Bezpieczeństwo

Fałszywa pizzeria, czyli jedzenia nie będzie

4 marca 2021

Fałszywa pizzeria, czyli jedzenia nie będzie

Kolejny dzień home office, kolejna godzina podczas długiego dnia. Właśnie przypominacie sobie, że w zasadzie to nie macie na dziś obiadu. Na ratunek przychodzi pizzeria – pod warunkiem, że nie okaże się… fałszywa!

Prawie jak pizzeria

Z czymś takim spotkałem się po raz pierwszy w mojej bezpieczniackiej karierze. Domenę hxxps://timepizza.fun nasze systemy wychwyciły ze względu na niestandardowo wysoką aktywność połączoną z niestandardową lokalizacją geograficzną. Mnie już samo „fun”, jak każda niestandardowa domena wyższego rzędu, zapala czerwoną latarnię, ale gdy na wirtualnej maszynie wpisał adres, trochę się zdziwiłem:

Wygląda jak pizzeria Papa Johns, ale zatrudniająca tłumacza, który średnio przyłożył się do roboty. Większość po angielsku, część po polsku i jeden językowy potworek „boki”, tłumaczony zapewne bezpośrednio z „side dishes”.

No dobra, to może zamiast marudzić, zamówmy pizzę?

Wygląda dobrze, mamy nawet zniżkę! Schodząc niżej musimy tylko wpisać dane do dostarczenia naszego pysznego, dobrze wypieczonego placka:

Adres wpisałem pierwszy lepszy, bazując na pierwszym kodzie pocztowym, który pojawił się na rozwijanej liście. Czy w Was też zdziwienie wzbudziła „podłoga”? Tak, to bezpośrednia kalka z angielskiego „piętro” (floor). No i informacja o czasie dostawy podana nie wiedzieć czemu po angielsku?

Chcesz płacić kartą, czy… kartą?

Jeszcze tylko wybór, czy chcemy płacić kartą, czy gotówką? Ja wybrałem kartę, bo jakżeby inaczej w czasie pandemii, a dodatkowo już od pierwszej strony widzimy, że płatność kartą wiąże się z 50-procentową zniżką.

No i wpisać dane karty:

W zasadzie wszystko jest dobrze, prawda? Gdyby tylko nie ten adres hxxps://m-order.fun. Największy fun mają przy tym pewnie przestępcy. Co ciekawe, jeśli wybierzemy płatność gotówką, to najpierw pokaże się ostrzeżenie, że tracimy naszą 50-procentową promocję, a potem… i tak przekieruje nas do płatności kartą.

Jak nie paść ofiarą ataku?

Szczerze Wam przyznam, że tego jeszcze nie grali… Fałszywe bramki płatności to hit ubiegłego roku, to fałszywa pizzeria to coś, co spotykam po raz pierwszy. Ciekawe, czy inni oszuści zainteresują się takim podejściem, a jeśli tak – sytuacja może okazać się naprawdę groźna. O ile bowiem na dokładne sprawdzanie witryn banków jesteśmy już wyczuleni, coraz więcej z nas nie daje się też oszukać przy użyciu fałszywych bramek płatności, ale… podszycie się pod taki biznes jak pizzeria? Śmiem stwierdzić, że gdyby przyłożyli się do tłumaczenia, sporo osób mogłoby się na to złapać.

Pamiętajcie zatem, by:

  • gdziekolwiek planujecie dokonać płatności online, dokładnie sprawdzić adres strony
  • zachować szczególną ostrożność, jeśli zobaczycie na stronie szereg widocznych błędów językowych
  • jeśli płacicie online, najlepiej korzystać z witryn, które przekierowują na strony operatorów płatności z odpowiadającymi im adresami (dzięki czemu łatwo je zweryfikować)
  • jeśli macie jakiekolwiek wątpliwości – powstrzymajcie się od płatności!

To nie musi być jedyna pizzeria w sieci.

Udostępnij: Fałszywa pizzeria, czyli jedzenia nie będzie

Bezpieczeństwo

Jak szybko stracić pieniądze – poradnik

21 stycznia 2021

Jak szybko stracić pieniądze – poradnik

Czy są wśród nas ludzie tacy sta… tzn. z takim doświadczeniem życiowym jak ja :), którzy pamiętają, gdy na początku istnienia internetu zachłysnęliśmy się tym, że choć płacimy zań pieniądze, wszystko co znajdziemy, wydaje się być darmowe? Teraz czasy się zmieniły, internet zmonetyzował, ale wciąż wielu z nas szuka w sieci sposobów na… Hmm, nazwijmy to „ominięciem płatności”. A oszustom w to graj.

SMS, czyli niby małe pieniądze

Nieco ponad 28 lat temu, 3 grudnia 1992 pracujący w Vodafone Neil Papworth wysłał swoim kolegom bożonarodzeniowe życzenia SMSem. Wiele wody w – hmmm, Tamizie? – upłynęło, a SMS wciąż trzyma się mocno, choć internetowe komunikatory i coraz śmielej poczynający sobie standard RCS mocno go podgryzają. Fakt, iż SMS jeszcze żyje, wyjątkowo natomiast podoba się oszustom. Jeśli uda im się bez naszej wiedzy (albo z wiarą, że nie dzieje się nic złego) wysłać „nieco więcej” SMSów z naszego konta, rachunki mogą sięgnąć nawet czterocyfrowych. Jakim cudem? Socjotechniką, jak zawsze. Nierzadko nawet bez udziału złośliwego oprogramowania.

Spójrzmy na przykład na stronę hxxp://unlockme247.com

Kto by nie chciał za darmo dostępu do całego cyfrowego multimedialnego dobra? Tym bardziej w czasach pandemii, #stayathome i w ogóle? Przecież mamy to wszystko na odległość kliknięcia, wystarczy puknąć w „Confirm”! A wtedy…

Nie, nie zainstaluje się malware. Nie stanie się nic podejrzanego (a przynajmniej tak mamy myśleć). Jeśli otworzymy witrynę z komputera, zobaczymy biały ekran, bądź przekierowanie na coś mało/w ogóle nie podejrzanego. Celem oszustów są bowiem ci, którzy wchodzą na ich witrynę z urządzeń mobilnych. Zaimplementowanie mechanizmu rozpoznawania urządzenia źródłowego z poziomu strony nie jest żadnym problemem. A gdy spróbujemy potwierdzić z telefonu, zobaczymy coś takiego:

To SMS z rzekomym kodem weryfikacji, wysyłany… nie nie – nie tylko na numer na Tajwanie. Jest ich +/- 20, na testowanych przez nas serwisach były to głównie numery z Wlk. Brytanii (dzięki za Brexit, to lada chwila nie będą tanie rzeczy) i z Tajwanu.

„A teraz odpowiedz na kilka pytań”

Opisywanej powyżej witryny nie testowałem dokładnie, ale w przypadku innej po „wysłaniu” (używałem telefonu bez karty SIM, podłączonego tylko przez WiFi) serii SMSów na ekranie pokazały się pytania. Najpierw o system operacyjny telefonu, potem sposób połączenia (dane/WiFi). W sumie pięć pytań zamkniętych, każda odpowiedź potwierdzana SMSami na te same numery. 100 SMSów to już jest jakiś koszt dla nas, a dla oszustów zysk.

Jaki? Choć nie są to wiadomości Premium, ale nawet te zwykłe, wysyłane na numery zagraniczne, w grę mogą wchodzić podobne pieniądze. Przy Tajwanie i UK może to oznaczać koszt rzędu kilkuset złotych za serię SMSów. Oszust zarabia natomiast na podziale zysków (revenue share) z operatorem, u którego terminuje rozmowy/SMSy (stąd określenie nadużycia mianem IRSF – International Revenue Share Fraud). Zysk na jednym SMSie to średnio 5 eurocentów, ale działa efekt skali. Przy 100 tysiącach naciągniętych na 100 wiadomości każdy robi się z tego pół miliona euro. Co więcej, niektóre smartfony automatycznie przerabiają na MMSa wiadomości wysyłane pod wiele adresów. Terminowanie najkrótszego MMSa to już od 0,18€ dla oszusta, niemal czterokrotnie więcej, niż przy SMSie.

Skąd to się bierze?

Wystarczy wyszukać sieci haseł w stylu „free robux”, czy „watch Netflix for free”. Wodą na młyn oszustów jest wspólna cecha wielu internautów, o której pisałem na początku tekstu: szukanie sposobów na dostęp do treści, za które normalnie trzeba zapłacić pieniądze, czy dostęp do streamów transmisji sportowych. Swoje sieci zarzucają także na dzieci i młodzież, podsuwając „kody” na darmowe pieniądze do mobilnej gry, czy skórki do postaci. Na koniec procesu nie dostajemy oczywiście żadnego kodu dostępu, bądź jesteśmy przekierowywani na witryny z rozwiązaniami, które okazują się darmowe.

Co można z tym zrobić? Z założenia nie ufać szemranym witrynom, proponującym za darmo coś, co normalnie jest płatne. Z własnego doświadczenia wiem, że kody dostępów do serwisów VOD rozdają albo te serwisy, albo duże firmy (np. dostawcy internetu, jak Orange Polska 🙂 ). Moi koledzy z CERT Orange Polska pracują nad tym, by ograniczyć wpływ tego typu kampanii na naszych klientów, ale w tym przypadku akurat nie będę się dzielić szczegółami – naszego bloga może przecież czytać każdy!

Nie dajcie się złapać na takie prostackie chwyty. Nie traktujcie mojego clickbaitowego tytuł przesadnie poważnie 🙂

Udostępnij: Jak szybko stracić pieniądze – poradnik

Bezpieczeństwo

Bitcoiny za darmo? Nie daj się złapać!

7 stycznia 2021

Bitcoiny za darmo? Nie daj się złapać!

Bitcoiny! Wielkie bogactwo, najlepiej bez przesadnie dużego wkładu czasu i energii. Taka perspektywa wielu kusi. Szczególnie w czasach pandemii, gdy wielu traci pracę, bądź staje przed innymi problemami. W takiej sytuacji danie nadziei na błyskawiczny zysk z kryptowalut jest… Cóż, jest przede wszystkim podłe, ale pada na podatny grunt

Bitcoiny dla każdego?

Kiedyś celebryci, a w ostatnich czasach zwykli ludzie. Kasjerka w Biedronce, wielodzietna rodzina, zdarzył się nawet przykład prostytutki. Oni wszyscy potrafili wyjść z życiowych tarapatów, gdy dowiedzieli się o genialnym pomyśle na zainwestowanie niewielkich pieniędzy i milionowych zyskach. Zainwestowanie w bitcoiny, rzecz jasna.

przykład strony z fake news naciągającej na inwestycję w bitcoiny

Na czym to polega? Oczywiście mamy do czynienia z klasyczną socjotechniką, która w dzisiejszych czasach szczególnie ma szansę paść na podatny grunt. Najpierw świecimy w oczy będącym na wyciągnięcie ręki bogactwem na tyle, bo ofiary pewnym krokiem podążyły za latarnią. Następnie pokazujemy już konkretne potencjalne zarobki. Najlepiej wysokie, ale nie ekstremalnie wysokie, tak żeby ostatkiem możliwości poznawczych uwierzyli, że to samo może się zdarzyć również im. A na koniec pokażmy, że wystarczy zainwestować zaledwie kilkaset złotych, by efektywnie pomnożyć je co najmniej w dziesiątki tysięcy.

Chociaż nie, to nie na koniec. Na koniec orientujemy się, że strona zniknęła, firma przestała istnieć, a nasze pieniądze… cóż, jakie pieniądze? A potem firma pojawia się kolejny raz, na stronie z nieco zmienionym adresem. Zdarza się nawet, że „firma” nie zmieniła jeszcze nazwy! Pisałem o tym szerzej jakiś czas temu.

Prowizja za bitcoiny, których nie było?

Opisywanych wyżej stron z fake newsami o metodach na szybkie wzbogacenie widziałem setki, a przez nasze systemy przez miniony rok przewinęły się ich – tak myślę – tysiące, może nawet pięciocyfrowe liczby. W ostatnich dniach dzięki jednemu z internautów trafił do nas jednak jeszcze bardziej wyrafinowany pomysł.

No bo w zasadzie radzenia sobie z fake newsami można się nauczyć. Niektórym przychodzi to wyjątkowo trudno, są tacy, którzy wciąż się łapią nawet na najbardziej prostackie tricki. A co byście powiedzieli na sytuację, gdy oszust do Was… zadzwoni?

Taka sytuacja zdarzyła się jednemu z internautów, który skontaktował się z nami. Do niego po prostu zadzwonił rzekomy „konsultant działu finansów”, przedstawiając się polskim imieniem i nazwiskiem, ale mówiąc z wyraźnym, wschodnim akcentem. Z nie byle powodu – dzwonił ze wspaniałą informacją, jakoby potrzebował tylko numeru konta, by przelać „prowizję za obrót pańskimi kryptowalutami” w wysokości 0,93 BTC. Ktoś z Was by wzgardził? Wg. kursu na dzisiaj to przeszło 135 tysięcy złotych!

Na swoje nieszczęście oszust trafił na programistę. Człowieka, który był świadom, że nie ma żadnego konta w firmie Bitcoin IG, a już na pewno wiedział, że zlecenie przelewu wymaga po prostu adresu konta BTC, a nie… instalacji aplikacji AnyDesk. Aplikacji, która daje atakującemu pełen dostęp do komputera ofiary, włącznie z widokiem tego, co zaatakowany aktualnie robi. Może więc albo namawiać nieświadomego użytkownika do aktywności, związanych z finansami, bądź też po prostu zainstalować złośliwe oprogramowanie pod pozorem rzekomo niegroźnego pliku.

Co zrobić?

Przede wszystkim jeśli chcecie inwestować w bitcoiny, róbcie to samemu. Z własnej woli, sami poczytajcie poradniki lub spytajcie ekspertów (ja się nie na tym np. totalnie nie znam…). Jeśli ktoś usiłuje Wam wcisnąć, że w jego firmie czeka specjalnie dla Was 135 tysięcy… No kurczę, naprawdę byście uwierzyli? No i pamiętajcie, jak przy każdym phishingu – nie łapcie się na prostą socjotechnikę.

I zaglądajcie regularnie na stronę CERT Orange Polska (tam w piątek bardziej szczegółowo opiszę drugą z powyższych historii), a także na naszego CERTowego Twittera. Tam piszę o bezpieczeństwie częściej, niż co czwartek :), a jeśli coś złego się dzieje – ostrzegam na bieżąco.

Bądźcie bezpieczni.

Udostępnij: Bitcoiny za darmo? Nie daj się złapać!

Bezpieczeństwo

Kupujesz przez OLX? Uważaj na oszustwa!

12 listopada 2020

Kupujesz przez OLX? Uważaj na oszustwa!

Przestępcy nie są idiotami. Powtarzam to na tych łamach regularnie, ale to naprawdę ważne. Pamiętajcie, że nie możemy pozwolić sobie na lekceważenie ludzi, którzy chcą nas okraść. Lepiej być gotowym i zakładać, że wiedzą co robią. Lepiej, niż obudzić się z ręką w… smartfonie, pełnym powiadomień o znikających z naszego konta pieniądzach. Tym bardziej, że – czego dowiodę za chwilę – źli ludzie potrafią się dostosować do zmieniających się płynnie realiów.

Zamiast SMSa

Phishing to tak naprawdę drugi etap ataku. Przestępcy chcą nas przekonać do wejścia na spreparowaną przez nich witrynę, czy też do otwarcia załączonego przez nich pliku. Najpierw muszą nam jednak link, czy załącznik dostarczyć. A w tym celu używają wiadomości mailowych. One w tej sytuacji pełnią rolę tego, co w bezpieczeństwie określamy mianem wektora ataku.

Co jednak, gdy z SMSami nie wychodzi tak, jak byśmy chcieli? Gdy narzędzia analityczne wskazują, że do Orange Polska chyba mało co dochodzi, bo konwersja z naszych ataków jest bliska zeru? My z phishingowymi SMSami od jakiegoś czasu radzimy sobie całkiem nieźle, nierzadko zatrzymując kampanie, zanim zdążą się rozkręcić (i blokując strony docelowe rzecz jasna). Więc trzeba wymyślić alternatywę. No to wymyślili.

Na początku chciałem powiedzieć, że to całkiem sprytny pomysł, ale w sumie nie mam pewności. Po pierwsze dlatego, że w SMSie oszust może wykorzystać tzw. nadpis (nazwa, pokazująca się jako nadawca wiadomości), by informacje od niego pojawiały się w tym samym wątku, co prawdziwe. Przy komunikatorze nie dość, że po prostu pojawia się obcy numer, to na dodatek przy pierwszej wiadomości od „obcego” pojawia się wyraźna informacja, że to numer, którego nie mamy w książce, dając możliwość zablokowania, bądź zgłoszenia podejrzanego nadawcy.

Taki OLX, tylko nieprawdziwy

Groźny wydaje się być jednak schemat ataku. Informacja ze screenshotami trafiła do nas od jednego z internautów i wydaje się, iż wymazane na obrazku personalia to dane właśnie tego internauty.

Schemat mógłby wskazywać na to, że przestępca wypatruje w serwisie OLX osób, sprzedających przedmioty o opłacalnej do oszustwa wartości, kontaktując się z nimi jako domniemany kupiec, dołączając link do rzekomej strony OLX. Gdy potwierdzimy chęć odbioru pieniędzy…

…okazuje się, że „Bank Polski” (przestępca pewnie chciał przekazać, że chodzi o skorzystanie z usług polskich banków) nie jest obsługiwany. Pozostaje nam zatem tylko podanie numeru karty, i…

I wiadomo co. Błyskawiczne wyczerpanie jej limitu.

Co zrobić?

Na Waszym miejscu spodziewałbym się, że tego typu ataków może być w nadchodzącym czasie sporo. W ostatnich tygodniu liczba zarejestrowanych domen, podszywających się od OLX, które wyłapaliśmy, o ile dobrze pamiętam, przekroczyła 100. Przede wszystkim więc uważajcie na adresy stron, do których się logujecie. No i pamiętajcie o zasadzie ograniczonego zaufania przy jakichkolwiek transakcjach, związanych z finansami. Nie bez przyczyn serwisu aukcyjne/ogłoszeniowe mają swoje systemy wiadomości. Jeśli rozmawiacie z kupcem wewnątrz serwisu/aplikacji, wszystko jest zapisywane i możecie wyciągnąć konsekwencje albo od nieuczciwego kupca, albo od serwisu.

Nie dajcie się oszukać.

Udostępnij: Kupujesz przez OLX? Uważaj na oszustwa!

Bezpieczeństwo

Komu fałszywą aplikację mobilną?

25 czerwca 2020

Komu fałszywą aplikację mobilną?

To w sumie był całkiem oczywisty krok. Kiedy specjaliści od cyberbezpieczeństwa (wyżej podpisanego włączając), wbijają nam na każdym kroku: „Nie ufaj dziwnym mailom!”, „Nie wchodź na dziwne strony!”, „Nie klikaj w linki w SMSach!”, „Używaj aplikacji mobilnych!” – to nic dziwnego, że coraz więcej z nas się ku rzeczonym aplikacjom mobilnym skłania. A tu – cóż, w to graj przestępcom, którzy… podsuwają nam aplikację mobilną. Swoją, rzecz jasna.

SMSy (nie) od Allegro i InPostu

I pewnie prędzej, czy później, lista firm, których marki przestępcy nadużywają przedłuży się o kolejne (update na samym dole). A to dlatego, że pomysł – to przestępcom trzeba przyznać – jest całkiem niegłupi. Zobaczcie jak to wygląda, na przykładzie scamu na jedną z wymienionych firm.

Zaczyna się od SMSa. W przypadku InPostu standardowego SMSa o umieszczeniu przesyłki w Paczkomacie. Z drobnym dodatkiem – sugestią „aktualizacji aplikacji”. Pomysł z aktualizacją jest niegłupi, bowiem tylko część (mam nadzieję, że mniejsza) użytkowników paczkomatów wciąż korzysta z SMSów, pozostałym ta metoda autoryzacji została ze względów bezpieczeństwa wyłączona, bowiem wybrali aplikację mobilną. Oni na „instalację aplikacji” się nie złapią, ale z aktualizacją może się udać…

Może, bo przy dokładniejszym przyjrzeniu się SMSowi, jest to intryga grubymi nićmi szyta. Nadawca to nie, jak przy poprzednich kampaniach, InPost, więc nowy SMS nie skolejkuje się z poprzednimi (a tak by było, gdyby przestępcy użyli nadpisu z nazwą firmy). Dodatkowo –

witryna inpost.ltd powinna nie tylko podnieść w naszym mózgu czerwoną flagę, a raczej obudzić ubraną w jaskrawy szkarłat orkiestrę dętą pokazującą maksimum swoich umiejętności.

Prawie jak Google Play

Jeśli klikniemy w ten link (zrobiłem to, żebyście Wy nie musieli – z maszyny wirtualnej, rzecz jasna) zobaczymy witrynę udającą całkiem sprytnie Sklep Play. Oczywiście z wyłączeniem adresu, no i wchodząc na nią na telefonie, nie zostaniemy przekierowani do aplikacji sklepu. Nie zapomnijmy też, że klikając w link do „instalacji” zostaniemy poproszeni o zgodę na instalację aplikacji… spoza Sklepu Play. Nie śmiejcie się – są ludzie, którzy dadzą się oszukać, nie każdy jest cyfrowo świadomy na odpowiednim poziomie.

A co jeśli zainstalujemy? Aplikacja – jak zakładam, tego nie testowałem – nie zadziała, ale na pewno zadziała trojan bankowy „Cerberus”.

On wykradnie nasze dane logowania do banku, a w następnym kroku nasze pieniądze.

Uważajmy, co czytamy, uważajmy, w co klikamy. Kilka minut więcej, poświęcone na ostrożność, może nam oszczędzić mnóstwo nerwów i zdrowia.

Update: W momencie pisania tego tekstu pojawiły się dwie nowe „aplikacje” – udające iPKO i Facebooka.

Nie ściągajcie NICZEGO spoza Google Play. W razie wątpliwości – piszcie do nas, na cert.opl@orange.com. Pomożemy, a jeśli faktycznie traficie na scam – Wy też pomożecie, innym internautom.

A po najświeższe bezpieczniackie newsy zaglądajcie na naszego Twittera.

Udostępnij: Komu fałszywą aplikację mobilną?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej