Bezpieczeństwo

Phishing na fałszywą aplikację InPost

24 września 2020

Phishing na fałszywą aplikację InPost

Sytuacja w zasadzie dzieje się już od kilku/nastu tygodni, o czym pisaliśmy już na stronie CERT Orange Polska (polecam, tam o bezpieczeństwie nie tylko w czwartki 😉 ). Do klientów naszej – i nie tylko – sieci przychodzą fale SMSów, podszywających się pod wiadomości z firmy InPost. Oczywiście z operatorem Paczkomatów nie mają nic wspólnego – celem ich nadawców, jest by na naszych smartfonach wylądował trojan Cerberus.

aaaaAplikacje tylko z oficjalnego sklepu!

Niemal od początku istnienia Androida wszyscy trąbią na lewo i prawo o konieczności instalowania aplikacji wyłącznie z oficjalnego sklepu. Co więcej, z kolejnymi głównymi edycjami pojawiały się coraz bardziej rozszerzone opcje bezpieczeństwa. I co? I ciągle znajdują się ludzie, którzy bez namysłu odklikują „nie instaluj ze źródeł zewnętrznych”, bo… właśnie, w zasadzie dlaczego? Może ktoś wie i podzieli się w komentarzach?

A skoro są tacy ludzie, to przestępcy skwapliwie to wykorzystują, od pewnego czasu biorąc na cel firmę InPost. Operator paczkomatów od jakiegoś czasu, jeśli korzystamy z aplikacji mobilnej, nie wysyła już SMSów, pozostając przy mailach i informacji push w aplikacji. Wciąż jednak sporo osób nie chce/nie umie radzić sobie z aplikacją, przychodzą więc do nich niezmiennie SMSy. Co gorsza – kolejkowane pod prawdziwymi, ze względu na identyczny nadpis (tzn. nazwę nadawcy). W internecie można znaleźć przynajmniej kilka historii osób, które zaufały fałszywym SMSom, co kończyło się zalogowaniem na witrynę, podszywającą się pod bramkę płatności i okradnięciem konta bankowego ofiary.

.

Ataki hybrydowe

W ostatnich tygodniach obserwujemy ataki, które można by określić mianem „hybrydowych”. Z jednej strony dostajemy SMSa, z drugiej zaś – sugerując pobranie aplikacji (bo przecież aplikacji należy ufać, tak jesteśmy uczeni!). Po kliknięciu w link widzimy stronę do złudzenia przypominającą Sklep Play. Z wyjątkiem linków, rzecz jasna. No i wchodząc z telefonu nie jesteśmy przekierowywani – jak zwykle w takich przypadkach – do aplikacji Sklep Google. Dlaczego? Oczywiście dlatego, że nie ma żadnego sklepu!

Oczywiście z aplikacją InPost nie ma to nic wspólnego, a po instalacji (oczywiście wcześniej musimy zgodzić się na instalację z nieznanych źródeł) „wzbogacamy” nasz telefon o malware Cerberus. A ten to wyjątkowy specjalista – od kradzieży najpierw naszych poświadczeń logowania do e-banków, a następnie naszych całych oszczędności.

Lepiej tego nie robić. Nie dajcie się oszukać. Polecamy korzystanie z aplikacji mobilnej (nie tylko w przypadku paczkomatów), a tę prawdziwą, nie podstawioną, weźcie po prostu ze Sklepu Play. Oczywiście 24 godziny na dobę pilnujemy, czy w sieci nie pojawią się nowe wersje „sklepów”, blokując coraz to kolejne.

W ciągu mijającego tygodnia takich stron było kilkanaście!

Jeśli sami chcecie trzymać rękę na pulsie – obserwujcie naszego Twittera, gdzie zaprzyjaźnieni researcherzy regularnie podrzucają nowe IoC (Indicators of Compromise, w tym przypadku po prostu adres stron, udających Sklep Play).

Udostępnij: Phishing na fałszywą aplikację InPost

Bezpieczeństwo

Phisherzy lubią Facebooka

6 sierpnia 2020

Phisherzy lubią Facebooka

Facebook… Mark Zuckerberg dzięki niemu i swojej – cóż, nie tylko (polecam film „The Social Network”) – pomysłowości, w ciągu kilku/nastu lat stał się nieprzyzwoicie bogatym człowiekiem, mającym realny wpływ na losy świata. Zwykli ludzie bez serwisu spod znaku białego „f” na niebieskim tle nie wyobrażają sobie życia. A przestępcy i zwykli cwaniacy? Cóż, oni wykorzystują najczęściej odwiedzaną i najczęściej linkowaną (wg. rankingu Alexa.com) stronę świata jako źródło do robienia swoich szemranych biznesów.

Na CyberTarczę – z Facebooka

35% ruchu, a odliczając wejścia bezpośrednie – ponad 8/10 osób, którym pojawia się witryna CyberTarczy jest nań przekierowywana właśnie z Facebooka. To statystyki naszej strony za ostatnie 7 dni. Jak to wygląda w liczbach bezwzględnych? Przeszło 46 tysięcy wejść z Facebooka, podczas, gdy zajmujący drugie miejsce serwis to… 1364 wejścia. Różnica jest wręcz niewyobrażalna, znakomicie dowodząc popularności – na różne sposoby – firmy Marka Zuckerberga. Powiedzenie: „Jeśli nie ma Cię na Facebooku to tak jakbyś nie istniał” to w dzisiejszych czasach, przede wszystkim wśród młodych ludzi, digital natives, wcale nie jest żart. Oszuści też o tym wiedzą i usiłują na różne sposoby to wykorzystać.

Wykupić reklamę? Żaden problem

Jak to robią? Sposobów jest sporo, ale najpopularniejsze w ostatnim czasie to reklamy rzekomych giełd kryptowalut (okazujących się efemerydami, na których zarabiają tylko prowadzący je oszuści) i utrzymane w tonie histerycznej sensacji fake newsy, mające przyciągnąć zainteresowanie łowców sensacji. Te pierwsze na największym serwisie społecznościowym mają swoje źródło. Zapewne wiele/u z Was widziało na FB (nie tylko, nie dość często trafiają się też na Youtubie) treści reklamowe o tym, jak to „zwykły człowiek” zarobił mnóstwo pieniędzy w kilka dni. Najpierw ktoś życzliwy podsunął mu pomysł gry kryptowalutami, potem wpłacił wpisowe… I cóż, i na tym się skończyło. Jeśli oszuści chcą szybko zarobić na kilkusetzłotowych rzekomych wpisowych, muszą trochę zainwestować w kampanie reklamowe. A dla ludzi nieświadomych zagrożeń w sieci sam fakt, że coś jest opublikowane „na fejsbuku” dodaje komunikatowi rzetelności.

Złapani na emocje

Sensacyjne newsy dla odmiany na Facebooku mają się kończyć. Głównym motywem tego typu kampanii są budzące skrajne emocje wiadomości o uprowadzeniu dziecka, gwałcie, czy – to popularne w ostatnich miesiącach – zdarzeniach związanych z osobami chorymi na SARS-Cov-2. Treści pełne silnie nacechowanych mają nas skłonić do kliknięcia w link. Ten prowadzi do rzekomego filmu, byśmy tam – niejako mimochodem – szybciutko zalogowali się „na Facebooka”, by potwierdzić naszą pełnoletniość (bo przecież treści są drastyczne). Specyficzna forma przekazu nie jest przypadkowa. Emocje mają do tego stopnia zasłonić nam zdolność logicznego myślenia, że nie zauważymy, iż adres strony, na której się logujemy, nie ma z serwisem społecznościowych nic wspólnego! W kolejnym kroku otworzy się już prawdziwy Facebook. Fakt, iż znów zobaczymy ekran logowania, zazwyczaj spowoduje, że pomyślimy, że za pierwszym razem się pomyliliśmy.

Filmu nie będzie, nie będzie też pewnie lada moment dostępu do naszego konta. Oszust może je choćby sprzedać, a wcześniej wykorzystać choćby do opisywanego kilkakrotnie na stronie CERT Orange Polska oszustwa „na BLIKa”.

Co robić?

Jak zawsze, uważać. Loginy i hasła na znane nam strony wpisujemy tylko na nich. ZAWSZE, wpisując login i hasło, upewniamy się co do adresu w pasku przeglądarki. No i tak samo, jak nie wierzymy wszystkim bzdu… sensacyjnym wiadomościom, na które trafiamy w realnym świecie, w internecie podchodźmy do nich z dużym (a nawet jeszcze większym, bo łatwiej je sfabrykować) dystansem.

Udostępnij: Phisherzy lubią Facebooka

Bezpieczeństwo

Jak próbują nas oszukać w sieci?

9 lipca 2020

Jak próbują nas oszukać w sieci?

Macie czasami wrażenie, że co krok w internecie ktoś chce Was oszukać? Tu phishingi, tam dziwne sklepy, tu podejrzane strony… Wszędzie źli ludzie czają się na pieniądze. Na nasze, ciężko zarobione pieniądze. A jako, że sposobów jest sporo, warto czasami, choćby pokrótce, opisać, na co konkretnie musimy szczególnie uważać.

Przesyłka, której nigdy nie było

Zaczyna się od maila. Na początku od „kuriera z DPD”, w ostatnich dniach przestępcy podszywają się również pod Pocztę Polską. Z jakiegoś powodu nie mogła dotrzeć, musimy kliknąć, by ją śledzić, wpisać nowy adres… I oczywiście zapłacić.

Możemy zapłacić tylko kartą, a kiedy wpiszemy jej dane (włącznie z datą ważności i kodem CVV) – mam przeczucie graniczące z… nie no, mam pewność, że nie zostaną użyte tylko raz.

Co najlepiej zrobić w takiej sytuacji? Jestem w stanie zrozumieć, że każdego może kusić sprawdzenie, że paczka jest może jednak do niego? 🙂 Ja bym w takiej sytaucji wszedł na stronę faktycznego dostawcy/kuriera i na niej wpisał podany nr listu przewozowego. Jeśli okaże się, że nie istnieje – sprawa załatwiona.

Jak dać się oszukać „na dopłatę”

Swego czasu blokowaliśmy po kilka stron dziennie, udających usługi kurierskie z własnymi podstronami udającymi internetowe bramki płatności. W takim przypadku zaczyna się od SMSa domagającego się dopłaty drobnej kwoty (zazwyczaj złotówki z groszami). Tak niska kwota ma uśpić potencjalną ofiarę, bo przecież „to żadne pieniądze”, a „skoro trzeba”, to zapłaci. A będąc już nastawionym na tę konieczność, często nie spojrzy na pasek adresu przeglądarki:

Gdy po wybraniu banku wpiszemy login i hasło, zobaczymy (przykład mBanku zupełnie losowy) taki obrazek jak poniżej. Oczywiście wcale nie czekamy na zalogowanie do banku siebie, tylko przestępców, którzy w kolejnym kroku podstawią nam fałszywy formularz potwierdzenia rzeczonego przelewu, a jeśli nie zauważymy, że tak naprawdę akceptujemy ich konto jako zaufane – pożegnamy się z całym stanem konta.

Nie zapominajcie – zawsze patrzcie na pasek adresu, gdy logujecie się do banku z przeglądarki.

Na komórkę też się da

Przestępcy pamiętają rzecz jasna o tym, że wielu z nas korzysta z urządzeń mobilnych. Stąd zwiększona w ostatnich tygodniach popularność złośliwego oprogramowania Cerberus, wyspecjalizowanego w atakach na użytkowników smartfonów. W tym przypadku zaczyna się od SMSa, który prowadzi nas do strony udającej Sklep Play. Jeśli damy się przekonać do instalacji aplikacji (do nas wpadły próbki Inpostu, Allegro i Facebooka) spoza Sklepu Play – cóż, już po nas.

Nie instalujcie niczego spoza Sklepu Play. Po prostu.

A jeśli chcecie dostawać informacje o zagrożeniach na bieżąco (w tym szerzej o tych opisanych powyżej), zaglądajcie na stronę CERT Orange Polska i na naszego Twittera. Nie dajmy się oszukać!

Udostępnij: Jak próbują nas oszukać w sieci?

Bezpieczeństwo

Znowu fałszywe faktury

4 czerwca 2020

Znowu fałszywe faktury

Ostatni tydzień, jeśli chodzi o maile od Was do CERT Orange Polska, zdominowały fałszywe faktury. Przestępcy już chyba przeszli do porządku dziennego nad pandemią. Świat luzuje obostrzenia, więc oni też, w efekcie obserwujemy naprawdę mnóstwo latających po sieci maili, podszywających się pod – w większości – Orange Polska.

„Dlaczego wysyłacie mi jakieś faktury?!”

W ostatnich dniach ciężko policzyć wszystkie informacje, jakie dostaliśmy od Was na temat domniemanych „faktur od Orange”. Jak łatwo się domyślić – o czym (o tym jak łatwo) za chwilę – nie mamy z ich wysyłką nic wspólnego. Mimo to wiadomości od Was utrzymywane są w tonach… Hmmm, cóż – znacząco różnych 🙂

Dzień dobry, dostałam/em coś takiego, to chyba wirus, więc Wam przesyłam

To na szczęście zdecydowanie najpopularniejsza forma wiadomości od Was. Czasami zdarzają się jednak też takie:

Z jakiej racji dostałem od was jakąś fakturę, jak ja nawet usług waszych nie mam?!

albo jeszcze mocniejsze, takie:

Nie życzę sobie jakichkolwiek faktur wysyłanych drogą elektroniczną. Mam jedno życie i nie zamierzam go stracić na drążenie problemu faktur za które nikt ponoć nie odpowiada (…)

Rozumiem emocje, a ton akurat tego maila, którego część pozwoliłem sobie zacytować, był utrzymany w tonie sarkastycznym. Dobry sarkazm zawsze w cenie, dlatego rozmowę z autorem kontynuowałem, wyjaśniając mu o co w tym wszystkim chodzi.

A o co chodzi?

Wróćmy jeszcze kilka linijek wyżej, do użytkownika, który dziwił się, że dostał od nas „fakturę” nie mając usług w Orange Polska. No właśnie – mail trafił do niego absolutnie losowo (aczkolwiek mimowolnie nieco się do tego przyłożył). Najpierw opublikował gdzieś w sieci swój adres mailowy, w kolejnym kroku „czeszące” internet nieprzerwanie crawlery znalazły go (i wiele innych) na koniec przestępca zebrał je razem (albo kupił od kogoś), przygotował mail phishingowy i wysłał. Licząc, że w grupie kilku/dziesięciu tysięcy adresów znajdą się klienci naszych usług! Po prostu. No dobra, nie tylko naszych – wśród kampanii z ostatnich dni poza Orange Polska atakowani są jeszcze klienci Play i DHL. Jeśli ktoś uzna, że to oszustwo – po prostu skasuje, może wyśle informację do nas (cert.opl@orange.com, polecam). Jeśli ma usługi w Orange Polska – tu gorzej, bo faktycznie odruchowo może coś kliknąć. Tymczasem maile z fakturami bardzo łatwo odróżnić!

Z lewej moja faktura za usługi, z prawej – mail od przestępców. Różnicę widać już na pierwszy rzut oka, przestępcy śląc do wszystkich takiego samego maila nie wpiszą doń Waszego imienia i nazwiska bo najzwyczajniej w świecie go nie mają! No i oczywiście adres nadawcy – nasze maile przychodzą z adresu e-faktura@pl.orange.com

Co dzieje się dalej?

Dalej, jeśli ktoś da się przekonać i będzie chciał zajrzeć do rzekomej faktury, otworzy załączony plik xlsx lub xlsm (nasze faktury przychodzą w PDFach). Potem kliknie zgodę na „włączenie treści”, co pozwoli na uruchomienie makr i… już po wszystkim. No chyba, że faktycznie macie usługi w Orange Polska, to wtedy o ile CyberTarcza nie stanie na przeszkodzie infekcji, to na połączenie zarażonego komputera z serwerem Command&Control botnetu już nie pozwoli. Dlatego warto regularnie wchodzić na stronę CyberTarczy, by sprawdzić, czy przypadkiem nie złapaliśmy jakiejś „niespodzianki”.

Co znajdziecie w złośliwych plikach? Po szczegóły pozwolę sobie wysłać Was na stronę CERT Orange Polska, gdzie pisałem o kampaniach przenoszących Danabota i ZLoadera. Co gorsza, przestępcy regularnie wrzucają nowe, za każdym razem nieco „stuningowane” wersje pliku, co utrudnia wykrycie go przez antywirusy. A co oba złośniki robią? W skrócie – chcą wykraść nasze loginy i hasła do banków. A potem nasze oszczędności. Nie dajmy przestępcom tej przyjemności. Uważajcie na siebie.

Udostępnij: Znowu fałszywe faktury

Bezpieczeństwo

Groźny phishing na banki i pocztę

30 kwietnia 2020

Groźny phishing na banki i pocztę

Dziś krótko, ostrzegawczo i informacyjnie. Uważajcie na phishing ukrywający się w SMSach od poczty/kurierów, a także mailach od banków. Każdą taką wiadomość czytajcie bardzo dokładnie, zanim w cokolwiek klikniecie. Ryzyko jest naprawdę duże.

„Bezpieczeństwo” – słowo klucz

Aż dziwne jak bardzo to działa. Jak byście się czuli, dostając takiego maila?

Drogi Kliencie, Uaktualnilismy kontrole bezpieczenstwa, aby dac Ci konkretne, spersonalizowane rekomendacje w celu zwiekszenia bezpieczenstwa Twojego konta. Kliknij tutaj, aby zobaczyc dzialania, które nalezy podjac, aby zwiekszyc bezpieczenstwo kont.

Dziekuje Ci

albo nieco podobnego, takiego?

Drogi Kliencie, Twoje konto wlasnie sie zalogowalo z nowego urzadzenia z systemem Windows. Otrzymujesz te wiadomosc e-mail, aby upewnic sie, ze to ty. SPRAWDZ AKTYWNOSC

Dziekuje Ci

Ja to akurat mam nadzieję, że Ci z Was, którzy czytają moje teksty regularnie, parsknęliby co najwyżej śmiechem, widząc nie tylko przekombinowaną formę, ale też brak polskich znaków diakrytycznych. Coś takiego, w korespondencji udającej oficjalną, powinno natychmiast zapalić nam w głowach wirujące, czerwone światła. W przypadku tego drugiego można się złapać jeszcze łatwiej, bowiem tam mamy „ostrzeżenie o zalogowaniu” z naszego konta i odruchowo możemy tę aktywność sprawdzić.

Podobny phishing pojawia się w polskim internecie od kilku dni, co ciekawe – nasze analizy wskazują, że każdego dnia przestępcy celują w klientów innego banku.

Dezynfekuj, ale w domu

Uważacie, czego dotykacie? Myjecie ręce po otwarciu paczki, wyjętej wcześniej z paczkomatu albo odebranej z poczty? Bardzo dobrze, róbcie to nadal (nawet po pandemii, nie zaszkodzi), ale nie liczcie, że ktoś zdezynfekuje paczkę za Was. Nawet za pieniądze.

Tego wpada ostatnimi dniami naprawdę sporo, głównie podszywania się pod Inpost i Pocztę Polską. Jak możecie się domyślać, kliknięcie w taki link przeniesie ofiarę do fałszywej bramki płatności, gdzie, po podaniu loginu i hasła do banku, nie zapłacimy wcale 1.40 PLN, ale wszystko, co mamy.

Nieprzerwanie trzymamy rękę na pulsie, gdy trafią do nas kolejne próbki, blokujemy je w trybie 24/7, zdarza się nawet, że po niecałej godzinie od… zarejestrowania przez przestępców fałszywej domeny. Robimy wszystko, żebyście czuli się u nas jak najbezpieczniejsi.

Bądźcie zdrowi, #zostanciewdomu

Udostępnij: Groźny phishing na banki i pocztę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej