…ani dla nikogo innego. Thermomix, popularny kuchenny – hmmm, gadżet? – jest bohaterem najnowszej, rozkręcającej się na dobre dopiero od kilku godzin, kampanii phishingowej, której celem są polscy internauci!
Zaczęło się od przeglądania jednego z naszych systemów bezpieczeństwa, gdzie trafiłem na podejrzanie brzmiący adres, hxxp://thermomix-wyniki[.]pl (przy publikacji podejrzanych stron przyjęte jest zastępowanie t przez x i „nawiasowanie” kropki, w razie, gdyby ktoś przypadkiem w nie kliknął). Po wpisaniu w wirtualnej maszynie (na wszelki wypadek) zobaczyłem to, czego od początku się spodziewałem:
Niby okno logowania Facebooka, ale spójrzcie na pasek adresu! To nie jest okno logowania do serwisu społecznościowego. Wpisane tutaj login i hasło trafią do przestępców, a my trafimy na:
- jeśli wchodzimy z wirtualnej maszyny – na instalkę TikToka na Google Play (to zaślepka dla automatycznych systemów bezpieczeństwa)
- wchodząc z telefonu – na stronę, która wymaga zgody na pokazywanie powiadomień (niestety nie mam testowego telefonu i na tym kroku poprzestałem)
- a gdy wchodzimy z Orange Polska, zobaczymy ekran CyberTarczy 🙂 (z tymi schematami bardzo dobrze radzi sobie nasza sztuczna inteligencja)
O ile w każdym przypadku tracimy przede wszystkim poświadczenia logowania do Facebooka, doświadczenie mówi mi, że przy wejściu z telefonu (i zgodzie na powiadomienia) zostaniemy zarzuceni reklamami, być może również sugerującymi pobranie złośliwych aplikacji. Sami wiecie – jeśli powiadomień pojawia się multum, w końcu z rozpędu w któreś klikniemy.
Skąd to się wzięło?
No to efekt znamy – pytanie, skąd to paskudztwo w ogóle się wzięło? Skoro efektem końcowym jest logowanie do Facebooka, poszukajmy tego adresu na Facebooku właśnie.
Bingo!
Oszuści wzięli na celownik chyba wszystkie grupy na Facebooku, których tematem jest Thermomix. Po zajrzeniu do jednej z nich widzimy już w pierwszym poście ostrzeżenie zirytowanego admina:
Co poza ostrzeżeniem mamy? Nazwę podejrzanego fanpage’a, rozsyłającego newsa o konkursie! Co istotne, ci wszyscy nieszczęśnicy zablokowani przez admina mogą być Bogu ducha winni! Choć nie – w zasadzie winni, ale nie bezpośrednio. To zapewne nie oni wysyłali te treści na grupę, jednak wcześniej musieli zrobić coś niefrasobliwego, co pomogło oszustom przejąć ich konta. Albo są botami, stworzonymi tylko na potrzeby oszukańczej kampanii.
Zajrzyjmy więc na rzekomy fanpage producenta Thermomix.
Brak jakichkolwiek danych właściciela strony, a spośród 41 obserwujących, większość to nazwiska wskazujące na pochodzenie dalekowschodnie oraz pisane cyrylicą (jeśli wierzyć informacjom osobistym, to głównie osoby pochodzące z Ukrainy). Oszuści nawet się więc przesadnie nie starali, kupując kilku fanów i dodając zapewne kilka przejętych kont. Jedyna treść na fanpage’u, to widoczna informacja. Zastanawiam się, czy literówka w nazwie to przypadek, bowiem w adresie strony słowo „jubileusz” jest już napisane poprawnie.
Co może mi się stać?
Co ciekawe, poza ryzykiem wycieku danych i włączenia podejrzanych powiadomień, gdy analizowałem przypadek, pojawiło się jeszcze jedno ryzyko. Widzicie początek skrótowca na fanpage’u? Po kliknięciu zaprowadził mnie do „lewego” Facebooka, ale gdy wyciąłem tylko początek i rozwinąłem w przeznaczonym do tego serwisie – wszedłem na jeszcze inną witrynę! Co ciekawe, strona jest hostowana w chmurze Google (sites.google.com) – oszuści liczą, że systemy bezpieczeństwa nie zablokują przecież takiego serwisu.
Nie mając już nadziei, że Thermomix padnie moim łupem :), kliknąłem w umieszczony pod obrazkiem przycisk „Pobierz”:
…wybrałem operatora:
I oczywiście nie wpisałem numeru telefonu, bo znam lepsze pomysły na wydanie 14,99 PLN co 7 dni. Gwoli jasności – dostawca wymienionej powyżej usługi też jest w tej sytuacji ofiarą. Jego marka jest bowiem nadużywana, a oszuści liczą… Hmmm, w zasadzie to nawet nie wiem, na co liczą. Ci którzy „sprzedają iPhone’y za cenę wysyłki” przynajmniej dbają o pozory. A ci liczą, że widząc oczyma duszy Thermomix nie zauważę, że tak naprawdę abonuję serwis z grami.
No sorry. Ani ja nie, ani nasi czytelnicy nie 🙂
A korzystając z sytuacji, że już pojutrze ostatnia cyfra roku zmieni się na dwa, przecisnę tutaj jeszcze swoje życzenia, bo na bank pojawią się też blogowe 🙂
Bądźcie bezpieczni, uważajcie w sieci, nie ufajcie przesadnie świetnym okazjom. I bądźcie zdrowi.
