Dzwoni do Ciebie numer zza granicy? ,,Dodaj mnie na WhatsApp’’ – nowa kampania phishingowa

W ostatnich dniach obserwujemy nową kampanię cyber zbójów. Schemat, który zaraz Wam opiszemy nie odbiega za bardzo od innych tego typu, ale tym razem skala działania jest naprawdę imponująca i pojawia się kilka ciekawych elementów.

Dużo osób (w tym ekipa sekurak.pl) dostaje połączenia z zagranicznych numerów (kierunkowe, np. +44, +36), po odebraniu odtwarzane są komunikaty ,,Cześć, proszę dodaj mnie na WhatsApp’’, „Dostaliśmy Twoje CV. Dodaj numer do WhatsApp”. Komunikaty są nagrane po polsku, co sugeruje targetowany atak na nasz kraj.

Przychodzą też wiadomości iMessage.

Sprawdziliśmy, co dzieje się dalej. Po napisaniu na WhatsApp pada ponownie propozycja super płatnej pracy, ale żeby ją otrzymać trzeba dodać atakującego na Telegramie. W niektórych przypadkach jest jeszcze prośba o polubienie aukcji na Allegro. Prawdopodobnie w celu wypozycjonowania oferty jako lepiej wypromowaną, czyli łatwiejszą do kliknięcia przez ofiarę.

,,Kliknięcie serduszka’’ może służyć jako sposób na uprawdopodobnienie oferty. Rzeczywiście wykonujemy jakąś ,,pracę’’ i zapłata się należy. 

Dalsza komunikacja wygląda, jak poniżej.

Jak widzicie na powyższych screenach kontakt kierowany jest na Telegram. Następnie pada prośba o podanie danych konta bankowego.

Po co? Żeby mogli natychmiast przesłać nasze ciężko zarobione 20 złotych prowizji (nie wiemy, czy to robią i nie polecamy sprawdzać, bo przyjęcie środków z przestępstwa może być bardzo źle widziane przez organy ścigania). A tak serio, może tu chodzić o zbieranie danych pod kolejne kampanie phishingowe. Im więcej wiedzą, tym lepiej celują kolejne ataki i brzmią bardziej autentycznie. Po rozwinięciu relacji może też paść prośba o instalację aplikacji ,,do zarabiania’’. Tak naprawdę dalsze kroki są ograniczone wyłącznie kreatywnością cyber zbója i podatnością ofiary.

Na X Cashify.eu wrzuciło opis nieco podobnego ataku, gdzie również mamy do czynienia z połączeniami z zagranicznych numerów. Celem jest przejęcie konta ofiary na Telegramie.

Źródło: https://x.com/CashifyEu/status/1907819131404980287?t=UfjPStSxgQCtnTV4Bs52aA&s=19

Jeden z uzytkowników LinkedIna udostępnił na portalu wiadomość, którą otrzymał od CERT Polska, po zgłoszeniu podejrzanych połączeń telefonicznych.

Ostrzeżcie o ataku swoich bliskich. Kampania realizowana jest na bardzo szeroką skalę, więc takie połączenie mógł otrzymać każdy, np. Twoja babcia.

W przypadku ataku z włamaniem na pocztę głosową, tak jak wspomniało Cashify.eu na X, warto zmienić hasło na unikalne albo wyłączyć tę funkcję, jeśli jej nie używamy.

Wiadomości SMSowe możecie zgłaszać do CERT pod numerem 8080.

A wszystkie inne incydenty pod linkiem https://incydent.cert.pl/#!/lang=pl

~Natalia Idźkowska