06.05.2022 | 07:54

Anna Wasilewska-Śpioch

Podstawy Bezpieczeństwa: Jak fake newsy z Ukrainy służą przestępcom

Cokolwiek się dzieje na świecie, możecie być pewni, że znajdą się oszuści, którzy spróbują wykorzystać sytuację do własnych celów. Nie inaczej jest w przypadku napaści Rosji na Ukrainę. W tym artykule opisujemy oszustwa powiązane tematycznie z trwającą tuż obok wojną.

Aby dotrzeć do 1,5 tys. osób, fałszywe informacje potrzebują sześciokrotnie mniej czasu niż prawdziwe i mają średnio 70% więcej szans na podanie dalej – ustalili naukowcy z Massachusetts Institute of Technology (MIT), którzy wzięli pod lupę 126 tys. unikalnych tweetów udostępnionych w ciągu 11 lat ponad 4,5 mln razy przez 3 mln ludzi. Wyniki tego badania ukazały się na łamach „Science” w 2018 r. i nic nie wskazuje na to, by od tego czasu sytuacja zmieniła się na lepsze. Wręcz odwrotnie, co potwierdza m.in. raport Dezinformacja oczami Polaków, który w przededniu wojny wydała Fundacja DigitalPoland. Wyłania się z niego obraz społeczeństwa, które dość łatwo ulega fake newsom mimo świadomości istnienia tego zjawiska. Po rozpoczęciu działań wojennych przez Rosję kampanie dezinformacyjne prowadzone na polskim podwórku wyraźnie się nasiliły, a oszuści chętnie się pod nie podpięli.

Podstawy Bezpieczeństwa
Artykuł stanowi część cyklu Podstawy Bezpieczeństwa realizowanego od ponad dwóch lat pod patronatem Aruba Cloud. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż najpierw warto sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. Zachęcamy też do zapoznania się z poprzednimi odcinkami tej serii.

Fałszywe panele logowania

Jeśli korzystacie z Facebooka, mogliście się natknąć na fałszywe wiadomości dotyczące dramatycznych wydarzeń, sprawiające wrażenie pisanych pod wpływem emocji i pełne błędów językowych, np. o takiej treści:

Ten chory człowiek chce zaatakować również Polske jeżeli nadal będziemy pomagać Ukraińcom!!!!!! Na nagraniu widać jak Rosyjskie czołgi przekraczają Polskie granice!!, róbcie ludzie zapasy bo niewiadomo co nas niedługo czeka!!!!
film obejrzeć możecie obejrzeć na facebooku link poniżej:
http://facebook-pl-com.pl/?profile/[…]

Chodziło oczywiście o Putina, a żeby nie było wątpliwości, fake newsowi towarzyszył portret rosyjskiego prezydenta. Podany na końcu link prowadził do strony facebook-com-pl.pl, która nieobeznanemu z siecią użytkownikowi mogła się wydać pełnoprawną domeną Facebooka (przestępcy posługiwali się też stroną facebook.bdl.pl – obie zostały już unieszkodliwione). Fałszywe wiadomości były publikowane na różnych grupach przy użyciu przejętych lub założonych właśnie w tym celu kont. Przy próbie obejrzenia materiału filmowego potencjalnej ofierze wyświetlał się komunikat o konieczności zalogowania się na Facebooku celem potwierdzenia jej wieku. Wpisanie w formularzu danych logowania skutkowało przekazaniem ich w ręce przestępców.

Fałszywe informacje rozprzestrzeniane na Facebooku

Przejęte w ten sposób konta były wykorzystywane do dalszego rozpowszechniania fake newsów oraz wyłudzania pieniędzy od znajomych ofiary. Oszuści kontaktowali się z nimi za pomocą wiadomości prywatnych, prosząc o opłacenie niewielkiego zamówienia i zapewniając, że pożyczoną kwotę szybko zwrócą. W przypadku zgody wysyłali link do strony z fałszywą bramką płatności, gdzie jedyną aktywną opcją był przelew wymagający zalogowania się do systemu bankowości elektronicznej. Podanie prawdziwych danych uwierzytelniających prowadziło do dalszych nadużyć, np. zdefiniowania przez oszustów nowego odbiorcy zaufanego i przelania mu zgromadzonych na rachunku środków.

Jeszcze częściej publikowane na Facebooku linki przekierowywały użytkowników na strony podszywające się pod znane serwisy informacyjne, takie jak WP Wiadomości, Fakt24 czy wPolityce. Adres zwykle zupełnie się nie zgadzał, ale podobna szata graficzna mogła przekonać nieświadomych odbiorców, że znaleźli się na wiarygodnej stronie. Inna sprawa, że artykuły przygotowywane przez oszustów roiły się od literówek, powtórzeń i nieścisłości – w poniższym brakuje np. informacji o miejscu zdarzenia.

Przykładowa strona z fałszywymi informacjami

Publikowane treści dotyczyły bulwersujących wydarzeń – rozstrzelania bądź porwania dzieci, znęcania się żołnierzy nad cywilami, a nawet ataku atomowego na Kijów. CERT Orange Polska poinformował o zablokowaniu ponad 20 domen utworzonych według schematu nocny[nazwa_miasta].xyz, które miały zostać użyte do kolportowania dramatycznych fake newsów (przestępcy nie zdążyli się nimi posłużyć). Kilkakrotnie zetknęliśmy się też z sugestywnie brzmiącymi poddomenami w domenie azureedge.net, np.:

  • ukraina-24.azureedge.net
  • obrona24.azureedge.net
  • alerty24.azureedge.net
  • uwaga.azureedge.net
  • militaria-info.azureedge.net
  • wojskowefakty.azureedge.net

Ten serwis również został unieszkodliwiony. Inne fałszywe strony wykorzystywane w omawianym scenariuszu to:

  • newinfo24-polskaukraina.com
  • swiatowe-fakty.waw.pl
  • dzisiaj-polska.pl
  • ogloszenia-sensacje24h.pl
  • polska-informacje24tv.pl
  • wojna-info24.eu
  • twojeinformacjepl.pl

Na końcu każdego z artykułów znajdowało się rzekomo drastyczne nagranie udostępnione z telefonu, nie dało się go jednak obejrzeć nawet po potwierdzeniu swego wieku za pośrednictwem Facebooka – w ten sposób można było jedynie przesłać dane logowania przestępcom.

Próba odtworzenia nagrania na fałszywej stronie

Dobra wiadomość jest taka, że przed przejęciem konta na Facebooku można się zabezpieczyć, włączając uwierzytelnianie dwuskładnikowe (ang. Two-factor Authentication, w skrócie 2FA). Dokładną instrukcję, jak to zrobić, zamieściliśmy w jednym z poprzednich artykułów.

Coraz więcej fałszywych zbiórek

Na początku marca opublikowaliśmy poradnik, jak sprawdzać wiarygodność zbiórek, ponieważ w obliczu trwającej tuż obok wojny wiele osób zaczęło szukać sposobu na realną pomoc zarówno uchodźcom z Ukrainy, jak i broniącym jej żołnierzom. Od tamtego czasu odnotowaliśmy wzrost liczby nowo zarejestrowanych, polsko brzmiących nazw domen, używanych następnie do wyłudzania pieniędzy. Oto kilka przykładowych, unieszkodliwionych już stron zajmujących się tym procederem:

  • ukraina-pomagam.online
  • pomagam-pl.online
  • pomagam-pl.site
  • pomagampl.online
  • pomagampl.site
  • pomagam.top
  • pomagam-zx.eu

Oszuści podszywali się zwykle pod serwis Pomagam.pl, który we współpracy z Fundacją „Nasz Wybór” prowadzi zbiórkę pod adresem pomagam.pl/solidarnizukraina. Jej wygląd był dokładnie kopiowany, zmieniały się tylko opcje dotyczące płatności.

Fałszywa zbiórka na stronie pomagam-zx.eu

Pierwsze podróbki tej strony umożliwiały dokonanie wpłaty wyłącznie przelewem tradycyjnym – potencjalna ofiara musiała wypełnić formularz, podając imię, nazwisko, kwotę i adres e-mail, na który były wysyłane indywidualne dane do przelewu (zob. zrzuty ekranu w poprzednim artykule). Przestępcom to się chyba niezbyt opłacało, bo fałszywe zbiórki, obserwowane przez nas później, oferowały już opcję płatności Blikiem (za pośrednictwem PayU) i nie można było przy tym wybrać kwoty mniejszej niż 100 zł.

Płatność Blikiem na stronie fałszywej zbiórki

Pojawiła się też zakładka z adresami pięciu portfeli kryptowalutowych: BTC, ETH, BNB oraz Tether (USDT) TRC-20 i ERC-20. W chwili pisania tego artykułu bitcoinowy portfel nie zawierał już żadnych środków, ale według blockchain.info w okresie od 23 marca do 8 kwietnia br. w ramach 9 transakcji wpłacono i wypłacono z niego 0,10849843 BTC, czyli ok. 4,3 tys. dolarów. Całkiem sporo, stąd przypuszczenie, że był on używany nie tylko na stronie fałszywej zbiórki.

Adresy portfeli kryptowalutowych na stronie fałszywej zbiórki

Przestępcy dodali również coś na kształt czatu, ale zrezygnowali z jego obsługi na bieżąco. Po kliknięciu w belkę „Wyślij nam wiadomość”, ulokowaną na dole strony, użytkownikowi wyświetlał się kuriozalny komunikat „Witam. Mieć pytania? Zapytać się!”, który może świadczyć o niepolskim pochodzeniu oszustów. Wpisanie czegokolwiek skutkowało pojawieniem się prośby o dane kontaktowe (imię, adres e-mail i numer telefonu), które najprawdopodobniej trafiały do spamerskiej bazy danych. Jak można się było spodziewać, na wysłane w ten sposób pytanie odpowiedzi nie otrzymaliśmy.

Nigeryjski książę w ukraińskim wydaniu

Wraz z rozpoczęciem działań wojennych przez Rosję do polskich odbiorców zaczęły docierać e-maile klasyfikowane jako nigeryjski scam. W klasycznej odmianie tego przekrętu oszust wysyła wiadomości, podszywając się pod przedstawiciela bogatej rodziny, która straciła swoją pozycję w wyniku wojny domowej, zamachu stanu, kryzysu gospodarczego czy represji politycznych. Nadawca prosi o pomoc w odzyskaniu znacznej sumy pieniędzy, oferując w zamian pewien jej procent. Gdy potencjalna ofiara wykaże zainteresowanie, zaczynają pojawiać się komplikacje – a to trzeba wnieść opłaty manipulacyjne, a to pokryć koszta formalności itp. Historie wymyślane przez wyłudzaczy bywają tak twórcze, że w 2005 r. zostały wyróżnione Ig Noblem w dziedzinie literatury. W skrajnych przypadkach ofiara może stracić fortunę, zanim się zorientuje, że nic tak naprawdę nie zyska.

Nigeryjski scam przechwycony przez CSIRT KNF i redakcję Niebezpiecznika

Ekspertom udało się przechwycić dwie próbki tego scamu w wydaniu ukraińskim, wysłane w odstępie miesiąca z użyciem podobnych adresów e-mail: [email protected] i [email protected]. W pierwszym przypadku mamy do czynienia z właścicielem skrzynki pocztowej, w drugim z wdową po nim – biedaczek zdążył umrzeć, a może został zabity, wszak pisząc pierwszą wiadomość, znajdował się pod ostrzałem wojsk rosyjskich, przy okazji zmienił zawód, ale kto by się przejmował takimi szczegółami, zwłaszcza że i kwota, którą trzeba uratować czy tam zainwestować, wzrosła z miliona euro do pięciu. Treść obu pisanych łamaną polszczyzną e-maili przytaczamy poniżej.

Nadawca: Yurri Shevchenko <[email protected]>
Temat: Cześć

Cześć,

Przepraszamy za niedogodności, jakie może spowodować moja wiadomość. Powiem krótko, jestem inżynierem okrętowym z rządem ukraińskim zaangażowanym w obecną wojnę z Rosją. Stacjonuję w podziemnej stacji wojskowej w Charkowie i czekam na planowany przez naszego goryla atak na najeźdźców rosyjskich. Proszę pozwolić mi poprosić o pomoc w przeprowadzce mojej trzyosobowej rodziny do twojego kraju ze względów bezpieczeństwa. Nie mogę już nic zrobić z naszej kryjówki z powodu ciężkiego ostrzału wojsk rosyjskich. W obecnej formie pomoc, o którą proszę, polega na pomocy mojej żonie i dzieciom w wyprowadzce się drogą dyplomatyczną do twojego kraju i zainwestowaniu naszego miliona euro w gotówkę w rentowny, lukratywny obszar, który przyniesie większe zyski zamiast go stracić . Obecnie mogę wysyłać e-maile tylko z podziemia, a ryzyko jest zbyt duże, aby być stale online. Nasze rodzinne pieniądze są w zapieczętowanej skrzynce bezpieczeństwa, którą tylko ja znam kody dostępu do jej otwarcia. Moja żona nawet nie wie, że jest tam z nią, ponieważ powiedziałem jej, że to biżuteria, jedyne, czego potrzebuję, to skontaktowanie się z nią i poprowadzenie ich, aby bezpiecznie ćwiczyli. Mam pieniądze, ale nie mogę ich ruszyć, dlatego trzeba natychmiast opuścić z nimi Ukrainę. Dalsze informacje przyjdą po otrzymaniu wiadomości od Ciebie, proszę o wszelkie pytania.

Nadawca: Yurris Shevchenko <[email protected]>
Temat: Cześć

Cześć,

Nazywam się Yulia Shevchenko z Ukrainy. Chcę skorzystać z tego kanału komunikacji, aby poprosić o zgodę na bycie moim partnerem biznesowym w Polsce. Jestem wdową tu na Ukrainie. Mój zmarły mąż przed śmiercią pracował w sektorze rolniczym i pozostawił pod moją opieką pięć milionów euro majątku. W związku z obecną wojną i śmiercią mojego męża Yurris Shevchenko. Chcę przenieść i zainwestować swoje pieniądze w Polsce. Będę polegał na twoich radach i wskazówkach w tej transakcji, jeśli zgodzisz się ze mną współpracować. Za twoją pomoc i wsparcie dam ci dziesięć procent z tych pięciu milionów euro jako zasiłek za pomoc.

Czekam na Twoją szybką odpowiedź.

Yulia Shevchenko.

Czytelnikom Zaufanej Trzeciej Strony nie musimy chyba tłumaczyć, że korzystanie z podobnych „ofert” nie jest rozsądnym posunięciem.

Inne pomysły przestępców

SMS-owi oszuści okazali się mniej podatni na zmianę sytuacji politycznej i nie zrezygnowali ze sprawdzonych sposobów wyłudzania pieniędzy – od wielu miesięcy, mimo wpadek i aresztowań, podszywają się pod dostawców energii elektrycznej (grożąc wyłączeniem prądu w przypadku nieuregulowania należności) oraz firmy kurierskie, takie jak InPost czy DHL. Eksperci z CERT Orange Polska przechwycili wprawdzie SMS-a zachęcającego do wpłacania bitcoinów na rzecz Ukrainy, stanowił on jednak wyjątek od reguły i był napisany po angielsku:

Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin wallet: […]
Search in google „Buy Bitcoin”

Sprawdziliśmy zawartość podlinkowanego portfela – przestępcom udało się pozyskać 0,0007 BTC, czyli ok. 27,65 dolarów. Mizerna kwota w porównaniu z zarobkami osób oszukujących „na PGE”.

SMS zachęcający do wpłacania bitcoinów

Innym pomysłem wyłudzaczy jest podszywanie się pod oficjalne profile ukraińskich organizacji na Twitterze. Poniżej możecie zobaczyć tweet z konta @Ukraine informujący o możliwości wpłacania datków w kryptowalutach – podano w nim adresy rządowych portfeli BTC i ETH/USDT. Po paru godzinach w komentarzach pojawiła się wiadomość o rzekomej zmianie adresu jednego z portfeli, wysłana z konta @ElonMus87675590, które posługiwało się takim samym logo i podobną nazwą jak konto ukraińskie (a mogło być wcześniej używane w oszustwach „na Elona Muska” rozdającego bitcoiny). Nie wiadomo, jak wiele osób się nabrało, zwłaszcza że nie była to jedyna próba zmylenia użytkowników Twittera.

Podszywanie się na Twitterze

W innych serwisach społecznościowych podobnych wpisów nie widzieliśmy, co nie znaczy, że ich nie było ani że nie pojawią się w przyszłości. Na Cebulce, czyli jednym z polskojęzycznych forów w sieci Tor, natknęliśmy się ostatnio na ofertę sprzedaży fanpage’a, który może posłużyć do wyłudzania środków finansowych pod pozorem pomocy Ukrainie. Pełną treść ogłoszenia zamieszczamy poniżej:

Strona pomocy Ukrainie FB ze zbiorkami

Sprzedam profil facebook pomoc ukrainie:
Organizacja non profit · 232 polubień · 238 obserwujących

cena: 5 tys w monero

Jak wiadomo trudno stworzyc taki profil bez blokad. Polecam

Kontakt pgp: […] lub jabber […]

Oferta zakupu strony na Facebooku

Ostrzegamy przed wpłacaniem pieniędzy na rachunki bankowe i portfele kryptowalutowe wskazywane przez niezweryfikowane źródła. Listę wiarygodnych zbiórek i akcji pomocowych można znaleźć m.in. w serwisie fact-checkingowym Demagog.

Jak reagować na próby oszustwa

Jeśli chcielibyście pomóc ekspertom w zwalczaniu opisanych w tym artykule oszustw, nie wahajcie się przed zgłaszaniem każdej zauważonej próby wyłudzenia. Można to zrobić na stronie incydent.cert.pl. Najpierw wybieramy kategorię – w przypadku stron podobnych do tych powyżej wskazujemy opcję „Złośliwa domena”, następnie wpisujemy podejrzane adresy URL (po jednym w linii) i krótko uzasadniamy, dlaczego uznaliśmy je za szkodliwe. Można przy tym podać swój adres e-mail i/lub numer telefonu, ale nie jest to obowiązkowe – o incydencie możemy powiadomić anonimowo. Aby zgłosić fałszywy sklep internetowy, wybieramy opcję „Oszustwo”. Ten formularz umożliwia dodanie nie tylko opisu, ale i załączników, np. korespondencji mailowej ze sklepem czy skanu zgłoszenia przestępstwa na policji.

W podobny sposób – po wybraniu odpowiedniej kategorii – możemy zgłaszać złośliwe e-maile (konieczne będzie ich wyeksportowanie do formatu .eml, na stronie znajdziemy jednak link do stosownych instrukcji). Podejrzane SMS-y należy z kolei przekazywać na numer 799 448 084, nie wolno przy tym ingerować w ich treść. Warto też mieć na uwadze, że numer ten służy do zgłaszania prób wyłudzeń, phishingu i fałszywych aplikacji, eksperci z CERT Polska nie zajmują się nadużyciami dotyczącymi usług SMS Premium. Z jednego numeru można zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin. Udanych łowów i nie dajcie się sami nabrać.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.

Powrót

Komentarz

  • 2022.05.11 11:00 Wardriving

    Bardzo przydatny wpis, na pewno się przyda. Będziemy wpadać częściej

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Podstawy Bezpieczeństwa: Jak fake newsy z Ukrainy służą przestępcom

Komentarze