06.03.2020 | 17:25

Adam Haertle

Uwaga na nowy, wzbogacony scenariusz oszustwa „na Dotpaya”

Autorzy oszustw opartych o fałszywe panele szybkich płatności najczęściej powtarzają stare schematy działania. Czasem jednak wymyślą coś nowego i warto o tym poinformować internautów. Tym razem pojawił się dodatkowy etap oszustwa.

Od jednego z Czytelników otrzymaliśmy treść wiadomości SMS z linkiem, który zamiast prowadzić od razu do fałszywej witryny wyłudzającej dane logowania do banku, najpierw urabia ofiarę dodatkowym komunikatem.

Scenariusz krok po kroku

Treść wiadomości SMS to

Enea: Na dzień 07.03 zaplanowano odlaczenie energii elektrycznej! Prosimy o pilne uregulowanie naleznosci 9.28 PLN. Sprawdz na twojaenea.pl/Pd89aQ

Treść wiadomości SMS

Strona twojaenea.pl wita użytkownika rzekomym ekranem oczekiwania, wyglądającym tak:

Ekran oczekiwania

W trakcie jego ładowania nie dzieje się de facto nic ciekawego. Po chwili pojawia się ekran docelowy o treści

Posiadasz opóźnienie w płatności przekraczające 30 dni!

Kwota zaległości: 9,28 zł

Termin upłynął: 45 dni temu

W dniu 07.03.2020 nastąpi odcięcie energii elektrycznej.

Fałszywy komunikat o zaległości

Link „Zapłać teraz 9,28 zł” prowadzi do strony pod adresem sslplatnosc.online, gdzie na ofiarę czeka już fałszywy panel płatności Dotpaya.

Fałszywy panel płatności

Aktualizacja 19:00 – link obecnie prowadzi do zaplaconline.pl/fEF24fdSeRs, a strona dla odmiany podszywa się pod PayU.

Mechanizm działania takiego panelu i sposób wyłudzenia kodu z wiadomości SMS opisaliśmy w tym artykule. Aktywność przestępców (co najmniej kilka nowych witryn dziennie przez ostatnie kilka miesięcy) pokazuje, że ataki te nadal są skuteczne.

Interesują Cię takie historie?
Na naszej konferencji Oh My H@ck na pewno nie zabraknie opowieści o różnych atakach na polskich internautów i ściganiu cyberprzestępców. Kup bilet, dopóki ceny nie wzrosły – tak tanio już nie będzie!
Powrót

Komentarze

  • 2020.03.06 20:20 Si

    Jak płacę, zawsze sprawdzam w panelu faktury lub powiadomienia. Wchodzę samemu wpisując adres w przeglądarce www. To pozwala uniknąć przykrej niespodzianki.

    Odpowiedz
    • 2020.03.07 06:39 Twój Nick

      @Si Użytkownicy smatrfonów są zbyt leniwi aby przepisywać adres, a czasami nawet adres może nie wzbudzić czujności osób nadmiernie naiwnych i niezbyt obeznanych w sztuczkach oszutów.

      Nie wiem jak jest z bezpieczeństwem systemu iOS, ale ją bym się bał używać bankowisci mobilnej na Androidzie. Bankowość na smartfonach (często bez antywirusa), to jest dla mnie duża lekkomyślność, zwłaszcza że bank zawsze może powiedzieć, że użytkownik nie zachował należytej ostrożności.

      Odpowiedz
      • 2020.03.07 08:28 Adam Haertle

        Bankowość na telefonie jest o kilka rzędów wielkości bezpieczniejsza niż na komputerze

        Odpowiedz
        • 2020.03.07 08:48 max

          Mógłbyś rozwinąć tę niezwykle zaskakującą tezę?

          Odpowiedz
          • 2020.03.07 10:03 Adam Haertle

            Tak. Ale to już w artykule bo będzie większy pożytek. W skrócie – znacząco niższa stopa infekcji, inna architektura, wyłączenie phishingu.

        • 2020.03.07 09:01 Duży Pies

          No chyba że w sklepie Google’a jest do pobrania apka do bankowości Banku WBK (to chyba był ten bank), tak jak to było kilka lat temu, która udawała apkę prawdziwego banku a tak naprawdę kradła pieniądze.

          Odpowiedz
          • 2020.03.07 10:02 Adam Haertle

            „Chodzenie po chodniku jest niebezpieczne po cztery lata temu teścia potrącił samochód”

          • 2020.03.07 10:46 draft

            Jeżeli na tym samym chodniku, ten sam samochód potrącił 1000 teściów to jest się nad czym zastanawiać. Nawet jeżeli to było 4 lata temu.

          • 2020.03.07 12:02 Adam Haertle

            Potrąceniami przez samochody napędzane parą też do dzisiaj się przejmujesz?

          • 2020.03.07 11:58 bom

            To się cały czas zdarza:
            Mobile malware evolution 2019
            https://securelist.com/mobile-malware-evolution-2019/96280/
            polecam fragment:
            Mobile Trojans on popular marketplaces: Google Play

          • 2020.03.07 16:50 Duży Pies

            @Adam Haertle
            Nie chodzi tylko o tę jedną apkę. Chodzi o cały ekosystem Sklepu Google’a pozwalający na umieszczenie w nim i dystrybucję softu zawierającego złośliwy/niebezpieczny kod.
            Pod tym względem Apple ze swoim Sklepem wychodzi o niebo lepiej. Zaliczyli raptem jakieś 1-2 wtopy, gdzie przeszły przez ich audyt, jak się okazało złośliwe apki.
            O ile bankowa apka w zaktualizowanym Androidzie może i jest bezpieczniejsza niż apka webowa (desktopowa), to ciągłym i nierozwiązanym problemem na Androida jest sposób sprawdzania i audytu (właściwie niesprawdzania i braku audytu) takiej apki przed umieszczeniem jej w Sklepie.
            Więc Twoje aluzje o „teściu kiedyś potrąconym przez samochód” są niewłaściwe. Źle mnie zrozumiałeś.

          • 2020.03.07 17:47 Adam Haertle

            Sklep Androida zrobił bardzo duże postępy przez ostatni rok, to raz. A dwa, na phishing zawsze ktoś kozę być podatny, a jak ma już aplikacje banku to nie pobierze złośliwej. A dawno już żadnej bankowej w sklepie nie było.

          • 2020.03.07 19:52 Tymek

            Nawet jak sam zainstalujesz trojana, który wykradnie ci kontakty, bo sam dasz dostęp/upraenienia, to nie wykradnie danych z przestrzeni aplikacji bankowej. Bo na androidzie dobrze działa SElinux. No, chyba, że zrootowałeś sobie telefon… Ale to wtedy sam się prosisz o problemy.

        • 2020.03.07 11:16 bom

          Aby określić ryzyko poszczególnych kanałów dystrybucji najlepiej porównać dzienne limity przelewów, które banki określiły dla tych kanałów.
          Generalnie wygląda to następująco:
          – operacje w oddziale banku – brak dziennego limitu przelewów (najmniejsze ryzyko),
          – bankowość internetowa – określone dzienne limity przelewów,
          – bankowość mobilna – dzienne limity przelewów znacząco mniejsze niż w bankowości internetowej (największe ryzyko).
          Limity określone dla danego kanału dystrybucji mają ograniczyć ryzyko związane z danym kanałem dystrybucji.
          Kilka przykładów:
          limit bankowość internetowej / limit aplikacja mobilna
          iPKO 300 000 zł / 30 000 zł
          ING 400 000 zł / 200 000 zł
          mBank 500 000 zł / 5 000 zł
          Santander 125 000 zł / 10 000 zł
          W zależności od banku są to limity maksymalne lub domyślne, które można podnieść.

          Odpowiedz
        • 2020.03.09 08:57 Gal Nie Anonim :]

          Bardzo odważna teza, z którą pozwolę się nie zgodzić.

          Po pierwsze: „Bankując” na telefonie tracisz zalety 2FA, bo wszystko jest w jednym miejscu i to 2FA jest na takim samym poziomie jak argumentacja, że mam 2FA dla SSH bo:
          – muszę mieć klucz prywatny
          – muszę znać passphrase do klucza

          Po drugie u mnie komputer jest dużo bardziej bezpieczny niż większość moich telefonów i nie wiem jak do tego samego stanu doprowadzić telefon.
          Zdaję sobie sprawę, że jestem pewnie nietypowym użytkownikiem.

          Dlaczego komputer:
          1. Linux – OpenSource – całe oprogramowanie poza bardzo nielicznymi wyjątkami jest oprogramowaniem OpenSource w którym obowiązują inne relacje zaufania. Jest dostępny pełny kod źródłowy który można modyfikować/przerabiać. Kod budowany jest w dużej części poprzez
          Reproducible Builds – https://reproducible-builds.org/ .
          To powoduje, że mam znacznie większe zaufanie do oprogramowania, a samo oprogramowanie jest lepiej nadzorowane.
          2. Linux – dystrybucja – jeden spójny mechanizm uaktualnień, centralne miejsce zgłaszania błędów, organizacja dbająca o to aby nie było w dystrybucji oprogramowania z błędami bezpieczeństwa.
          3. Firefox z dodatkami podnoszącymi bezpieczeństwo – używalność słaba (duża upierdliwość – ale da się). Ekran większy. więc widzę dobrze treść która mnie interesuje i nie muszę wnikać co z dziesiątek dziwnych domen muszę jeszcze włączyć.
          4. Zakup sprzętu działającego z Linuksem powoduje, że przestaje być zakładnikiem producenta który może na mnie wymusić instalację dowolnej (najnowszej) wersji oprogramowania tak aby móc korzystać z zakupionego sprzętu (np. moduł FLIR i apka FLIR ONE do telefonu, gdzie w pewnym momencie dodali mnóstwo dodatkowych uprawnień itp., ).
          5. Terminowe aktualizacje.

          Dlaczego nie telefon:
          1. Bardzo mała dostępność czystego Androida. Często mnóstwo dodatkowego oprogramowania które jest dostępne tylko w formie zamkniętej. Część kernel tylko dostępna binarnie co powoduje, że nie ma jak uaktualniać samemu najważniejszej części systemu operacyjnego. Błąd w kernelu który można wykorzystać to właściwie „game over”.
          2. Mimo centralnego systemu aktualizacji każda z aplikacji uaktualnia swoje biblioteki tylko i wyłącznie w oparciu o „widzi mi się” autora aplikacji – czyli wydanie nowej wersji (z nową funkcjonalnością). Nie spotkałem jeszcze aplikacji w której by ktoś napisał w zmianach „poprawka bezpieczeństwa” – a lubię sobie poczytać zmiany.
          3. Dodatkami do przeglądarki zwiększające bezpieczeństwo (i wyłączające niepotrzebną z mojego punktu widzenia część aktywną strony) powoduję, że na małym ekranie staje się to nieużywalne. Nie da się konsumować treści jak trzeba ciągle przesuwać palcem lewo-prawo, lub zostają na większej części ekranu komunikaty zasłaniające treść które można usunąć dopiero po aktywacji skryptów z różnych domen.
          4. Moda na sprzęt działający z telefon powoduje, że jest się zakładnikiem. Chcę korzystać z czegoś, wymieniłem telefon i naraz mam aplikację w której nie mogę zaakceptować uprawnień a bez nich nie działa. To powoduje, że „tresuje” się użytkowników aby klikali we wszystko co im się pokaże bo inaczej nie będzie działać. I to jest bardzo złe.
          Tak samo jak wygląda okienko licencyjne większości oprogramowani komercyjnego na 32″ monitorze. Takie małe coś jak 4 znaczki pocztowe na środku ekranu które trzeba skalować i często nie można nawet wydrukować.
          Takie zachowania „TRESUJĄ” użytkowników do bezmyślnego klikania/macania każdego komunikatu i są bardzo szkodliwe dla społeczeństwa.
          5. Brak terminowych aktualizacji. A nawet jak są, to się okazuje, że potrafili oszukać pisząc co poprawili np.
          https://www.xda-developers.com/android-oem-lying-security-patches/
          W Androidzie to nie wiadomo nawet co kupić poza Google Pixel aby mieć poprawki, iPhone jest dla mnie zbyt zamkniętą platformą i co jest tutaj o kilka rzędów wielkości bezpieczeniejsze?

          Odpowiedz
      • 2020.03.07 21:26 michu

        W życiu nie zapłaciłem nic telefonem, poprzez telefon, przy pomocy telefonu. W życiu. Nie wiem co przyniesie przyszłość, ale jestem bardzo konserwatywny w tej materii. Tylko komputer i przeglądarka, gdzie widzę linki po najechaniu myszą, widzę pasek adresu, znam układ strony swojego banku przy danym powiększeniu i na moim monitorze (oczywiście nic tu nie mierzę miarką, po prostu widzę to co zwykle). Komputera nie zgubię, nikt nie ma dostępu poza mną i rodziną. I nigdy się nie naciąłem, nigdy nie straciłem ani złotówki przez kilkanaście lat takiego postępowania.

        Z niecierpliwością czekam, aż Adam napisze ten artykuł dlaczego płacenie mobilne jest bezpieczniejsze niż stacjonarne, bo mam tu chyba potężne luki i kieruję się ciemnym zabobonem i paranoją, a nie zwykłą ostrożnością. Mądrego dobrze poczytać.

        Odpowiedz
        • 2020.03.08 20:53 bitcoiniarz

          mądrego? haha, dobre. większa stopa infekcji na komputerze? chyba jak się używa windowsa jak ta lamka, Adam. nigdy nie wysłałbym kasy z ani z windowsa, ani z telefonu. pozdrawiam

          Odpowiedz
          • 2020.03.09 12:23 Blob

            Tylko takich frajerów od bitcoinow kroją najczęściej…

  • 2020.03.06 21:12 hm

    Jeżeli uwierzysz
    „Posiadasz opóźnienie …”

    Odpowiedz
  • 2020.03.07 12:08 Rudolf z Hesji

    Tak się ostatno zastanawiam, kiedy Adam się podda i zakończy projekt z3s, bo będzie miał dosyć mądrości niektórych komentujących (którzy pewnie stanowią zdecydowaną mniejszość nas czytelników, ale przez swoją hałaśliwość psują imydż wszystkim).

    Odpowiedz
    • 2020.03.07 14:50 Adam Haertle

      „Nie śpię, bo ktoś w internecie się myli”

      Odpowiedz
    • 2020.03.07 16:55 Duży Pies

      Ty się do tych mądrych nie zaliczasz.
      Nie masz nic ciekawego do napisania oprócz żałosnego smędzenia.
      Najlepiej nie pisz komentarzy. Pozostań przy samym czytaniu.
      https://www.myconfinedspace.com/wp-content/uploads/2009/09/Unsuccessful-Troll-Is-Unsuccessful-499×416.jpg

      Odpowiedz
      • 2020.03.08 10:19 bardzo sukcesywny troll

        Uderz w stół…

        Odpowiedz
    • 2020.03.07 18:02 Olala

      Ja mam nadzieję że Adam vel Mordehaj Horman zrobi to dla dobra ogółu. Czytać z3s to jak obejrzeć wszestkie serie tańca z gwiazdami po ukończeniu mody na sukces. Nic dobrego z tego nie wyniknie

      Odpowiedz
      • 2020.03.07 19:59 Duży Pies

        He he, nawet niezłe. Ćwicz dalej!

        Odpowiedz
    • 2020.03.10 07:47 MyliszSie

      Część z osob do ktorych rowniez ja sie zaliczam odwiedza z3s wlasnie dla komentarzy paru wybranych ktore poszerzaja horyzonty w temacie czasem bardziej niż treść artykułu

      Odpowiedz
  • 2020.03.07 14:33 Wujek Pawel

    Obie domeny .pl. Jaki jest problem aby to zablokowac?

    Odpowiedz
    • 2020.03.07 14:50 Adam Haertle

      Kto ma decydować, które domeny zablokować? Kto ma zablokować?

      Odpowiedz
      • 2020.03.07 16:00 CERT

        CERT, NASK, Dyżurnet
        w sensie oni twierdzą że blokują, nie mówię że powinni mieć prawo

        Odpowiedz
        • 2020.03.07 17:51 Adam Haertle

          Zablokowanie domeny .pl zajmuje pewnie z 48h, oszustwo kończy swój żywot po godzinie. Niestety ryzyko związane z błędna decyzja w procesie blokowania jest zbyt duże by ktoś zaakceptował szybszy proces. Gdyby były jakieś przepisy to regulujące to może się da. Ale nie ma żadnych i te instytucje działają tym procesie blokowania w oparciu o dobra wole swoich pracowników i kierownictwa… Jak coś pojdzie nie tak to będzie ich wina.

          Odpowiedz
          • 2020.03.07 22:49 Wujek Pawel

            Kontakt do zainteresowanych podmiotow, w tym wypadku Enea i DotPay: Czy to wasze, tak/nie?

            O jakim ryzyku tutaj mowimy?

  • 2020.03.07 15:57 Enea

    skąd sprawcy wiedzą że ofiara ma prąd z Enea? przecież jak mam prąd z PGE to nie opłacę rachunku z Enea

    Odpowiedz
    • 2020.03.07 18:54 Hubabuba

      Rozsyłanie masowo zapewnia że trafisz. Jak wielu zależy tylko od liczby maili na które wyślesz swój haczyk.

      Odpowiedz
    • 2020.03.07 18:57 Hubabuba

      Czy Sms-ów jak w tym przypadku.

      Odpowiedz
    • 2020.03.07 19:08 robert

      Ataki są pewnie w pewnym stopniu kierowane. To znaczy, lata bot po serwisie ogłoszeń i znajduje numery telefonów plus lokalizację. Operatorzy działają w określonych miejscach kraju https://images.app.goo.gl/UEshqGPdHBd1CTDU9

      Odpowiedz
    • 2020.03.09 12:47 Chester

      Group – kraj jest w miarę zrejonizowany i prawdopodobieństwo trafienia na odbiorcę danego operatora jest wysokie.

      Odpowiedz
  • 2020.03.07 18:58 SiostrzeniecAdama

    Dobry wieczor,

    Wlasnie jestem w klubie. Gra muzyczka: https://www.youtube.com/watch?v=arZZw8NyPq8

    Otrzymalem takiego smsa:

    Na dzien 07.03.2020 jest przewidziana flaszka 0,7 L z Adamem HHeartle czy Hartle, jeden chuj Hantla niech bedzie. Oplac 5,00 PLN i zapisz sie na spotkanie: politechnikalodzka.online , nie trac okazji.

    Odpowiedz
  • 2020.03.07 21:40 Erwin

    Tylko dedykowany komp na którym nie ma nic oprócz przeglądarki „zabezpiecza” przeciętnego usera przed wirusem. Smartfon tylko dla apki token owej zamiast sms

    Odpowiedz
  • 2020.03.08 10:56 Olek

    Jak to możliwe, że dostawca SMSów nie może zidentyfikować nadawcy?! Przecież to wspieranie przestępczości i pobieranie za to pieniędzy.

    Odpowiedz
    • 2020.03.08 13:00 Adam Haertle

      1. Przestępca płaci za wysyłkę SMS anonimową metodą (bitcoiny, konta na fałszywe dane, cokolwiek).
      2. Przestępca łączy się przez VPN, Tor, Socks (cokolwiek).
      3. Koniec.

      Odpowiedz
      • 2020.03.08 16:59 Olek

        Powinni prawnie zabronić anonimowych transakcji za smsy. Bo negatywne skutki są ewidentne, a pozytywne są jakieś?

        Skoro w Polsce trzeba rejestrować nr tel. to dostawca powinien dostarczać smsa tylko od osób zarejestrowanych, z jawną transakcją za usługę i w razie łamania prawa ścigać te osoby. Czy to nielogiczne?

        Odpowiedz
        • 2020.03.08 17:13 Adam Haertle

          Na całym świecie? :)

          Odpowiedz
          • 2020.03.10 07:36 HardwareBased

            Nie. Wystarczy mieć realne 2FA. Bo te wszystkie oparte na programowanym terminalu gdzie dowolna z warstw tegoż oprogramowania nie jest kontrolowana oznacza ryzyko dla utraty tożsamości. Tak wystarczylby dowód osobisty z warstwa cyfrowa z polskim procesorem z cywilna funkcjonalnoscia podpisywania kluczem prywatnym. Gwarancje nienaruszalnosci klucza daje panstwo a gwarancje apki pracujacej poprzez api dowodu bank. Obywatel czuje sie bezpieczny bo jego tozsamość gwarantowana jest przez panstwo. Bank nie przegrywa spraw o ile nie zawiodła apka. Wszyscy zadowoleni. To co teraz ma miejsce w okresie przejsciowym to ciagle poszukiwania rozwiazan tatwych i tanich z lokowaniem produktu jak tu. Gwarantuje Wam ze gdyby kazdy obywatel chodzil z przenosnym czajnikiem to funkcja potwierdzania przelewow bylaby wbudowana w oprogramowanie czajnika i wielu z pewnoscią popieralo by taki pomysl

          • 2020.03.12 00:27 master

            @HardwareBased

            > Tak wystarczylby dowód osobisty z warstwa cyfrowa z
            > polskim procesorem z cywilna funkcjonalnoscia
            > podpisywania kluczem prywatnym. Gwarancje
            > nienaruszalnosci klucza daje panstwo a gwarancje apki
            > pracujacej poprzez api dowodu bank. Obywatel czuje
            > sie bezpieczny bo jego tozsamość gwarantowana jest
            > przez panstwo

            To zalezy kto generuje klucz prywatny: obywatel samemu na swoim sprzecie czy panstwo. Bo jesli to drugie, to sluzby tego panstwa moga zapisac sobie ten klucz prywatny z czipu w dowodzie obywatela zeby w odpowiednim czasie moc zrobic kuku obywatelowi ktory okaze sie nieprawomyslny.

        • 2020.03.08 23:26 muł

          poważnie myślisz że taki zakaz zadziała?
          anonimowe konta bankowe są zabronione i co, powstrzymało to złodziejów?

          Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nowy, wzbogacony scenariusz oszustwa „na Dotpaya”

Komentarze