Zarys osoby w kapturze pracującej przy komputerze, na ekranie widoczna fałszywa strona Spotify z komunikatem o błędzie płatności i stemplem "OSZUSTWO".
LINKI AFILIACYJNE
Tech

Uwaga na fałszywe Spotify. Można łatwo stracić pieniądze

4 minuty czytania
Komentarze

Cyberprzestępcy co i rusz pokazują, że nowe metody na oszustwa po prostu się nie kończą. Teraz w sieci trafić można na fałszywe Spotify, przed czym ostrzega CERT Polska. Witryna i wiadomość e-mailowa mogą łatwo uśpić waszą czujność.

Sprawdź jak lepiej możesz chronić swoje dane na smartfonie

Nie daj się nabrać

Oszustwo na Spotify. Zrzut ekranu e-maila z przypuszczalnie fałszywym ostrzeżeniem o nieudanej płatności subskrypcji Spotify, zawierającym logo Spotify i tekst po polsku. Pośrodku znajduje się czerwone stemplowanie słowem "OSZUSTWO".
Fot. CERT Polska / Facebook

W pędzie codziennego dnia możemy nie skupiać się do końca nad tym, w jakie linki klikamy. Każdy z nas odbiera sporo wiadomości – zarówno SMS-owych, jak i e-mailowych – z pośpiechu łatwo zapomnieć o ostrożności. A to błąd i prosta droga do utraty oszczędności. Czasem nawet świadomość zagrożeń nie wystarczy, o czym przekonałam się sama, kiedy prawie zostałam ofiarą spoofingu przez telefon. Kobieta, która rozmawiała ze mną przez ponad 30 minut, niemal przekonała mnie do przesłania kilku tysięcy na… fałszywe „obowiązkowe” szkolenie przeciwpożarowe.

Pomyłka może zdarzyć się każdemu, ale ważne, aby nie tracić czujności, zwłaszcza podczas wykonywania rutynowych działań, takich jak robienie przelewów. CERT Polska (ang. Computer Emergency Response Team – zespół reagowania na incydenty komputerowe) ostrzega przed nowym typem oszustwa – fałszywe Spotify polega na ataku, w którym oszuści podszywają się pod popularny serwis muzyczny. I zamiast cieszyć się ze Spotify Premium za darmo w ramach różnych promocji i kodów rabatowych, możemy uszczuplić swój budżet i sprawić, że nasze dane wpadną w niepowołane ręce.  

Jak przestępcy oszukują na fałszywe Spotify?

Ataki phishingowe na fałszywe Spotify przyjmują różne formy, mając na celu wyłudzenie od użytkowników danych logowania oraz informacji płatniczych. Jedna z metod opiera się wysyłaniu e-maili z fałszywymi informacjami o problemach z płatnością za subskrypcję Spotify. Odbiorcy takich wiadomości są powiadamiani, że ich transakcja nie została zrealizowana, w związku z czym wstrzymano subskrypcję Premium.

Fałszywe Spotify. Strona internetowa przedstawiająca fałszywy formularz płatności Spotify z wyraźnie widocznym czerwonym stemplem "OSZUSTWO" nałożonym na obraz ekranu.
Fot. CERT Polska / Facebook

Trwa kampania mailowa wykorzystująca wizerunek Spotify. Celem są Wasze dane – hasło i login do konta, ale też informacje o karcie płatniczej. Zachowajcie ostrożność i pamiętajcie, że takie wiadomości możecie zgłaszać do nas. Dzięki temu możemy skuteczniej Was ostrzegać!

CERT Polska w komunikacie na Facebooku

Aby przywrócić usługę, użytkownicy są proszeni o kliknięcie przycisku „Odzyskaj Premium” i zalogowanie się na fałszywej stronie przypominającej Spotify, gdzie mają podać swoje dane logowania oraz zaktualizować informacje o płatności, w tym numer karty kredytowej i kod CCV. Kliknięcie „Zakończ” powoduje przekierowanie na stronę z błędem 404, co może zmylić użytkownika i sprawić, że nie zorientuje się on od razu w oszustwie​.

Oszustwo na Spotify – inne metody

To niejedyne oszustwo wykorzystujące wizerunek marki Spotify. Odmienną techniką jest dostęp do danych osobowych użytkowników zgromadzonych podczas wcześniejszych wycieków informacji z innych serwisów. Na przykład, jeśli adres e-mail klienta został ujawniony w wyniku naruszenia ochrony danych, przestępcy mogą wykorzystać go do przeprowadzenia ataku phishingowego, prosząc o zresetowanie hasła lub zalogowanie się za pomocą linku przesłanego w wiadomości e-mail. Kiedy użytkownik klika w taki link, nieświadomie udostępnia przestępcom dostęp do swojego konta.

Fałszywe Spotify. Zrzut ekranu strony internetowej z formularzem weryfikacyjnym, który ma na celu sprawdzenie, czy połączenie jest bezpieczne i czy użytkownik jest człowiekiem, z nałożonym dużym czerwonym stempel z napisem "OSZUSTWO".
Fot. CERT Polska / Facebook

Aby uniknąć tego rodzaju ataków, użytkownicy powinni być szczególnie ostrożni i nigdy nie klikać w linki w e-mailach czy powiadomieniach push, chyba że sami o nie poprosili. Warto również używać menadżera haseł i wymyślać unikalne loginy do każdej usługi online i nie korzystać z opcji logowania poprzez konta społecznościowe takie jak Facebook czy Google. Spotify nie obsługuje uwierzytelniania dwuskładnikowego (2FA), więc dodatkowym zabezpieczeniem może być włączenie tej opcji dla e-maila używanego do logowania w serwisie.

Jeśli zdarzyło wam się trafić na takie lub podobne przestępstwo, CERT Polska zachęca, aby zgłaszać je pod tym linkiem.

Sprawdź jak lepiej możesz chronić swoje dane na smartfonie

Źródło: CERT Polska / Facebook, oprac. własne. Zdjęcie otwierające:

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw