Autorzy oszustw opartych o fałszywe panele szybkich płatności najczęściej powtarzają stare schematy działania. Czasem jednak wymyślą coś nowego i warto o tym poinformować internautów. Tym razem pojawił się dodatkowy etap oszustwa.
Od jednego z Czytelników otrzymaliśmy treść wiadomości SMS z linkiem, który zamiast prowadzić od razu do fałszywej witryny wyłudzającej dane logowania do banku, najpierw urabia ofiarę dodatkowym komunikatem.
Scenariusz krok po kroku
Treść wiadomości SMS to
Enea: Na dzień 07.03 zaplanowano odlaczenie energii elektrycznej! Prosimy o pilne uregulowanie naleznosci 9.28 PLN. Sprawdz na twojaenea.pl/Pd89aQ
Strona twojaenea.pl wita użytkownika rzekomym ekranem oczekiwania, wyglądającym tak:
W trakcie jego ładowania nie dzieje się de facto nic ciekawego. Po chwili pojawia się ekran docelowy o treści
Posiadasz opóźnienie w płatności przekraczające 30 dni!
Kwota zaległości: 9,28 zł
Termin upłynął: 45 dni temu
W dniu 07.03.2020 nastąpi odcięcie energii elektrycznej.
Link „Zapłać teraz 9,28 zł” prowadzi do strony pod adresem sslplatnosc.online, gdzie na ofiarę czeka już fałszywy panel płatności Dotpaya.
Aktualizacja 19:00 – link obecnie prowadzi do zaplaconline.pl/fEF24fdSeRs, a strona dla odmiany podszywa się pod PayU.
Mechanizm działania takiego panelu i sposób wyłudzenia kodu z wiadomości SMS opisaliśmy w tym artykule. Aktywność przestępców (co najmniej kilka nowych witryn dziennie przez ostatnie kilka miesięcy) pokazuje, że ataki te nadal są skuteczne.
Komentarze
Jak płacę, zawsze sprawdzam w panelu faktury lub powiadomienia. Wchodzę samemu wpisując adres w przeglądarce www. To pozwala uniknąć przykrej niespodzianki.
@Si Użytkownicy smatrfonów są zbyt leniwi aby przepisywać adres, a czasami nawet adres może nie wzbudzić czujności osób nadmiernie naiwnych i niezbyt obeznanych w sztuczkach oszutów.
Nie wiem jak jest z bezpieczeństwem systemu iOS, ale ją bym się bał używać bankowisci mobilnej na Androidzie. Bankowość na smartfonach (często bez antywirusa), to jest dla mnie duża lekkomyślność, zwłaszcza że bank zawsze może powiedzieć, że użytkownik nie zachował należytej ostrożności.
Bankowość na telefonie jest o kilka rzędów wielkości bezpieczniejsza niż na komputerze
Mógłbyś rozwinąć tę niezwykle zaskakującą tezę?
Tak. Ale to już w artykule bo będzie większy pożytek. W skrócie – znacząco niższa stopa infekcji, inna architektura, wyłączenie phishingu.
No chyba że w sklepie Google’a jest do pobrania apka do bankowości Banku WBK (to chyba był ten bank), tak jak to było kilka lat temu, która udawała apkę prawdziwego banku a tak naprawdę kradła pieniądze.
„Chodzenie po chodniku jest niebezpieczne po cztery lata temu teścia potrącił samochód”
Jeżeli na tym samym chodniku, ten sam samochód potrącił 1000 teściów to jest się nad czym zastanawiać. Nawet jeżeli to było 4 lata temu.
Potrąceniami przez samochody napędzane parą też do dzisiaj się przejmujesz?
To się cały czas zdarza:
Mobile malware evolution 2019
https://securelist.com/mobile-malware-evolution-2019/96280/
polecam fragment:
Mobile Trojans on popular marketplaces: Google Play
@Adam Haertle
Nie chodzi tylko o tę jedną apkę. Chodzi o cały ekosystem Sklepu Google’a pozwalający na umieszczenie w nim i dystrybucję softu zawierającego złośliwy/niebezpieczny kod.
Pod tym względem Apple ze swoim Sklepem wychodzi o niebo lepiej. Zaliczyli raptem jakieś 1-2 wtopy, gdzie przeszły przez ich audyt, jak się okazało złośliwe apki.
O ile bankowa apka w zaktualizowanym Androidzie może i jest bezpieczniejsza niż apka webowa (desktopowa), to ciągłym i nierozwiązanym problemem na Androida jest sposób sprawdzania i audytu (właściwie niesprawdzania i braku audytu) takiej apki przed umieszczeniem jej w Sklepie.
Więc Twoje aluzje o „teściu kiedyś potrąconym przez samochód” są niewłaściwe. Źle mnie zrozumiałeś.
Sklep Androida zrobił bardzo duże postępy przez ostatni rok, to raz. A dwa, na phishing zawsze ktoś kozę być podatny, a jak ma już aplikacje banku to nie pobierze złośliwej. A dawno już żadnej bankowej w sklepie nie było.
Nawet jak sam zainstalujesz trojana, który wykradnie ci kontakty, bo sam dasz dostęp/upraenienia, to nie wykradnie danych z przestrzeni aplikacji bankowej. Bo na androidzie dobrze działa SElinux. No, chyba, że zrootowałeś sobie telefon… Ale to wtedy sam się prosisz o problemy.
Aby określić ryzyko poszczególnych kanałów dystrybucji najlepiej porównać dzienne limity przelewów, które banki określiły dla tych kanałów.
Generalnie wygląda to następująco:
– operacje w oddziale banku – brak dziennego limitu przelewów (najmniejsze ryzyko),
– bankowość internetowa – określone dzienne limity przelewów,
– bankowość mobilna – dzienne limity przelewów znacząco mniejsze niż w bankowości internetowej (największe ryzyko).
Limity określone dla danego kanału dystrybucji mają ograniczyć ryzyko związane z danym kanałem dystrybucji.
Kilka przykładów:
limit bankowość internetowej / limit aplikacja mobilna
iPKO 300 000 zł / 30 000 zł
ING 400 000 zł / 200 000 zł
mBank 500 000 zł / 5 000 zł
Santander 125 000 zł / 10 000 zł
W zależności od banku są to limity maksymalne lub domyślne, które można podnieść.
Bardzo odważna teza, z którą pozwolę się nie zgodzić.
Po pierwsze: „Bankując” na telefonie tracisz zalety 2FA, bo wszystko jest w jednym miejscu i to 2FA jest na takim samym poziomie jak argumentacja, że mam 2FA dla SSH bo:
– muszę mieć klucz prywatny
– muszę znać passphrase do klucza
Po drugie u mnie komputer jest dużo bardziej bezpieczny niż większość moich telefonów i nie wiem jak do tego samego stanu doprowadzić telefon.
Zdaję sobie sprawę, że jestem pewnie nietypowym użytkownikiem.
Dlaczego komputer:
1. Linux – OpenSource – całe oprogramowanie poza bardzo nielicznymi wyjątkami jest oprogramowaniem OpenSource w którym obowiązują inne relacje zaufania. Jest dostępny pełny kod źródłowy który można modyfikować/przerabiać. Kod budowany jest w dużej części poprzez
Reproducible Builds – https://reproducible-builds.org/ .
To powoduje, że mam znacznie większe zaufanie do oprogramowania, a samo oprogramowanie jest lepiej nadzorowane.
2. Linux – dystrybucja – jeden spójny mechanizm uaktualnień, centralne miejsce zgłaszania błędów, organizacja dbająca o to aby nie było w dystrybucji oprogramowania z błędami bezpieczeństwa.
3. Firefox z dodatkami podnoszącymi bezpieczeństwo – używalność słaba (duża upierdliwość – ale da się). Ekran większy. więc widzę dobrze treść która mnie interesuje i nie muszę wnikać co z dziesiątek dziwnych domen muszę jeszcze włączyć.
4. Zakup sprzętu działającego z Linuksem powoduje, że przestaje być zakładnikiem producenta który może na mnie wymusić instalację dowolnej (najnowszej) wersji oprogramowania tak aby móc korzystać z zakupionego sprzętu (np. moduł FLIR i apka FLIR ONE do telefonu, gdzie w pewnym momencie dodali mnóstwo dodatkowych uprawnień itp., ).
5. Terminowe aktualizacje.
Dlaczego nie telefon:
1. Bardzo mała dostępność czystego Androida. Często mnóstwo dodatkowego oprogramowania które jest dostępne tylko w formie zamkniętej. Część kernel tylko dostępna binarnie co powoduje, że nie ma jak uaktualniać samemu najważniejszej części systemu operacyjnego. Błąd w kernelu który można wykorzystać to właściwie „game over”.
2. Mimo centralnego systemu aktualizacji każda z aplikacji uaktualnia swoje biblioteki tylko i wyłącznie w oparciu o „widzi mi się” autora aplikacji – czyli wydanie nowej wersji (z nową funkcjonalnością). Nie spotkałem jeszcze aplikacji w której by ktoś napisał w zmianach „poprawka bezpieczeństwa” – a lubię sobie poczytać zmiany.
3. Dodatkami do przeglądarki zwiększające bezpieczeństwo (i wyłączające niepotrzebną z mojego punktu widzenia część aktywną strony) powoduję, że na małym ekranie staje się to nieużywalne. Nie da się konsumować treści jak trzeba ciągle przesuwać palcem lewo-prawo, lub zostają na większej części ekranu komunikaty zasłaniające treść które można usunąć dopiero po aktywacji skryptów z różnych domen.
4. Moda na sprzęt działający z telefon powoduje, że jest się zakładnikiem. Chcę korzystać z czegoś, wymieniłem telefon i naraz mam aplikację w której nie mogę zaakceptować uprawnień a bez nich nie działa. To powoduje, że „tresuje” się użytkowników aby klikali we wszystko co im się pokaże bo inaczej nie będzie działać. I to jest bardzo złe.
Tak samo jak wygląda okienko licencyjne większości oprogramowani komercyjnego na 32″ monitorze. Takie małe coś jak 4 znaczki pocztowe na środku ekranu które trzeba skalować i często nie można nawet wydrukować.
Takie zachowania „TRESUJĄ” użytkowników do bezmyślnego klikania/macania każdego komunikatu i są bardzo szkodliwe dla społeczeństwa.
5. Brak terminowych aktualizacji. A nawet jak są, to się okazuje, że potrafili oszukać pisząc co poprawili np.
https://www.xda-developers.com/android-oem-lying-security-patches/
W Androidzie to nie wiadomo nawet co kupić poza Google Pixel aby mieć poprawki, iPhone jest dla mnie zbyt zamkniętą platformą i co jest tutaj o kilka rzędów wielkości bezpieczeniejsze?
W życiu nie zapłaciłem nic telefonem, poprzez telefon, przy pomocy telefonu. W życiu. Nie wiem co przyniesie przyszłość, ale jestem bardzo konserwatywny w tej materii. Tylko komputer i przeglądarka, gdzie widzę linki po najechaniu myszą, widzę pasek adresu, znam układ strony swojego banku przy danym powiększeniu i na moim monitorze (oczywiście nic tu nie mierzę miarką, po prostu widzę to co zwykle). Komputera nie zgubię, nikt nie ma dostępu poza mną i rodziną. I nigdy się nie naciąłem, nigdy nie straciłem ani złotówki przez kilkanaście lat takiego postępowania.
Z niecierpliwością czekam, aż Adam napisze ten artykuł dlaczego płacenie mobilne jest bezpieczniejsze niż stacjonarne, bo mam tu chyba potężne luki i kieruję się ciemnym zabobonem i paranoją, a nie zwykłą ostrożnością. Mądrego dobrze poczytać.
mądrego? haha, dobre. większa stopa infekcji na komputerze? chyba jak się używa windowsa jak ta lamka, Adam. nigdy nie wysłałbym kasy z ani z windowsa, ani z telefonu. pozdrawiam
Tylko takich frajerów od bitcoinow kroją najczęściej…
Jeżeli uwierzysz
„Posiadasz opóźnienie …”
Tak się ostatno zastanawiam, kiedy Adam się podda i zakończy projekt z3s, bo będzie miał dosyć mądrości niektórych komentujących (którzy pewnie stanowią zdecydowaną mniejszość nas czytelników, ale przez swoją hałaśliwość psują imydż wszystkim).
„Nie śpię, bo ktoś w internecie się myli”
Ty się do tych mądrych nie zaliczasz.
Nie masz nic ciekawego do napisania oprócz żałosnego smędzenia.
Najlepiej nie pisz komentarzy. Pozostań przy samym czytaniu.
https://www.myconfinedspace.com/wp-content/uploads/2009/09/Unsuccessful-Troll-Is-Unsuccessful-499×416.jpg
Uderz w stół…
Ja mam nadzieję że Adam vel Mordehaj Horman zrobi to dla dobra ogółu. Czytać z3s to jak obejrzeć wszestkie serie tańca z gwiazdami po ukończeniu mody na sukces. Nic dobrego z tego nie wyniknie
He he, nawet niezłe. Ćwicz dalej!
Część z osob do ktorych rowniez ja sie zaliczam odwiedza z3s wlasnie dla komentarzy paru wybranych ktore poszerzaja horyzonty w temacie czasem bardziej niż treść artykułu
Obie domeny .pl. Jaki jest problem aby to zablokowac?
Kto ma decydować, które domeny zablokować? Kto ma zablokować?
CERT, NASK, Dyżurnet
w sensie oni twierdzą że blokują, nie mówię że powinni mieć prawo
Zablokowanie domeny .pl zajmuje pewnie z 48h, oszustwo kończy swój żywot po godzinie. Niestety ryzyko związane z błędna decyzja w procesie blokowania jest zbyt duże by ktoś zaakceptował szybszy proces. Gdyby były jakieś przepisy to regulujące to może się da. Ale nie ma żadnych i te instytucje działają tym procesie blokowania w oparciu o dobra wole swoich pracowników i kierownictwa… Jak coś pojdzie nie tak to będzie ich wina.
Kontakt do zainteresowanych podmiotow, w tym wypadku Enea i DotPay: Czy to wasze, tak/nie?
O jakim ryzyku tutaj mowimy?
skąd sprawcy wiedzą że ofiara ma prąd z Enea? przecież jak mam prąd z PGE to nie opłacę rachunku z Enea
Rozsyłanie masowo zapewnia że trafisz. Jak wielu zależy tylko od liczby maili na które wyślesz swój haczyk.
Czy Sms-ów jak w tym przypadku.
Ataki są pewnie w pewnym stopniu kierowane. To znaczy, lata bot po serwisie ogłoszeń i znajduje numery telefonów plus lokalizację. Operatorzy działają w określonych miejscach kraju https://images.app.goo.gl/UEshqGPdHBd1CTDU9
Group – kraj jest w miarę zrejonizowany i prawdopodobieństwo trafienia na odbiorcę danego operatora jest wysokie.
Dobry wieczor,
Wlasnie jestem w klubie. Gra muzyczka: https://www.youtube.com/watch?v=arZZw8NyPq8
Otrzymalem takiego smsa:
Na dzien 07.03.2020 jest przewidziana flaszka 0,7 L z Adamem HHeartle czy Hartle, jeden chuj Hantla niech bedzie. Oplac 5,00 PLN i zapisz sie na spotkanie: politechnikalodzka.online , nie trac okazji.
:*
Tylko dedykowany komp na którym nie ma nic oprócz przeglądarki „zabezpiecza” przeciętnego usera przed wirusem. Smartfon tylko dla apki token owej zamiast sms
Jak to możliwe, że dostawca SMSów nie może zidentyfikować nadawcy?! Przecież to wspieranie przestępczości i pobieranie za to pieniędzy.
1. Przestępca płaci za wysyłkę SMS anonimową metodą (bitcoiny, konta na fałszywe dane, cokolwiek).
2. Przestępca łączy się przez VPN, Tor, Socks (cokolwiek).
3. Koniec.
Powinni prawnie zabronić anonimowych transakcji za smsy. Bo negatywne skutki są ewidentne, a pozytywne są jakieś?
Skoro w Polsce trzeba rejestrować nr tel. to dostawca powinien dostarczać smsa tylko od osób zarejestrowanych, z jawną transakcją za usługę i w razie łamania prawa ścigać te osoby. Czy to nielogiczne?
Na całym świecie? :)
Nie. Wystarczy mieć realne 2FA. Bo te wszystkie oparte na programowanym terminalu gdzie dowolna z warstw tegoż oprogramowania nie jest kontrolowana oznacza ryzyko dla utraty tożsamości. Tak wystarczylby dowód osobisty z warstwa cyfrowa z polskim procesorem z cywilna funkcjonalnoscia podpisywania kluczem prywatnym. Gwarancje nienaruszalnosci klucza daje panstwo a gwarancje apki pracujacej poprzez api dowodu bank. Obywatel czuje sie bezpieczny bo jego tozsamość gwarantowana jest przez panstwo. Bank nie przegrywa spraw o ile nie zawiodła apka. Wszyscy zadowoleni. To co teraz ma miejsce w okresie przejsciowym to ciagle poszukiwania rozwiazan tatwych i tanich z lokowaniem produktu jak tu. Gwarantuje Wam ze gdyby kazdy obywatel chodzil z przenosnym czajnikiem to funkcja potwierdzania przelewow bylaby wbudowana w oprogramowanie czajnika i wielu z pewnoscią popieralo by taki pomysl
@HardwareBased
> Tak wystarczylby dowód osobisty z warstwa cyfrowa z
> polskim procesorem z cywilna funkcjonalnoscia
> podpisywania kluczem prywatnym. Gwarancje
> nienaruszalnosci klucza daje panstwo a gwarancje apki
> pracujacej poprzez api dowodu bank. Obywatel czuje
> sie bezpieczny bo jego tozsamość gwarantowana jest
> przez panstwo
To zalezy kto generuje klucz prywatny: obywatel samemu na swoim sprzecie czy panstwo. Bo jesli to drugie, to sluzby tego panstwa moga zapisac sobie ten klucz prywatny z czipu w dowodzie obywatela zeby w odpowiednim czasie moc zrobic kuku obywatelowi ktory okaze sie nieprawomyslny.
poważnie myślisz że taki zakaz zadziała?
anonimowe konta bankowe są zabronione i co, powstrzymało to złodziejów?