Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

dodał 27 grudnia 2019 o 21:28 w kategorii Socjo  z tagami:
Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

(źródło: Nomadic Lass)

Czasem trafiamy na naprawdę świetnie przygotowane ataki. Przemyślane scenariusze oszustw, historie wiarygodne i dopracowane, wdrożenia bezbłędne i skuteczne. Nie o takim ataku chcemy wam jednak dzisiaj opowiedzieć.

Nie każdy przestępca jest na tyle inteligenty, by wymyślać nowe, kreatywne ataki (jak np. fałszywe panele Dotpay/PayU) lub skutecznie kopiować metody już sprawdzone (jak np. fałszywe panele Dotpay/PayU). Co zatem robi przestępca, gdy nie potrafi wykazać się finezją, znajomością psychologii i ludzkiego umysłu? Takiemu złodziejowi pozostaje determinacja, a jej efekty możecie podziwiać poniżej.

Usługa, której nie było

Jeden z naszych Czytelników, Paweł, zwrócił naszą uwagę na ciekawą próbę oszustwa. Paweł łączył ją z atakiem na Virgin Mobile, ale na razie nie widzimy związku. Sam atak opisany został tydzień temu na Wykopie (czemu nie tagujesz @BlindHeron?). Do Wykopowicza, jak i do Pawła przyszedł SMS o takiej oto treści:

Przypominamy o korzystaniu z aktywnej uslugi SmartCare dla numeru: [tu numer] Oplata zostanie naliczona automatycznie na numer telefonu dnia: 13.01.2020. Formularz zgloszenia telefonu do naprawy oraz opcja rezygnacji z uslugi dostepne na: smartcare.xn.pl.

Wiadomość wysłana była z bramki internetowej. Co czeka na ofiarę? Obrazki mówią same za siebie.

Krok pierwszy – rzekoma witryna serwisu naprawiającego telefony, gdzie wykupiliśmy podobno pakiet za 59,99 miesięcznie, ale możemy z niego zrezygnować.

Proces rezygnacji zaczyna się od podania numeru telefonu – można wpisać dowolny.

Okazuje się, że za rezygnację musimy zapłacić 10 PLN „w systemie SmartPay”.

Mamy kilka banków do wyboru.

Po wybraniu dowolnego z nich jesteśmy proszeni i podanie loginu i hasła.

Następnie mamy wprowadzić swój PESEL i nazwisko panieńskie matki.

W zależności od wybranego banku musimy przepisać kod z SMS-a

…lub przepisać kod z wiadomości głosowej.

Na koniec dowiadujemy się, że płatność została przyjęta.

Czy to ma szansę zadziałać

Scenariusz ataku i rodzaj gromadzonych danych wydaje się wskazywać na próbę nieautoryzowanej aktywacji aplikacji mobilnej wybranego banku na cudzym urządzeniu. Po dokonaniu takiej aktywacji złodziej może – w zależności od limitów transakcyjnych dla kanału mobilnego – ukraść ok. 1000 – 2000 PLN.

Samo oszustwo wygląda tak trywialnie, że aż trudno uwierzyć, by było prawdziwe. Gdyby nie dwie relacje osób, które wiadomość otrzymały, to obstawialibyśmy eksperyment naukowy mający na celu weryfikację, jak daleko zajdzie ofiara mimo tak oczywistego oszustwa.

Znamy jednak życie i w związku z tym nie możemy wykluczyć, że ktoś się dał na to złapać. Jeśli macie informacje o skuteczności tego ataku (widzieliście w swoim banku ofiary lub jesteście jego sprawcami), to chętnie dowiemy się, jak wyglądały statystyki. Chyba że to jednak badanie naukowe – wtedy czekamy na publikację.

Co robić?

Skoro czytacie ten artykuł w naszym serwisie, to zapewne nie musimy wam tłumaczyć, jak się przed tym atakiem bronić. Prosimy jednak, byście przy każdej okazji tłumaczyli swoim bliskim i znajomym, że login i hasło do banku można podawać tylko na stronie banku i nigdy nie będzie żadnego powodu, by podać je na jakiejkolwiek innej witrynie. A strona banku musi mieć w adresie domenę banku i nic innego. Może kogoś kiedyś w ten sposób uratujecie.

Technikalia

W chwili pisania tego artykułu witryna wczytywana jest z adresu:

pomoc.kylos.pl

A ciąg URL-i wygląda np. tak: