Dziś tylko krótkie i zwięzłe ostrzeżenie, bez felietonowych przemyśleń. MediaMarkt, Rossmann, Samsung – to trzy marki będące ofiarą najnowszych SMSowych prób wyłudzenia, trafiających do CERT Orange Polska.

„Odbierz swoją nagrodę”

Aż dziw, że ktoś się na to jeszcze łapie, ale z drugiej strony to dowód na to, że internautów trzeba nieprzerwanie edukować.

Od: MediaInfo
Treść: Przypominamy: 10/11/2019 oglosilismy liste zwyciezcow (Twoje miejsce: 4). Odbierz swoja nagrode od MediaMarkt: [link]

To jeden z kilku SMSów, który trafił do nas w czwartek, „nadawcą” części z nich była też ulubiona ostatnimi czasy firma scammerów, Rossmann. Po kliknięciu trafiamy na przygotowaną w odpowiednich firmowych kolorach, z właściwymi logo, stronę. Po wypełnieniu składającej się z trzech pytań ankiety rzecz jasna „wygrywamy”, choć dopiero pod drugą zdrapką kryje się Samsung Galaxy S10+. Kto by nie chciał topowego smartfona za marne 9 złotych za wysyłkę? No właśnie…

To tylko loteria…

…za już nie takie marne 290 złotych miesięcznie. Wszystko jest „zgodne z prawem” – a przynajmniej balansuje na cienkiej, zawieszonej nad przepaścią linie z napisem „wyłudzenia”. Na stronie gdzie pozostaje nam tylko wypełnić dane „do wysyłki” i podać dane karty płatniczej, szaro na czarnym czytamy m.in.:

„Wszyscy nowi klienci biorą udział w loterii (…) Ta oferta (9 PLN) obowiązuje z trzydniowym okresem próbnym w usłudze subskrypcji (…) Po upływie okresu próbnego Twoja karta kredytowa będzie obciążana comiesięczną opłatą za subskrypcję (290 PLN) (…)”. No to wiemy, gdzie leży pies pogrzebany! Co ciekawe, przes… – przepraszam, nie przestępcy, cwaniacy – dalej zaznaczają:

„Aby wziąć udział lub wygrać, nie trzeba kupować (podkreślenie moje). Zakup nie zwiększy Twoich szans na wygraną, możesz zarejestrować się za darmo tutaj”.

Nie złapcie się na wyłudzenia!

Uważajcie, bo niestety nie wszystkie takie witryny możemy blokować (przecież wszystko jest dokładnie wytłumaczone i każdy nieuważny popełnia niefrasobliwości z własnej woli). Możemy tylko ostrzegać, byście nie wierzyli w przesadnie dobre okazje i dokładnie wszystko czytali. Tym bardziej, że zdarzają się też takie „konkursy”, gdzie w rogu widnieje tykający zegar, odmierzający czas do końca „wyjątkowej promocji”.

Lepiej kupcie u nas 🙂

Zastanawialiście się kiedyś, skąd telemarketerzy różnych dziwnych firm mają Wasze dane osobowe? Dlaczego dzwonią na Wasze prywatne numery telefonów, wysyłają Wam maile z niepotrzebnymi informacji, a pytani o to, skąd mają Wasze dane, wymieniają nazwę istniejącej firmy? Może dlatego, że kiedyś połaszczyliście się na darmowe „Bony do [tu wstaw nazwę sklepu]”…

Zastanawiam się, czy ktoś z Was dostał ostatnio maila z takim obrazkiem:

Pytam, bo jeden z takich maili trafił do nas, na cert.opl@orange.com. Staramy się wpisywać ten adres gdzie się da, żeby znalazł się w tego typu bazach i robił za „spam trap”. Dzięki temu takie maile jak opisywany potrafią trafić do nas w „pierwszym rzucie”.

Przestępstwo? Niekoniecznie

Odruchowo chciałem opisać tę historię jako ostrzeżenie przed spamem, a witrynę zablokować na CyberTarczy. Po krótkiej analizie okazało się, że… nie mogę. Nie mogę, ponieważ w świetle prawa nadawca zbiera dane osobowe w zasadzie w pełni legalne. Z wyłączeniem zapewne kwestii nadużycia logo firmy Rossmann, ale to już nie nasza sprawa.

Finalna witryna hxxps://rossm.gift-cards.co.pl/ nie zawierała złośliwego kodu. Prowadzi ją legalna firma, z wpisem w KRS, zawierająca na liście swoich PKD również pośrednictwo w sprzedaży miejsca na cele reklamowe. Po dokładnym przeczytaniu regulaminu dowiadujemy się natomiast, że już wchodząc na stronę automatycznie zgadzamy się na jego zapisy. Wśród nich m.in. przekazanie szeregu danych dotyczących naszego połączenia, plus oczywiście wszystkiego, co na niej wpiszemy. Odklikując ostatecznie osiem (!) zgód marketingowych na przetwarzanie i udostępnianie naszych danych oraz ich automatyczne profilowanie, no i oczywiście na otrzymywanie informacji marketingowych, możemy już dołączyć do… konkursu. Konkursu, w którym wygramy bon, jeśli na pytania podane na stronie odpowiemy… najszybciej. Tak – to jest konkurs zręcznościowy!

Dane osobowe – złoto XXI wieku

Skąd oni mają nasze adresy? Z internetu oczywiście. Jak często podajecie w sieci swój adres e-mail? Wystarczy raz, a potem crawlery już zrobią swoje. Kolejny krok to mail taki, jak powyższy, przekonanie nas, byśmy skusili się na darmowy lun… tzn. kupony, a potem – cóż, potem sprzedanie naszych danych, o których coraz częściej mówi się jako o złocie XXI wieku, firmom trzecim. Na co oczywiście też wyrażamy zgodę.

Cóż – choć bardzo bym chciał, nie mogę stanąć na drodze działalności, która w rozumieniu prawa jest legalna, w moim rozumieniu balansuje na cienkiej linii, a Wam pozostawiam odpowiedź na to, jak bardzo etyczne są tego typu działania. Mogę Was jedynie ostrzec, że ryzyko w sieci to nie tylko phishing, wykradający nasze dane dostępowe do kont bankowych, nie tylko wyglądający spektakularnie w mediach ransomware. O ile jestem zdania, że w dzisiejszych czasach pojęcie prywatności już dawno zginęło bolesną śmiercią, wciąż to od nas zależy, ile o sobie ujawnimy. A jeśli chcecie przeczytać więcej na temat tego, co udało nam się znaleźć w związku z kampanią „konkursową” – pozwolę sobie zaprosić Was po sąsiedzku na stronę CERT Orange Polska.

Microsoft i długo długo nic – tak, przynajmniej według badań Vade Secure, wygląda krajobraz ataków phishingowych w skali świata. Choć drugie miejsce zajmuje Netflix, markę producenta najpopularniejszego systemu operacyjnego na świecie atakowano aż 2.3 raza więcej. A jak to wygląda w Orange Polska? O ile sam phishing per se to przede wszystkim „faktury” i „niedopłaty”, to najczęściej atakowanymi markami w 2018 według statystyk CyberTarczy były Rossmann, Microsoft i – tu już bazując na próbkach, a nie surowych danych – dostawcy płatności i usług telekomunikacyjnych.

Jeden login, wiele usług

Skąd czołowe miejsce amerykańskiej korporacji? Przede wszystkim ze względu na popularności i rozległość jej usług, opartych na chmurze obliczeniowej. Korzystacie z konta Microsoft? Jeśli tak, daje Wam ono nie tylko możliwość skonfigurowania „pod siebie” systemu operacyjnego. Pozwala również – a może przede wszystkim – na dostęp do sieciowego dysku i usług, administracji konsolą Xbox, czy wreszcie platformy Office 365. A gdy już uda się dostać tam, przestępcy na długo zaświecą się oczy: pliki, kontakty, Outlook, możliwość zaszyfrowania danych, kradzieży ich, podszywania się pod ofiarę, przejęcia tożsamości, spear phishingu…

Zupełnie inne podejście jest w przypadku Netflixa, na którego ataki wzrosły w grudniu o przeszło 25 procent. Wakacje, odpoczynek, rozsiadamy się na kanapach, wreszcie obejrzymy wszystkie seriale, na które wcześniej nie było czasu… aż tu nagle informacja o problemach z płatnością. Aha, skoro tak, to trzeba się zalogować i wpisać dane karty, prawda? No może niekoniecznie.

Coraz rzadziej klikacie w „dopłaty”

Na naszym rynku sytuacja wygląda nieco inaczej, a najpopularniejszym phishingiem, na poziomie przeszło 46% całości, była witryna hxxp://play.leadzu.com/. Przytaczam najpierw witrynę, bowiem w zależności od tego, czy otworzyliśmy ją na urządzeniu mobilnym, czy komputerze, widzieliśmy informację o przyznanym nam kuponie Rossmanna, bądź nagrodzie od – jakże by inaczej – Microsoftu. Warto jednak zaznaczyć, iż statystyki CyberTarczy wykazują tylko zablokowane próby ataku, a nie liczbę maili, czy SMSów, otrzymanych przez potencjalne ofiary. Stąd brak odzwierciedlenia popularnych w ostatnich miesiącach wiadomości z wymaganiem „dopłaty do rachunku”, adresowanych do klientów operatorów telekomunikacyjnych (w tym Orange Polska), wpływających również na postrzeganie marek dostawców płatności, takich jak np. PayU. Powiązane z tymi kampaniami adresy są blokowane przez CyberTarczę, jednak – na szczęście – coraz częściej jest dla Was oczywiste, że macie do czynienia z atakiem, w efekcie więc kasujecie takie wiadomości, lub wysyłacie do nas.

Co robić?

Na koniec nie może zabraknąć serii rad. Zazwyczaj tych samych, co w każdym tego typu materiale, jednak nie zaszkodzi jeszcze raz je ich sobie utrwalić.

• nie klikajcie w linki, nie otwierajcie załączników (jeśli macie jakiekolwiek wątpliwości)
• przed zalogowaniem do jakiekogokolwiek serwisu sprawdźcie w pasku przeglądarki, czy to na pewno prawidłowy adres
• wszędzie, gdzie się da (np. do konta Microsoft) uruchomcie uwierzytelnianie dwuskładnikowe
• jeśli macie wątpliwości, czy faktycznie musicie coś dopłacić do faktury – zalogujcie się na stronę operatora i sami sprawdźcie
• jeśli dostaliście mail z firmy, której nie jesteście klientami – hmmm, sami wiecie 🙂

Dostaliście w ostatnim czasie taką informację jak na tytułowym obrazku? Najczęściej pojawia się na urządzeniach mobilnych. Jeśli tak, jesteście w godnym towarzystwie, bo wraz z Wami pokazuje się przeszło 100 tysiącom osób w ciągu tygodnia, w samej tylko sieci Orange Polska. I tak – to nie Rossmann to wysłał i nie spodziewałbym się, że zyskacie pieniądze – prędzej je stracicie.

„Lewy” bon z Rossmanna

Witryna hxxp://play.leadzu.com/ to przez ostatnie tygodnie zdecydowany król jeśli chodzi o zablokowane w sieci Orange Polska próby phishingu. Najczęściej pojawia się Wam na urządzeniach mobilnych jako „Bon Rossmann”, ale np. na Windowsie potrafi się przedstawić jako nieokreślone coś „Exclusive for Windows PC”. Autorzy kampanii muszą się mocno starać, bowiem z wynikiem niemal 108 tysięcy „odpukań” przez ubiegły tydzień wyprzedza o wiele długości witrynę z drugiego miejsca, otwieraną „zaledwie” 17 tysięcy razy.

Jeśli jesteście klientami Orange Polska możecie jednak spać spokojnie. Wewnątrz sieci Orange Polska ten i tysiące innych adresów są blackholowane – nie macie możliwości wejścia na witryny rozpoznane jako phishingowe lub serwujące malware, zamiast nich zobaczycie informację z CyberTarczy z adresem właściwej strony (jeśli phishing jest na konkretną markę), bądź informacją, że strona jest „lewa”.

Nie ma darmowych obiadów

O ile obecnie celem kampanii wydaje się być wykradanie danych osobowych, tego typu strony mogą pełnić wieloraką rolę. Teraz kliknięcie „kontynuuj” przekieruje nas do formularza, ale to kwestia chwili roboty i na docelowej stronie może się znaleźć exploit, wykorzystujący podatność przeglądarki i instalująćym nam „niespodziankę”.

Nie bez kozery Mark Twain mawiał, że nie ma darmowych obiadów. Swoją drogą, wiecie skąd to się wzięło? Pisałem o tym już na blogu, ale chyba z pięć lat temu. Twain miał na myśli knajpę gdzieś w USA, w której do „darmowych” obiadów właściciel dodawał przesadnie dużo soli. Było smacznie, ale potem „nie wiedzieć czemu” klientom chciało się pić. Z radością więc płacili za piwo jak za zboże 😉 Pamiętajcie więc, że jeśli „wygrywacie” w konkursie, w którym nie braliście udziału, to coś tu brzydko pachnie… Życzę Wam wszystkim jak najwięcej takich kuponów, ale prawdziwych 🙂