…ani dla nikogo innego. Thermomix, popularny kuchenny – hmmm, gadżet? – jest bohaterem najnowszej, rozkręcającej się na dobre dopiero od kilku godzin, kampanii phishingowej, której celem są polscy internauci!

Zaczęło się od przeglądania jednego z naszych systemów bezpieczeństwa, gdzie trafiłem na podejrzanie brzmiący adres, hxxp://thermomix-wyniki[.]pl (przy publikacji podejrzanych stron przyjęte jest zastępowanie t przez x i „nawiasowanie” kropki, w razie, gdyby ktoś przypadkiem w nie kliknął). Po wpisaniu w wirtualnej maszynie (na wszelki wypadek) zobaczyłem to, czego od początku się spodziewałem:

Niby okno logowania Facebooka, ale spójrzcie na pasek adresu! To nie jest okno logowania do serwisu społecznościowego. Wpisane tutaj login i hasło trafią do przestępców, a my trafimy na:

• jeśli wchodzimy z wirtualnej maszyny – na instalkę TikToka na Google Play (to zaślepka dla automatycznych systemów bezpieczeństwa)
• wchodząc z telefonu – na stronę, która wymaga zgody na pokazywanie powiadomień (niestety nie mam testowego telefonu i na tym kroku poprzestałem)
• a gdy wchodzimy z Orange Polska, zobaczymy ekran CyberTarczy 🙂 (z tymi schematami bardzo dobrze radzi sobie nasza sztuczna inteligencja)

O ile w każdym przypadku tracimy przede wszystkim poświadczenia logowania do Facebooka, doświadczenie mówi mi, że przy wejściu z telefonu (i zgodzie na powiadomienia) zostaniemy zarzuceni reklamami, być może również sugerującymi pobranie złośliwych aplikacji. Sami wiecie – jeśli powiadomień pojawia się multum, w końcu z rozpędu w któreś klikniemy.

Skąd to się wzięło?

No to efekt znamy – pytanie, skąd to paskudztwo w ogóle się wzięło? Skoro efektem końcowym jest logowanie do Facebooka, poszukajmy tego adresu na Facebooku właśnie.

Bingo!

Oszuści wzięli na celownik chyba wszystkie grupy na Facebooku, których tematem jest Thermomix. Po zajrzeniu do jednej z nich widzimy już w pierwszym poście ostrzeżenie zirytowanego admina:

Co poza ostrzeżeniem mamy? Nazwę podejrzanego fanpage’a, rozsyłającego newsa o konkursie! Co istotne, ci wszyscy nieszczęśnicy zablokowani przez admina mogą być Bogu ducha winni! Choć nie – w zasadzie winni, ale nie bezpośrednio. To zapewne nie oni wysyłali te treści na grupę, jednak wcześniej musieli zrobić coś niefrasobliwego, co pomogło oszustom przejąć ich konta. Albo są botami, stworzonymi tylko na potrzeby oszukańczej kampanii.

Zajrzyjmy więc na rzekomy fanpage producenta Thermomix.

Brak jakichkolwiek danych właściciela strony, a spośród 41 obserwujących, większość to nazwiska wskazujące na pochodzenie dalekowschodnie oraz pisane cyrylicą (jeśli wierzyć informacjom osobistym, to głównie osoby pochodzące z Ukrainy). Oszuści nawet się więc przesadnie nie starali, kupując kilku fanów i dodając zapewne kilka przejętych kont. Jedyna treść na fanpage’u, to widoczna informacja. Zastanawiam się, czy literówka w nazwie to przypadek, bowiem w adresie strony słowo „jubileusz” jest już napisane poprawnie.

Co może mi się stać?

Co ciekawe, poza ryzykiem wycieku danych i włączenia podejrzanych powiadomień, gdy analizowałem przypadek, pojawiło się jeszcze jedno ryzyko. Widzicie początek skrótowca na fanpage’u? Po kliknięciu zaprowadził mnie do „lewego” Facebooka, ale gdy wyciąłem tylko początek i rozwinąłem w przeznaczonym do tego serwisie – wszedłem na jeszcze inną witrynę! Co ciekawe, strona jest hostowana w chmurze Google (sites.google.com) – oszuści liczą, że systemy bezpieczeństwa nie zablokują przecież takiego serwisu.

Nie mając już nadziei, że Thermomix padnie moim łupem :), kliknąłem w umieszczony pod obrazkiem przycisk „Pobierz”:

…wybrałem operatora:

I oczywiście nie wpisałem numeru telefonu, bo znam lepsze pomysły na wydanie 14,99 PLN co 7 dni. Gwoli jasności – dostawca wymienionej powyżej usługi też jest w tej sytuacji ofiarą. Jego marka jest bowiem nadużywana, a oszuści liczą… Hmmm, w zasadzie to nawet nie wiem, na co liczą. Ci którzy „sprzedają iPhone’y za cenę wysyłki” przynajmniej dbają o pozory. A ci liczą, że widząc oczyma duszy Thermomix nie zauważę, że tak naprawdę abonuję serwis z grami.

No sorry. Ani ja nie, ani nasi czytelnicy nie 🙂

A korzystając z sytuacji, że już pojutrze ostatnia cyfra roku zmieni się na dwa, przecisnę tutaj jeszcze swoje życzenia, bo na bank pojawią się też blogowe 🙂

Bądźcie bezpieczni, uważajcie w sieci, nie ufajcie przesadnie świetnym okazjom. I bądźcie zdrowi.

„Ci, którzy sądzą, że pieniądz wszystko może, są zdolni wszystko zrobić, by go mieć” – o tym wiedział już Dante Alighieri. W dzisiejszych konsumpcjonistycznych czasach zawsze znajdzie się cel, na który można wydać nasz ciężko zarobiony grosz. A gdyby tak zarobić go… trochę łatwiej? Wietrzycie podstęp, co? I słusznie. Ale o tym za chwilę.

Co robimy, gdy mamy trochę więcej pieniędzy, niż potrzebujemy do codziennego życia, a chcemy mieć ich więcej? Coraz częściej wybieramy drogę inwestycji. Internet bardzo w tym pomaga, zbliżając do nas narzędzia, dla wykorzystania których kilka/naście lat temu musielibyśmy pójść do Specjalnego-Miejsca-Gdzie-Pracują-Fachowcy. No ale skoro sieć daje nam możliwości, to po co tracić czas (i pieniądze)? Przecież w internecie jest tyle stron, na których czeka na nas złota inwestycja!

Inwestycja w kryptowaluty…

No to zastanówmy się nad możliwościami. Może wrzućmy parę groszy w gaz albo ropę? Wszystko nasze, krajowe, nic tylko inwestować! Spójrzcie sami, wcale źle nie wygląda! Prawdziwy film reklamowy Orlenu, logo naszego naftowego potentata, wreszcie informacja jakoby wszystko działo się przy wsparciu Ministerstwa Energii. Brzmi poważnie? Cóż, przynajmniej do momentu, gdy zorientujemy się, że wspominany na stronie resort nie istnieje od 2019 roku, a jego kompetencje podzieliły między siebie ministerstwa Klimatu i Aktywów Państwowych. No i adres, który nie ma nic wspólnego z płocką firmą. Warto jednak zaznaczyć, że w ostatnich dniach często spotykamy też strony, mające nas przekonać do inwestycji w Polską Grupę Energetyczną, z logiem PGE.

Albo kryptowaluty, o. Każdy przecież mówi, że to taka dobra inwestycja! A tu nawet pomogą, za rękę poprowadzą, a nawet będą regularnie podsyłać informacje, jak rośnie moje portfolio! Za parę miesięcy będę jak ta wielodzietna rodzina, czy kasjerka z dyskontu, albo grzmiąca w telewizji Pani Anna. Ci wszyscy, których życie nagle się zmieniło i teraz mogą pozwolić sobie na wszystko!

A może jednak nie? Dobra, co pożartowaliśmy to nasze, pora wrócić na ziemię. Nie ma magii, żeby nasz wkład finansowy uległ szybkiemu pomnożeniu, musimy albo być inwestycyjnymi ekspertami, albo mieć kupę szczęścia. Tymczasem, „inwestując” wg. któregoś z opisanych powyżej modeli, możemy mieć co najwyżej… Cóż, stracić możemy. Tyle dobrego, że relatywnie niewiele.

…ale dla oszusta

Jak wygląda schemat takiego ataku? Na czym zarabiają oszuści? Na naszej niefrasobliwości oczywiście. Jako psychologa z wykształcenia zastanawia mnie też jakim cudem, przychodząc skuszeni na zysk z Orlenem/PGE, w dalszych krokach zakładamy konto na stronach (nierzadko anglojęzycznych!), gdzie o „inwestycji” nie ma już mowy! Docelowo wpłacamy kilkaset złotych (lub równowartość tej kwoty), które lada moment rozrosną się do co najmniej dziesiątek tysięcy PLN. Relatywnie niska kwota ma zmylić naszą czujność, podobnie jak fakt użycia znanych marek (w pierwszym scenariuszu), czy podszywania się pod popularne media (w drugim). I podczas, gdy my oczyma duszy widzimy nasze bogactwo, oszust, zbierając odpowiednio dużą kwotę, faktycznie kupuje kryptowaluty. Tylko, że dla siebie, a strona mająca być gwarancją naszego lepszego życia znika z sieci, by po kilku dniach pojawić się pod innym adresem. I łowić nowe ofiary pragnące lepszego życia.

Nie dajcie się zwieść. Linki do tego typu stron bardzo często znajdziecie w mediach społecznościowych (Facebook, Youtube), czy nawet wśród reklam, serwowanych przez Google. Tutaj wektorem dotarcia jest bowiem płatny ruch, na który przestępcy nie żałują pieniędzy.

Oszuści znowu zaatakowali Wojtka! Znaczy próbowali, ale nasz rzecznik ma… mnie? Trochę żartuję, przede wszystkim ma budowaną przez lata wiedzę, ale nie zmienia to faktu, że z każdą wątpliwością może „uderzać” do mnie. Tak było i teraz.

– Michał, sprzedajemy łóżko na OLX i ktoś właśnie do nas napisał, chwilę po wystawieniu ogłoszenia – zaczął Wojtek. A ja, gdy usłyszałem „OLX” wiedziałem, że może być ciekawie. – Mam mu wysłać łóżko do Sopotu, a on zapłaci. Wysłał już link, ale prosi o numer karty płatniczej, śmierdzi troszeczkę?
– Karty, powiadasz? A jak napisał: wiadomością na OLX, czy WhatsAppem?
– WhatsAppem, a co?

Ano właśnie. Jeśli na początku gdzieś tam delikatnie zza krzaków wychylił się główka pana z czerwoną flagą to teraz już wszystko zaświeciło mi piękną, soczystą czerwienią! Toż o oszustach, piszących przez WhatsApp do sprzedających w OLX piszemy już przynajmniej od kilku miesięcy! Ale jako, iż pokazanie czyjegoś przykładu (a rzecznika to już w ogóle 🙂 ) zdecydowanie bardziej wpływa na wyobraźnię, niż jakiś abstrakcyjny opis, przyjrzyjmy się jak oszuści (nieskutecznie) zaatakowali Wojtka.

Oszuści napiszą WhatsAppem

Zaczęło się od wystawienia przedmiotu i automatycznego potwierdzenia od OLX. Ta informacja zwrotna to jedyna oficjalna korespondencja w całej opisywanej sytuacji. Co ciekawe, w mailu można przeczytać m.in.:

Nie klikaj w żadne linki wysyłane przez nieznajomych poza OLX w SMS-ach czy komunikatorach, np. WhatsApp.

Po czym na telefon, wymieniony w opisie oferty, trafia zapytanie. Przez – jakże! – WhatsApp.

– To był moment, dosłownie kilka minut od publikacji ogłoszenia odezwała się zainteresowana kupnem osoba – opowiada Wojtek. – Bez żadnego dopytywania, od razu chciała rozmawiać o wysyłce – dodaje.

Szajki oszukujące na OLX to wyspecjalizowane przestępcze przedsiębiorstwa. Nie zajmują się „drobnicą”, szukając przedmiotów wystarczająco (ale też nieprzesadnie) drogich, ale też takich, które nie zmieszczą się do paczkomatu. Ja – nawet nie znając schematu tego oszustwa – nie dałbym się przekonać na jakieś kombinacje, gdy po prostu wystarczy włożyć towar do paczkomatu. Pod tym kątem monitorują na bieżąco serwis, robiąc to – na co wskazują statystyki i nasza korespondencja z wieloma ofiarami – z szokująco wysoką skutecznością.

Dodatkowo oszust wymyślił sobie „legendę” – nieco naciąganą – dlaczego nie może ze mną porozmawiać

– zaznacza Wojtek. Spójrzcie na sam dół lewego screenshota. Rzekomy „problem” ze słuchem nie istnieje. OLX-owe szajki atakują nas zza wschodniej granicy, bazując albo na dość podstawowej znajomości języka polskiego, bądź też czasami na gotowych skryptach! Poza tym, żeby przeprowadzić dobrą socjotechniczną manipulację, gdy ofiara nas słyszy, trzeba być naprawdę wyjątkowym fachowcem.

Skąd wiadomo, że to przestępcy ze Wschodu? Często z adresacji ich infrastruktury (z którą się zazwyczaj nie kryją). Zdarza się też, że niedoszłe ofiary, domyślając się oszustwa, w mniej lub bardziej wybredny sposób piszą rozmówcom co o nich myślą. W odpowiedzi dostają pozdrowienia napisane cyrylicą.

Dziwny SMS, czyli „rzuf”

Wróćmy jednak do opisywanego przypadku. Na końcu konwersacji rozmówca napisał o „SMS potwierdzającym”. Faktycznie, przyszedł:

Jeśli komuś do tej pory nie mieniło się czerwienią przed oczami, to teraz już musi. Ale najpierw krótka niby-dygresja (bo tak naprawdę na temat). W jakim słowie w języku polskim można zrobić błąd przy każdej literze? Mnie kojarzy się żółw, z którego (dzieci bywają mocno kreatywne) może nagle wyłonić się „rzuf”.

I właśnie powyższy SMS skojarzył mi się z takim „rzufem”:

• Zamówienie uformowany.
  • Jakie zamówienie, skoro to Wojtek sprzedawał?
  • „Uformowany” nie brzmi dobrze
• Zapraszamy do odebrania kwoty
  • To jakaś totalnie oderwana od polszczyzny forma
• Link oooc.in
  • Nie ma w nazwie ani OLX ani żadnej bramki płatności

No „rzuf”, no…

Prawie jak OLX

Tym bardziej, że po kliknięciu w link (Wojtek lubi chyba żyć na krawędzi 😉 ) w przeglądarce otworzyła się strona olx.pl-otrzymac.work. To też znany numer – na początku coś, co wygląda jak faktyczna domena firmy, a potem – cóż, potem cokolwiek. Nasz mózg, wspomagając się heurystykami, bardzo często podświadomie „odetnie” to, co potem.

– W tym momencie niemal każdego by już oświeciło – wyjaśnia Wojtek. – Po co numer karty? Przecież osoba prywatna nie będzie mi wpłacać pieniędzy na kartę, tylko na konto!

Dokładnie. W tym przypadku akurat nikt nie chce nam niczego wpłacać. Oszuści chcą nam tylko zabrać. W kolejnym kroku padnie pytanie o datę ważności i kod CVV. A potem? Potem pozostanie już tylko spłacać to, co przestępcy wydadzą.

Bądźcie jak Wojtek, nie dajcie się oszukać. Może znacie kogoś, kto ma potencjał, by paść ofiarą takiego oszustwa? Wyślijcie mu wtedy linka do tekstu. Warto też zaglądać regularnie na stronę CERT Orange Polska i CERTowego Twittera, gdzie o bezpieczeństwie w sieci piszemy i ostrzegamy regularnie.

Otwierają szczepienia przeciwko Covid-19 dla wszystkich? Każdy Polak w wieku 18+ będzie mógł „zaklepać” sobie termin? No to szykujmy się nie tylko na odporność populacyjną, ale też na zalew mailowych i SMS-owych oszustw „na szczepionki”. A – jak wskazuje doświadczenie – zyskać odporność na sieciowe ściemy jest niestety dużo trudniej.

Aaaaa szczepionki bez kolejki

Cyberprzestępcy wiedzą, co się dzieje na świecie. Różne rzeczy można o nich powiedzieć, ale jeśli chodzi o trendy, zawsze są na czasie. Otwarcie szczepień dla wszystkich to dla nich idealna okazja. Dlatego gotów jestem postawić spore (choć faktycznie nie wszystkie) pieniądze, że lada dzień do Polaków zaczną przychodzić intrygujące SMS-y…

Czego mogą dotyczyć? Mobilnej aplikacji, pomagającej wyszukać punkty szczepień. Sprawdzenia, kiedy czeka nas szczepienie (po wpisaniu np. PESELU, imienia i nazwiska). Możliwości ominięcia kolejki (po wpisaniu danych osobowych lub ściągnięciu „specjalnej” mobilnej aplikacji). Nie zdziwiłbym się nawet propozycji odpłatnego zaszczepienia, tu akurat dałbym sobie rękę przy samym ramieniu uciąć, że znalazłoby się sporo chętnych. A co łączy te wszystkie (póki co hipotetyczne) tematy? Oczywiście to, że żaden nie będzie prawdziwy.

Łapiemy się na phishingi

Niestety zarówno ogrom phishingowych kampanii, jak i nasze statystyki, wskazują, że wciąż zbyt łatwo łapiemy się na sieciowe oszustwa. Skoro wielu internautów wierzy i instaluje fałszywe aplikacje Inpostu, czy DHL (trwa zakrojona na bardzo szeroką skalę kampania, rozsiewająca bankera Flubot), dlaczego nie mieliby uwierzyć dobrze skrojonej socjotechnicznej bajeczce, gdy może iść o zdrowie, albo i nawet o życie? Olbrzymia liczba blokowanych przez nas phishingowych domen i to, jakich sztuczek próbują oszuści, by oszukać internautów (i operatorów) świadczy o tym, że ten biznes naprawdę piekielnie się opłaca. Naprawdę, skoro raz-dwa w tygodniu na pierwszą linię CERT (a ostatecznie do mnie) trafia mail z prośbą o „odblokowanie tej strony OLX, bo chcę odebrać płatność”, z ewidentnie fałszywym linkiem, to czy na „okazyjne” szczepionki byłoby mniej chętnych? Jak dla mnie – brzmi retorycznie.

Na co uważać?

W dzisiejszych czasach? Na każdego SMS-a z linkiem… Serio, nie mam statystyk, ale jak się zastanawiam nad procentem wiadomości „nie-fałszywych” z linkami to stawiałbym na kilka procent. Może pięć? Tak naprawdę każdy nieoczywisty SMS z łączem hipertekstowym powinniśmy traktować jako niezaufany.

Rejestrujcie się wyłącznie przy użyciu sposobów opisanych na stronie https://www.gov.pl/web/szczepimysie/rejestracja. Jeśli wykorzystujecie w tym celu SMS-y, używajcie wyłącznie numerów podanych na powyższej stronie i pamiętaj, że to z nich dostaniesz informację zwrotną.

Szczepionki to zło? Uwaga na fake newsy!

I – last but not least – nie ufaj plotkom. Szereg rozpowszechnianych w sieci informacji o rzekomej szkodliwości szczepionek i odradzających szczepień to nie tylko głupota, ale także potencjalny element wojny informacyjnej. W ciągu ostatnich lat researcherzy wielokrotnie dowodzili, że pojawiające się w mediach społecznościowych informacje mające potencjał polaryzowania społeczeństwa były tak naprawdę indukowane przez farmy trolli/botów, a ich celem było sianie zaniepokojenia. O ile scamu SMS-owego na wielką skalę jeszcze nie spotkałem, fake newsy niestety są w sieci już od jakiegoś czasu.

Nie bądź ofiarą przestępców, nie bądź pożywką dla fake newsów. A przede wszystkim – bądź zdrowy. Powrót do życia, które będzie można nazwać normalnym, wydaje się być w zasięgu wzroku. Szczepcie się.

Zdjęcie Marco Verch na licencji CC BY 2.0

Kolejny dzień home office, kolejna godzina podczas długiego dnia. Właśnie przypominacie sobie, że w zasadzie to nie macie na dziś obiadu. Na ratunek przychodzi pizzeria – pod warunkiem, że nie okaże się… fałszywa!

Prawie jak pizzeria

Z czymś takim spotkałem się po raz pierwszy w mojej bezpieczniackiej karierze. Domenę hxxps://timepizza.fun nasze systemy wychwyciły ze względu na niestandardowo wysoką aktywność połączoną z niestandardową lokalizacją geograficzną. Mnie już samo „fun”, jak każda niestandardowa domena wyższego rzędu, zapala czerwoną latarnię, ale gdy na wirtualnej maszynie wpisał adres, trochę się zdziwiłem:

Wygląda jak pizzeria Papa Johns, ale zatrudniająca tłumacza, który średnio przyłożył się do roboty. Większość po angielsku, część po polsku i jeden językowy potworek „boki”, tłumaczony zapewne bezpośrednio z „side dishes”.

No dobra, to może zamiast marudzić, zamówmy pizzę?

Wygląda dobrze, mamy nawet zniżkę! Schodząc niżej musimy tylko wpisać dane do dostarczenia naszego pysznego, dobrze wypieczonego placka:

Adres wpisałem pierwszy lepszy, bazując na pierwszym kodzie pocztowym, który pojawił się na rozwijanej liście. Czy w Was też zdziwienie wzbudziła „podłoga”? Tak, to bezpośrednia kalka z angielskiego „piętro” (floor). No i informacja o czasie dostawy podana nie wiedzieć czemu po angielsku?

Chcesz płacić kartą, czy… kartą?

Jeszcze tylko wybór, czy chcemy płacić kartą, czy gotówką? Ja wybrałem kartę, bo jakżeby inaczej w czasie pandemii, a dodatkowo już od pierwszej strony widzimy, że płatność kartą wiąże się z 50-procentową zniżką.

No i wpisać dane karty:

W zasadzie wszystko jest dobrze, prawda? Gdyby tylko nie ten adres hxxps://m-order.fun. Największy fun mają przy tym pewnie przestępcy. Co ciekawe, jeśli wybierzemy płatność gotówką, to najpierw pokaże się ostrzeżenie, że tracimy naszą 50-procentową promocję, a potem… i tak przekieruje nas do płatności kartą.

Jak nie paść ofiarą ataku?

Szczerze Wam przyznam, że tego jeszcze nie grali… Fałszywe bramki płatności to hit ubiegłego roku, to fałszywa pizzeria to coś, co spotykam po raz pierwszy. Ciekawe, czy inni oszuści zainteresują się takim podejściem, a jeśli tak – sytuacja może okazać się naprawdę groźna. O ile bowiem na dokładne sprawdzanie witryn banków jesteśmy już wyczuleni, coraz więcej z nas nie daje się też oszukać przy użyciu fałszywych bramek płatności, ale… podszycie się pod taki biznes jak pizzeria? Śmiem stwierdzić, że gdyby przyłożyli się do tłumaczenia, sporo osób mogłoby się na to złapać.

Pamiętajcie zatem, by:

• gdziekolwiek planujecie dokonać płatności online, dokładnie sprawdzić adres strony
• zachować szczególną ostrożność, jeśli zobaczycie na stronie szereg widocznych błędów językowych
• jeśli płacicie online, najlepiej korzystać z witryn, które przekierowują na strony operatorów płatności z odpowiadającymi im adresami (dzięki czemu łatwo je zweryfikować)
• jeśli macie jakiekolwiek wątpliwości – powstrzymajcie się od płatności!

To nie musi być jedyna pizzeria w sieci.