szukaj

13.11.2020 | 09:04

avatar

Adam Haertle

Uwaga na nowy scenariusz ataku na klientów InPost i największych banków

Od paru dni trwa fala ataków na klientów polskich banków, w której złodzieje wdrożyli kilka innowacji mogących zmylić ofiary. Warto poznać nowy scenariusz i pokazać go rodzinie oraz mniej świadomym zagrożeń znajomym.

Ostatnie lata niestety przyzwyczaiły nas do ataków typu Dotpay / PayU, gdzie scenariusz zdarzeń był do bólu powtarzalny, lecz nad wyraz skuteczny. Najwyraźniej jednak opatrzył się już ofiarom, ponieważ właśnie obserwujemy dość istotne zmiany na kilku jego etapach.

Etap pierwszy – dodatkowe kroki

Choć o zmianach słyszeliśmy od paru dni, to dopiero dzisiaj trafiliśmy na aktywną usługę przestępców, a wszystko dzięki tweetowi Arkadiusza. Otrzymał on takiego SMS-a:

Złośliwy SMS

Link, zamiast prowadzić jak zwykle prosto do panelu płatności, prowadzi do strony wykorzystującej markę InPost.

Fałszywa witryna InPost

Z technicznego punktu widzenia ten krok jest zupełnie niepotrzebny – jego zadaniem jest wciągnięcie ofiary w scenariusz oszustwa. Kolejny etap to pozyskanie danych ofiary.

Wyłudzenie danych

Pod linkiem z regulaminem nie ma regulaminu, ale kto czyta regulaminy… W tym miejscu złodzieje pozyskują imię i nazwisko ofiary, które zostaną użyte w kolejnym kroku.

Etap drugi – inny pośrednik płatności

Przechodzimy do samej kradzieży danych dostępowych do systemów bankowych i tu kolejna niespodzianka – zamiast tradycyjnie podrabianych stron Dotpay, PayU lub dużo rzadziej wykorzystywanego Przelewy24 trafiamy na fałszywy panel firmy eCard.

Fałszywy panel eCard

Być może ma to osłabić czujność ofiar, bombardowanych informacjami o podrabianych panelach Dotpay czy PayU. Wybór banków jest relatywnie niewielki, ale obsługiwane są te największe.

Etap trzeci – aplikacja zamiast konta

Najciekawsza z punktu widzenia zwalczania tego zjawiska po stronie banków jest innowacja w przypadku, gdy ofiara okaże się klientem mBanku. Zamiast wyłudzać login i hasło, przestępcy próbują wyłudzić PESEL oraz nazwisko panieńskie matki.

Wyłudzenie PESEL-u i nazwiska panieńskiego matki

Po co im te dane? Wyjaśnienie znaleźć można na kolejnym kroku oszustwa.

Wyłudzenie kodu

Prośba o przepisanie kodu z wiadomości głosowej w połączeniu z wcześniejszym wyłudzeniem PESEL-u i nazwiska panieńskiego matki dość jednoznacznie wskazuje na próbę nieautoryzowanej aktywacji aplikacji mobilnej banku w imieniu ofiary.

Co ciekawe, w pozostałych bankach scenariusz idzie w dobrze znaną stronę wyłudzenia loginu i hasła, np. w ING:

Fałszywa strona ING

czy BNP:

Fałszywa strona BNP

Podsumowanie

Nowe elementy, wprowadzone w tym ataku, takie jak wstępne pozyskiwanie danych klienta przez podszycie się pod InPost, użycie marki eCard czy wyłudzenie danych do aktywacji aplikacji mobilnej mBanku, mogą sprawić, że mniej świadome osoby, uczulone już wieloma komunikatami, by uważały na fałszywego Dotpaya czy PayU, ponownie dadzą się złapać w sidła włamywaczy. Przekażcie zatem to ostrzeżenie potencjalnym ofiarom, by odświeżyły swoją wiedzę o najnowszych atakach.

Powrót

Komentarze

  • avatar
    2020.11.13 10:25 Piotr

    Jakim certyfikatem uwierzytelniona jest domena przysyika24pl.fun?

    Odpowiedz
  • avatar
    2020.11.13 10:55 yyy

    „Twoja”, „Cię”, „Dzień dobry”. Co to za język? Od kiedy to jesteśmy „na Ty”? Brakuje jeszcze tylko zdrobnień typu paczuszka, przesyłeczka, kliencik. Wywalam taki chłam od razu, nawet jeśli byłby oficjalną korespondencją banku.

    Odpowiedz
    • avatar
      2020.11.14 19:56 wpp

      „Dzień dobry” to dla Ciebie za mało formalne w komunikacji banku z klientem? Musisz być pracownikiem uczelni, bo to chyba jedyni ludzie tak przewrażliwieni na tym punkcie.

      Odpowiedz
    • avatar
      2020.11.19 14:54 Spostrzegawczy

      Co Szanowny Pan proponuje zamiast 'Dzień dobry’; czy 'Tak, Panie’ będzie akuratne?

      Odpowiedz
  • avatar
    2020.11.13 11:28 draft

    @Piotr
    przesyika24pl.fun. „Przysyika24pl.fun” zwróciłaby uwagę. Rzeczywiście nie zauważyłem podmiany „l” na „i”.
    Zastanawiam się czy w tym procederze nie biorą udziału psychologowie, lingwiści czy inni specjaliści od generowania złudzeń językowych. Może warto przyjrzeć się temu towarzystwu?

    Odpowiedz
    • avatar
      2020.11.13 12:33 michu

      Nie przesadzajmy, to nie wymaga nadludzkich umiejętności. Po prostu bandyci to nie są idioci, jak chciałoby się widzieć prostego rzezimieszka. Mają wyczucie, intuicję, wiedzę i przede wszystkim są często niezwykle zręcznymi manipulantami.
      Co prawda przeciętny zdrowy, w średnim wieku, i ogólnie w miarę rozgarnięty człowiek nie da się nabrać na takie lewizny. Ale jest spore grono osób, które nie wpadają w taką przeciętność. Głównie osoby starsze lub chciwe na okazje, bo chciwość i chęć oszczędzenia złotówki zaślepia im ocenę sytuacji. A jeszcze do tego to stępienie własnej ostrożności przez klikanie wszystkiego w telefonie bez czytania, bo komu się chce czytać jak już na koncie społecznościowym trzeba lajkować następne bezużyteczne wpisy. Tak to jest.
      Nie winiłbym lingwistów za tendencję społeczeństwa do bycia otępiałym :).

      Odpowiedz
    • avatar
      2020.11.13 14:25 p0l0

      bez przesady podmiana „l” na „i” to powszechna metoda

      Odpowiedz
      • avatar
        2020.11.14 19:59 wpp

        Jaki jest cel podmiany 'l’ na 'i’ skoro TLD i tak już jest „lewe”? Cyberki zarejestrowały tyle domen że się skończyły wolne? :)

        Odpowiedz
  • avatar
    2020.11.13 15:53 Bartek

    No i cały wysiłek jak krew w piach, bo ostrzegaliśmy przed Dotpay i PayU, a oni zrobili ten ecard…

    Odpowiedz
  • avatar
    2020.11.14 20:37 Paweł

    Getinu jakoś nie ruszają

    Polecam u nich konto zabezpieczenia mają dobre.

    Zakupy w google play bank dzwoni potwierdzić czy chce kupić za 32 dolce

    Odpowiedz
    • avatar
      2020.11.15 20:54 t

      Getin jest na obrazku, trzeci od góry i trzeci od lewej

      Odpowiedz
    • avatar
      2020.11.17 03:16 KrisK

      Getin to taki bank ze złodzieje się boją… Jeszcze jak by zaczęli okradać to Getin by ich wydoił.A może złodzieje się zlitowali na ludźmi z getina bo bank ich juz dostatecznie doi

      Odpowiedz
  • avatar
    2020.11.14 22:43 Hubert

    mBank wymaga dodatkowej weryfikacji, np. kod pin z innego urządzenia, kod z maila (można go odczytać dopiero po podaniu kodu z SMS), kilka cyfr z nr karty czy hasło do serwisu transakcyjnego.
    I albo system nam nie aktywuje aplikacji albo nałoży niski limit na kwotę przelewów.

    Odpowiedz
  • avatar
    2020.11.14 22:53 Uuwod

    Znalazłem najlepszy sposób, (na tę chwilę) pozbyłem się maila i radzę to wszystkim :)

    Odpowiedz
    • avatar
      2020.11.16 21:18 Observer

      Eeeee? To przychodzi SMS’em. :)

      Odpowiedz
  • avatar
    2020.11.14 23:28 Marek

    Z eCardem jest taki problem, że nawet ich prawdziwa strona wygląda jak scam.

    Odpowiedz
  • avatar
    2020.11.15 19:26 Wiki

    Już sam link śmierdzi z daleka, ale co z tego, że ja bym się nie nabrała, skoro moi rodzice już spokojnie by mogli… Staram się im przekazywać takie info najszybciej jak się da, bo często korzystają z paczkomatu i nawet nadają sami paczki, ale jak oszuści dysponują tyloma wariantami działań, to trochę jak walka z wiatrakami. :(

    Odpowiedz
    • avatar
      2020.11.16 00:25 T34

      Ha. Wspominasz o rodzicach. A co powiesz na goscia, 36 lat, obeznanego ze wspolczesnym swiatem, ktory na tego typu przestrogi i zalecenia odpowiada „bujdy na resorach”. Czekam tylko dnia w ktorym znikna mu pieniazki z konta.

      Odpowiedz
  • avatar
    2020.11.15 23:05 Werka

    Ja nie wiem, że się ludzie nabierają na coś takiego. Inpost jest bardzo profesjonalną firmą, czytajcie uważnie komunikaty ze strony Inpostu!

    Odpowiedz
  • avatar
    2020.11.16 21:12 Observer

    Ja mam tylko tyle do powiedzenia: BLIK i po kłopocie z fałszywymi panelami płatności wyłudzającymi dane logowania do banków.

    Odpowiedz
    • avatar
      2020.11.17 16:14 apap

      no to dorobiamy okienko wymagające zalogowania się do banku w celu dodatkowego potwierdzenia transakcji „blikiem” ;)

      Odpowiedz
  • avatar
    2020.11.17 00:33 JB

    SMS od „Deliver24”

    Zbyt niska oplata przesylki. Zaplac 1,19 zl aby zamowienie zostalo zrealizowane. https://fakturowanie24.net/F808sMJmG7TFEGi1/rxT5lP

    Odpowiedz

Zostaw odpowiedź do Wiki

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nowy scenariusz ataku na klientów InPost i największych banków

Komentarze