Przegląd ataków na polskich internautów (27.09–3.10.2021 r.)

We wpisie prezentujemy wybrane ataki na polskich internautów (zobaczcie też zestawienie z zeszłego tygodnia). Wpadła Wam w oko złośliwa kampania? Komentujcie lub piszcie na sekurak@sekurak.pl. Poprzednie przeglądy:

• 6–19.09.2021
• 20–26.09.2021

Atak tygodnia: Telefony z „działów bezpieczeństwa” banków. Schemat oszustwa jest niezmienny od miesięcy, tzn. cyberprzestępca twierdzi, że ktoś wykonał nieautoryzowany przelew z konta bankowego. W dalszej kolejności podejmowane przez niego kroki są podobne do ataku z użyciem AnyDesk, którego nagranie posiadamy. Należy zwracać szczególną uwagę na aplikacje tego typu. To przydatne narzędzia, wykorzystywane m.in. przez pomoc techniczną świadczoną przez prawdziwe firmy, ale w przypadku przestępcy po drugiej stronie dają bezpośredni dostęp do urządzenia. Krótki opis rozmowy pojawił się w facebookowej grupie Sekurak.

Innym sposobem oszustwa może być fałszywa aplikacja bankowa, o czym pisaliśmy w zeszłym tygodniu.

Oszustwo „na amerykańskiego żołnierza”. Ponownie standardowy schemat, w którym rzekomemu żołnierzowi brakuje pieniędzy na podróż do Polski. Ofiary, zafascynowane znajomością z „Amerykaninem”, przekazują często ogromne ilości pieniędzy. W opisywanym przypadku do kobiety napisał również „agent FBI”. Poszkodowana straciła prawie 200 tysięcy złotych. Źródło: policja.pl.

Fałszywe programy inwestycyjne. W ubiegłym tygodniu opisywaliśmy podobny atak wykorzystujący wizerunek PKP Intercity. Tym razem działania przestępców skupiły się na firmie ORLEN i telewizji TVN24. Aby nie zostać oszukanym, przede wszystkim powinniśmy weryfikować domenę. Pinionflowcharts[.]info czy Dkvapitest[.]com zdecydowanie nie należą do oficjalnych adresów. Poza tym każdy realny program inwestycyjny zostałby ogłoszony przy użyciu oficjalnych kanałów. Źródło: CSIRT KNF.

Fałszywa strona ING Bank Śląski. Jak można się domyślić, w tym przypadku po podaniu danych do bankowości internetowej zostaną one przesłane do przestępców. Prawdziwą stronę banku najlepiej dodać do zakładek w przeglądarce, ale nawet otwierając ją tylko z poziomu zakładek, należy zawsze sprawdzać domenę. Złośliwe oprogramowanie może modyfikować dodane wpisy, ponieważ są zapisane w zwykłym pliku w jawnej postaci. Źródło: Threat Labs.

Złośliwy SMS informujący o rzekomym zwrocie podatku PIT 37. Po kliknięciu skróconego linku ofiara jest przenoszona na nieprawdziwą witrynę Poczty Polskiej, która wykrada dane dostępowe do bankowości internetowej. Link został skrócony w usłudze Bitly.com, która ma tę cechę, że po dopisaniu „+” i wejściu w odnośnik możemy łatwo zweryfikować, gdzie nastąpi przekierowanie. Oficjalne SMS-y nie powinny zawierać skróconych linków i zwrotów w stylu „Pobierz teraz”. Źródło: CSIRT KNF.

–Michał Giza