W ostatnich tygodniach miały miejsce kolejne ataki phishingowe na największe firmy usługowe w Polsce, m.in. banki i operatorów. Poza fałszywymi mailami pojawiają się też oszustwa SMS-owe.

Phishing czyli co?

Są to wiadomości e-mail rozsyłane masowo, do jak największej liczby odbiorców. Przestępcy podszywają się w mailach rozsyłanych losowo pod znaną markę. W wiadomości znajduje się link do fałszywej strony, na której wyłudzane są wrażliwe dane (np. login i hasło, kody autoryzacyjne, dane karty kredytowej itp.). Zazwyczaj wizualnie fałszywa strona nie odbiega od oryginału. Funkcjonuje om też w wersji mobilnej tzw. (smishing) – rozsyłane są SMSy z linkiem do fałszywej strony.

Skąd przestępcy znają nasz adres e-mail? Czy wyciekł z banku?

Baza adresów e-mail kompletowana jest poprzez sczytywanie udostępnionych w internecie adresów (robią to tzw. „web spiders”), wycieki z baz danych użytkowników różnych serwisów, np. społecznościowych, czy też złośliwe oprogramowanie przechwytujące książkę adresową programu pocztowego. Zajmują się tym wyspecjalizowani właśnie w tym obszarze przestępcy.

Skąd wiedzą że jesteśmy klientem konkretnego banku?

Nie wiedzą, nie ma takiej fizycznej możliwości. Wiadomości wysyłane „na oślep”, na masową skalę. Im większa marka, tym większe prawdopodobieństwo, że trafią na klienta danej instytucji.

Kolejny atak na klientów mBank

Jak poinformował mBank na skrzynki pocztowe rozsyłane są maile z fałszywą wiadomością. W mailu pojawia się informacja o natychmiastowej blokadzie rachunku w mBanku z uwagi na nieautoryzowany dostęp do konta. Odbiorca maila proszony jest o zalogowanie się na jedną z dwóch stron podanych w linku w celu uwierzytelnienia posiadacza rachunku.

Fałszywa wiadomość ma na celu wyłudzenie identyfikatora i hasła do systemu transakcyjnego, a także danych kart płatniczych i haseł SMS. Wiadomości mogą być zatytułowane: Weryfikacja rachunku mBank S.A. oraz Autoryzacja konta mBank S.A. Zawarte w mailu linki przekierowują do fałszywej strony podszywającej się pod serwis mBanku, co łatwo sprawdzić po braku szyfrowanego połączenie z serwerem i powiązanym z tym brakiem poprawnego certyfikatu (do sprawdzenia w miejscu zaznaczenia). Po wprowadzeniu loginu oraz hasła przez klienta na fałszywej stronie, klient jest proszony o podanie danych karty płatniczej (nr karty, data ważności oraz kod CVV).

Po przejęciu w ten sposób danych, przestępcy logują się do serwisu transakcyjnego mBanku, podszywając się pod klienta. Następnie zlecany jest w jego imieniu i z jego rachunku przelew. Klient otrzymuje na fałszywej stronie kolejny komunikat z prośbą o podanie hasła SMS, jakie przed chwilą otrzymał. Efektem tego jest wyprowadzenie środków z kont klienta.

Pamiętajmy, że bank nigdy nie poprosi o podanie kodów autoryzacyjnych podczas logowania do serwisu transakcyjnego. Jeśli klient otworzył wiadomość, kliknął link i wpisał dane, jak najszybciej należy się skontaktować się z bankiem oraz zmienić hasła dostępu.

Ransomware czyli kolejny etap ataku

To malware (skrót od “malicious software” - uważany za uciążliwy lub szkodliwy typ oprogramowania, który ma na celu potajemnie uzyskać dostęp do urządzenia bez wiedzy użytkownika) który po infekcji blokuje dostęp do plików lub do całego urządzenia.

W zamian za odblokowanie dostępu przestępcy żądają opłaty. Obecnie najczęstszym ransomware są „lockery” i „cryptery” szyfrujące pliki. Tego typu zagrożenie zaczyna pojawiać się również na urządzeniach mobilnych i innych systemach operacyjnych niż Windows.

Klienci Play zaatakowani

To również nie pierwszy atak phishingowy w celu wyłudzenia pieniędzy. Ale jak poinformował rzecznik Play tak naprawdę w całej tej akcji nie chodzi o wpłatę na konto oszusta, ale coś zdecydowanie poważniejszego. Mail zawiera wirusa. „Trojan-Downloader.JS.Agent” – jest to program, który służy do pobierania na zainfekowany komputer dalszych niebezpiecznych narzędzi, np. oprogramowania ransomware, które szyfruje dane ofiary i żąda zapłacenia okup za przywrócenie dostępu.

Jak rozpoznać fałszywą fakturę? Zacznijmy od nadawcy – nadawcą nie jest Play i to już powinno was uczulić na taką wiadomość.Najważniejsze to adres z którego wysyłane jest e-awizo. W Play jest to zawsze bezpieczna domena awizo@mojefinanseplay.pl.

Ponadto e-awizo w Play zawiera podpis cyfrowy w standardzie S/MIME, który gwarantuje zabezpieczenie przed sfałszowaniem wiadomości. Jakakolwiek zmiana dołączonego dokumentu lub treści e-awizo spowoduje, że podpis nie będzie się zgadzał w programie pocztowym. Pamiętajmy też, że firmy nigdy nie wysyłają plików ZIP. Faktury to tylko pliki wyłącznie w formacie PDF.

Orange i fałszywe usługi premium

Na blogu Orange proceder opisał Michał Rosiak. Do klientów Orange wysyłane są smsy informujące o włączeniu usługi Premium. Aby z niej zrezygnować należy odpowiedzieć na smsa. Jednak z pewnością będzie on bardzo kosztowny. „Jeśli dostaliście bądź niebawem dostaniecie takiego SMSa, , od nadawcy "INFORMACJA" bądź "INFORMATOR" - absolutnie na niego nie odpisujcie. To nie jest wiadomość od nas i jej jedynym celem jest wyciągnięcie od Was kasy. Być może sporej kasy. Według naszych informacji od wczoraj bardzo wielu z Was znalazło się w polu zainteresowania cyber-przestępców – stwierdził Michał Rosiak.
Orange ostrzega i informuje: Nigdy nie włączamy płatnych usług bez zgody klienta, praktycznie wszystkie nasze usługi mają darmowe okresy próbne. Jeśli dostajecie SMSa dotyczącego jakiejkolwiek usługi, nigdy nie zostanie określona jako enigmatyczna "usługa premium". SMS tego typu zawsze będzie oznaczał próbę oszustwa. Prześlijcie tę informację swoim bliskim, uczulcie ich na tego typu wiadomości, tym bardziej, że mam przeczucie graniczące z pewnością, że ta akcja nie dotyka tylko klientów Orange Polska. Tym z naszych klientów, którzy nieopatrznie dali się złapać na podstęp przestępców, pieniądze zostaną zwrócone – zapowiedział Rosiak.

Oprac. TJ