiał Fox Mulder:

A przynajmniej nie obcym.

Udostępnij: Vinted, OLX, i inne – ulubione marki oszustów

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej