Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wrocław. Ktoś rozkleja plakaty z takim kodem QR… „zbiór informacji o obywatelach Ukrainy”. Link prowadzi do Proton Drive…
Jeden z czytelników przesłał nam dzisiaj rano takie zdjęcie:
Z ciekawostek – tutaj lokalizacja tego miejsca na Google Street View:
Gdzie prowadzi QR kod? Do adresu: drive.proton[.]me (usługa storage cloudowego od Protona). Tam z kolei plik .doc: oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc wyglądający mniej więcej tak:
Czy plik jest złośliwy? Wygląda na to, że nie. Rozmawialiśmy również z CERT Polska, który zaznaczył że przynajmniej wstępna analiza nie wskazuje złośliwości pliku (chociaż wiadomo, absolutnej gwarancji nie można dać).
Nota bene, co dopiero pisała o tym pliku Zaufana Trzecia Strona, ale podając e-maile jako źródło dostarczenia. Przy okazji – treść „naszego” pliku i wersji „z Zaufanej” jest w zasadzie taka sama, różnią się tylko drobne detale.
Wracając do QR kodów, dzisiaj o problemie informował również Urząd do Spraw Cudzoziemców, jednak na Twitterze prezentują okaz nieco inny niż nasz:
Dziwne jest też to, że w zasadzie w całej historii nie pojawia się sugestia gdzie ewentualnie taki wypełniony dokument wysłać. Jest to więc zapewne próba dezinformacji / szerzenia zamieszania.
Jeśli macie inne pomysły w temacie o co tutaj może chodzić – dajcie znać w komentarzu. A jeśli zobaczyliście taki ~plakat w swoim mieście, napiszcie do nas.
~ms
Hehe, jestem jednym z takich cudzoziemców i już od długiego czasu dzwonią do mnie regularnie scammerzy. Nie wiem skąd mają moje imię i nazwisko, przedstawiają się bankiem PKO (w którym nigdy nie miałem konta) i mówią (w języku wyłącznie rosyjskim) że „była złośliwa operacja na koncie, że może ktoś go przejął i że trzeba potwierdzenie kto tera to konto kontroluję”. Jak to zrobić? Jest bardzo prosty sposób „it dział Banku wbił mi w appke banku we wkładcę BLIK specjalny kod, który muszę powiedzieć i dalej nacisnąć potwierdzam”.
Do mnie dzwonią ci sami, ale mówili też po ukraiński i nie mówili na ukraiński manier. Ich rosyjski to raczej z mocnym ukraińskim akcentem.
Gratuluję pięknej Polszczyzny! Gdybyś nie powiedział że jesteś cudzoziemcem, to bym się w życiu nie zorientował (chyba że w normalnej rozmowie, bo akcent zawsze zdradzi).
A co do meritum, no to straszne jest. Ja ze swojej strony pomagam w ten sposób że jeśli znajduję tego typu plakaty to zrywam, drę na strzępy i wyrzucam (oczywiście po uprzednim sprawdzeniu czy to nie jest prawdziwa oferta pomocy, żeby nie szkodzić).
Czyli nieco ulepszona wersja scamu, który nie raz był już na youtube komentowany. Tym razem dzwonią do obcokrajowców, gdyż wtedy rozmowa całego działu, który korzysta jedynie z języka rosyjskiego, wydaje się mniej podejrzana.
Wczoraj widziałem jak rozwieszali te ulotki jednak nie zwróciłem zbytnio na to uwagi jednak miałem wrażenie, że porozumiewały te osoby w języku ukraińskim
Jeśli nie zwracałeś zbytnio uwagi to jest szansa, że mogli to być rosjanie mówiący tak, by otoczenie miało wrażenie, że to ukraiński (bez wsłuchiwania się, łatwo się pomylić).
Inna sprawa, że ta akcja świetnie się wpisuje w doktrynę działania służb federacji rosyjskiej.
To nie byli Rosjanie tylko od Bandery
A Ty pewnie od Mussoliniego?
Maks miał wrażenie więc też sieje dezinfo. A odróżniłby rosyjski od ukraińskiego?.
Z pewnością to trolowa robota.
a to nie jest kwestia w przekierowaniu?
zawsze taka sama odpowiedź http jest?
może filtruje pytających? (rzuciłem tylko „okiem” z webowego http header chceck’a, dawno nie używałem do niczego więcej niż sprawdzanie „301”, może „czeka” na jakiś „refresh” cache… na. svg w faviconie :P ) :)
Dokładnie.. Nie przywiązywałbym wagi tutaj do samego pliku, ale właśnie do łańcucha żądań HTTP :)
Cześć,
Kraków, 1 sztuka – ul. Królewska ( słup przy Rossmann), 3 sztuki – Głowackiego (słupy przy Uniwersytecie Pedagogicznym). Już zerwane. Wyglądały jakby późno w nocy / rano ktoś nakleił
Przygotowanie do czegoś większego?
Zbieranie IP, ID sprzętu?
Omijam qr szerokim łukiem.
Albo zwyczajne wyłudzenie danych osobowych. PDF-y mają skrypty (tak samo jak i dokumenty MS Word) więc możliwe że jeśli ktoś próbuje wypełnić ten dokument to wszystko jest wysyłane na żywo do przestępców.
Czy nie jest to tzw. „czujka”?
Skąd się właściwie mogła wziąć?
Kto stoi za rozwieszanie ?
Czy osoby rozwieszające liczyły na rozgłos i zainteresowanie specjalistów?
W Krakowie to nie jest pierwsza tego typu rozwieszona informacja (zaginięcie osoby, kociaka itp. czasem oczywisty cel rozwieszenia, czasem wręcz dziwna sytuacja…).
Mam nadzieję że cała ta sprawą dąży do czegoś dobrego… Jednak mam więcej wątpliwość…
Zbierają dane w potem właśnie dzwonią i próbują wkręcać ludzi i wyłudzać kasę. To Ruskie trole – jak zwykle.
Sam URL jest hasłem do archiwum. Hasłem które wszyscy dookoła uwiecznili w internecie za free
Czy nie powinno się na zdjęciu w artykule unieczytelnić niebezpieczny kod QR?
Można było przeskanować to malwarebytem albo virustotal i byście wiedzieli czy nie jest to plik złośliwy zawsze coś
Czy tylko ja mam wrażenie, że większość komentarzy pod tym wpisem to albo trolle albo jakieś biedniejsze AI pisze?
Dzisiaj pojawił się wątek na Twitterze dotyczący akcji w Łotwie https://twitter.com/Cen4infoRes/status/1618592711442927617
Może coś podobnego?
Póki co w statystykach pospolitych przestępstw popełnionych przez obcokrajowców w Polsce prowadzą Ukraińcy.