Z pewnością nie raz otrzymaliście podejrzaną wiadomość SMS o dopłacie do paczki, której nie zamawialiście. Gdy tylko ataki phishingowe wracają ze wzmocnioną siłą, informujemy o nich z myślą, że w ten sposób uchronimy chociaż jedną, mniej świadomą osobę przed utratą wszystkich oszczędności. Dlatego też po raz kolejny przypominamy o najczęstszych i aktywnych metodach, jakie oszuści mogą próbować wykorzystać w nadchodzącym roku.
SMS o dopłacie… dla Ciebie
Były już SMS-y o dopłacie za paczkę, a także o nieuregulowanych rachunkach za prąd. Te akurat brzmiały groźnie, bo zapomnieć o płatności łatwo, a nikt nie chce mieć odłączonego dostępu do energii elektrycznej. Ostatnio pojawiły się nawet SMS-y o zawieszeniu subskrypcji do Netflixa, informujące o rzekomej niezgodności danych. Teraz jednak oszuści przyjęli inną, pozytywną taktykę, która może przynieść równie szczęśliwe dla nich skutki.
W swoim najnowszym raporcie zespół CSRIT NASK poinformował o oszustach, którzy podszywają się pod nieistniejący serwis portal.gov.pl. Przychodząca wiadomość jest pozytywna, ponieważ to SMS o dopłacie dla bezrobotnych lub zatrudnionych. Wcześniej istniał też wariant, który miał z kolei dopomóc kredytobiorcom. Kto nie skusi się na darmowe pieniądze, prawda?
Pamiętajcie, nie ma nic za darmo. Gdy wypełnicie wniosek z fałszywej strony Ministerstwa Finansów, otrzymacie kolejną wiadomość, informującą o zatwierdzeniu wniosku. Tam również pojawia się link do nieprawdziwej bramki płatniczej, mający na celu wyłudzić hasło do Waszego konta bankowego. Stąd już prosta droga do utraty oszczędności życia.
Phishing z udziałem wizerunku banków
Inny, również często wykorzystywany sposób na phishing wrażliwych danych, polega na podszyciu się pod jeden z popularnych banków w Polsce. Trzeba jednak oszustom przyznać, że wiedzą, jak dotrzeć do potencjalnej ofiary. Używane są reklamy na Facebooku, reklamy w wyszukiwarkach podszywające się pod bank, wiadomości e-mail lub tradycyjne SMS-y.
Cel jest podobny, czyli wyłudzenie danych logowania do aplikacji banku. Dlatego też, gdy tylko jest możliwe, warto stosować weryfikację dwuetapową. Proces logowania trwa chwilkę dłużej, wszak bank musi wysłać użytkownikowi dodatkowy, jednorazowy kod na numer telefonu. Jest to jednak tak istotna poprawa bezpieczeństwa, że te kilkanaście sekund nie gra wielkiej roli.
Zobacz też: Nie będziesz wiedział, za co płacisz. Rachunki za prąd w 2023 mogą zostać częściowo utajnione
Oszustwa wykorzystujące kody QR
Zupełnie inny schemat oszustw został wycelowany w dzieci i młodzież, która aktywnie korzysta z takich komunikatorów jak Discord. Jest to działanie znacznie bardziej spersonalizowane niż masowa wysyłka wiadomości SMS i e-mail.
Gdy oszust prześledzi aktywność celu, zaczyna atak. Może to być prośba o pomoc finansową dla bliskiej osoby, ale też i zaoferowanie darmowych przedmiotów w grach. Przestępcy zależy na tym, aby ofiara zainstalowała aplikację Wiadomości, dystrybuowaną przez Google w Sklepie Play.
Z samym programem wszystko jest w porządku, lecz to przez nią ofiara może zeskanować kod QR, wysłany przez atakującego. Ten kod służy do sparowania urządzenia przestępcy z naszą aplikacją, przez co ten uzyska dostęp do zapisanych i przychodzących wiadomości, wysyłki wiadomości oraz listy kontaktów.
To oczywiście może prowadzić do wielu stresujących scenariuszy. Kradzież danych logowania do jakiegokolwiek portalu, jeśli wysyłaliśmy komuś np. hasło do Netflixa. Oszust może wykorzystać informacje z wiadomości do szantażu albo na złość powysyłać niebotyczne ilości SMS-ów PREMIUM, za które to my zapłacimy na fakturach od operatora GSM.
Ze wszystkich opisanych oszustw, jest to niewątpliwie najbardziej niebezpieczne, bo i wielowymiarowe działanie. Jeżeli padniemy ofiarą kodu QR i Wiadomości, należy niezwłocznie odłączyć aplikację od sprzętu atakującego, stosując się do instrukcji od Google.
OLX także nie jest bezpiecznym miejscem
Zanim przejdę do uniwersalnych porad, opowiem Wam coś, co mnie spotkało przy sprzedaży jednej z gier na OLX. Otrzymałem pozornie normalną wiadomość, w której kupujący potrzebował mojego adresu e-mail, aby zatwierdzić transakcję. Dla wiarygodności został załączony zrzut ekranu, więc bez zastanowienia wysłałem dane.
Po tym, jak wysłałem rzekomej kupującej swój adres e-mail, otrzymałem wiadomość z informacją o zakupie. Co mi zapaliło czerwoną lampkę w głowie? Brak jednoczesnego powiadomienia na telefonie, ostatnio dużo sprzedawałem na OLX i wiedziałem, że takie musi się pojawić.
Zobacz też: Jak dodać ogłoszenie na OLX za darmo? Instrukcja krok po kroku
Moje podejrzenia potwierdził widniejący w wiadomości e-mail przycisk Otrzymanie zapłaty, jasno wskazujący na fałszywy link z bramką do wpisania danych logowania z banku. OLX już ma moje dane i przesyła płatności przez PayU, więc nie tym razem oszuści!
Jak chronić się przed phishingiem?
Tak jak obiecywałem, na koniec garść uniwersalnych porad, dzięki którym Wasze oszczędności, loginy i hasła będą bezpieczne:
- nie stosujcie jednego hasła do wszystkich kont. Lepsze jest użycie skomplikowanych, różnych fraz. Menedżer haseł w Google Chrome i tak automatycznie je zapamięta i zsynchronizuje ze smartfonem
- tam, gdzie możliwe, korzystajcie z weryfikacji dwuetapowej. Nawet jeśli ktoś zdobędzie Wasze hasło, i tak nie zaloguje się bez kodu z Waszego telefonu
- jeżeli nie jesteście pewnie autentyczności wiadomości SMS, zgłaszajcie je do CSIRT NASK pod numer 799-448-084. Oczywiście, nie klikajcie też w żadne linki od niepewnych nadawców
Te trzy podstawowe rozwiązania sprawią, że Wasze bezpieczeństwo w sieci drastycznie wzrośnie. Lepiej zapobiegać, niż później płakać nad tysiącami złotych przetransferowanych z Waszych kont oszczędnościowych i rozliczeniowych.
źródło: CERT.PL