Przegląd ataków na polskich internautów (20–26.09.2021 r.)

We wpisie prezentujemy wybrane ataki na polskich internautów (zobaczcie też zestawienie z zeszłego tygodnia). Wpadła Wam w oko złośliwa kampania? Komentujcie lub piszcie na sekurak@sekurak.pl.

Fałszywa aplikacja mObywatel. Niektóre osoby otrzymały SMS informujący o rzekomej wygranej w „Loterii Narodowej”. Zamieszczone linki prowadziły do strony wyniki-loterii[.]net, która sprawia wrażenie prawdziwego Google Play i nakłania do zainstalowania fałszywej i złośliwej aplikacji mObywatel (trojana bankowego Cerberus). Osobom mniej zaawansowanym technicznie zaleca się blokadę instalowania aplikacji z innych źródeł. Poza tym kiedy przy użyciu smartfona z Androidem wejdziemy na stronę play.google.com, pojawi się komunikat o możliwości skorzystania z aplikacji Google Play. Tutaj takiego nie ma.  Źródło: Niebezpiecznik.

Kolejne oszustwa związane z bitcoinem i AnyDesk. Tym razem przestępcy ukradli ponad pół miliona złotych od 63-latka. Pisaliśmy o tym na Sekuraku; szczególnie polecamy zapoznanie się z tym filmem. Grzegorz, korzystając z maszyny wirtualnej z Windowsem oraz „lokalnego” serwisu bankowego (tak naprawdę to plik graficzny), wchodzi w interakcję z oszustami.

Prosta kampania phishingowa/malware. Na Facebooku pojawiła się reklama bardzo podejrzanej aplikacji (prawie „darmowe” pieniądze, bo jest „kaucja” wynosząca 90 zł). Prawdopodobny scenariusz wygląda tak, że nieświadomy użytkownik podaje dane logowania do bankowości internetowej i jest okradany. Źródło: post w grupie Sekurak.

Oszustwo na portalu Vinted. Schemat jest identyczny jak w przypadku dobrze znanych oszust w serwisie OLX. Zawsze należy sprawdzać zawartość paska adresu. Co prawda nie jest to idealne zabezpieczenie; wystarczy edytować plik hosts i pod dowolną domenę można przypisać adres IP należący do atakującego. Nie warto przywiązywać zbyt dużej wagi do „kłódki”, ponieważ każda publiczna domena może posiadać certyfikat SSL. Źródło: CSIRT KNF.

Fałszywe zapytanie ofertowe. Treść jest napisana całkiem dobrze – z wyjątkiem ostatniego zdania. Ofiara myśli, że załącznik to plik Excela (o specyficznej nazwie, która powinna zwrócić uwagę), a tymczasem po próbie otwarcia następuje pobranie malware NanoCore z serwerów Discorda. NanoCore to RAT (Remote Access Tool), czyli złośliwe narzędzie pozwalające na przejęcie kontroli nad zainfekowanym systemem. Użycie domeny należącej do Discorda umożliwi ominięcie blokady np. przez firmowe zapory. Dopiero antywirus (o ile jest aktywny i aktualny) ma szanse powstrzymać atak. Przestępcy ciągle zmieniają firmy, pod które się podszywają – co stanowi dodatkowe utrudnienie w rozpoznaniu, że mogliśmy paść ofiarą oszustwa. Źródło: CSIRT KNF.

Fałszywa informacja o zawieszeniu konta Netflix. Atak wyjątkowo słabo dopracowany, bo domena nadawcy raczej nie należy do Netflixa, tak samo „nazwa” nadawcy, czyli Netfłix  PŁ. Po kliknięciu czerwonego przycisku następuje przekierowanie do fałszywej strony podszywającej się pod Netflix. Kolejny raz przypominam o konieczności sprawdzania paska adresu. Źródło: CSIRT KNF.

Atak tygodnia: Fałszywe powiadomienia SMS o skierowaniu na kwarantannę. Przestępcy wykorzystali do ataku fakt rosnącej liczby zakażeń. Dzięki przesłanym na grupę Sekuraka postom wiemy, że skrócone linki były różne, ale wszystkie prowadziły do fałszywej strony aktualizacji Adobe Flash Player. Pole ataku ograniczało się do urządzeń z systemem Android. Pod pozorem Flash Player instalowany był trojan Cerberus. Pisaliśmy już o tym na Sekuraku. Źródło: post w grupie Sekurak.

Fałszywy program inwestycyjny PKP Intercity. Schemat jest standardowy, tzn. podajemy kontakt do siebie i rzekomo powinniśmy oczekiwać na połączenie od „osobistego menedżera”. Poniższy komunikat pojawia się po procesie rejestracji. Źródło informacji: CSIRT KNF.

–Michał Giza