Wielu z nas korzysta z rozwiązań różnych instytucji finansowych, fintechów, czy też giełd kryptowalutowych w celu zarządzania środkami finansowymi, czy po prostu płatności bezgotówkowych. Popularność tych rozwiązań oczywiście nie umyka uwadze oszustów. W ostatnim czasie celem cyberprzestępców coraz częściej stają się platformy i systemy finansowe, jak np. Revolut, czy Wise, które nie są tradycyjnymi bankowościami. Podobnie jest ze znanymi giełdami kryptowalutowymi (Binance, Bybit, Coinbase), gdyż popularność oraz ilość środków pieniężnych gromadzonych na tych platformach stale rośnie. Na naszym blogu pojawił się już ten temat, gdy opisywaliśmy atak na giełdę Kanga Exchange.
Fałszywy SMS od Binance
Atak phishing, w którym oszuści podszywają się pod giełdę kryptowalut Binance rozpoczyna się od wiadomości SMS. Poniżej prezentujemy przykładową treść SMSa:
"Prosimy o przeprowadzenie aktualizacji przed 25 stycznia, w przeciwnym razie usluga zostanie zatrzymana! [link]"
Z tej lakonicznej wiadomości można wywnioskować, iż jeżeli przez cały czas chcemy korzystać z usług platformy kryptowalutowej Binance, to musimy przeprowadzić bliżej nieokreśloną aktualizację. Oszustom chodzi o to, aby osoby, które na co dzień korzystają z tej giełdy w przypływie emocji jak najszybciej przeszły na stronę, do której link został umieszczony w wiadomości SMS.
Na stronie zawarte są ogólne informacje np. dotyczące aktualnych kursów wybranych kryptowalut.
Jest także informacja o dedykowanej aplikacji, poprzez którą można korzystać z usług giełdy Binance. Przejdźmy jednak do formularza logowania, który znajduje się na górze strony.
Należy podać dane logowania w formie: adres email / numer telefonu oraz hasło. Tutaj od razu rzuca się w oczy zauważalna różnica dla osób często logujących się do platformy w wersji przeglądarkowej. Na fałszywej stronie należy wprowadzić w jednym kroku zarówno login, jak i hasło. Na oryginalnej stronie giełdy proces logowania odbywa się w kilku krokach.
Po wprowadzeniu danych logowania pojawia się komunikat, iż hasło jest niepoprawne i należy spróbować ponownie. Taki komunikat pojawia się kilkukrotnie. W tym czasie oszuści mogą próbować zalogować się wyłudzonymi danymi na oryginalnej stronie giełdy Binance. Tym samym mogą dostać się na konto użytkownika platformy i pozyskać zgromadzone tam środki.
Phishing na fintech Revolut
Podobny schemat ataku phishingowego, który ukierunkowany jest na użytkowników systemów finansowych, dotyczy marki Revolut.
W pierwszym kroku na fałszywej stronie logowania Revolut należy wprowadzić login, którym jest numer telefonu (tak też jest na oryginalnej stronie).
Kolejny krok to podanie hasła do konta (wyłącznie cyfry).
Po wprowadzeniu hasła należy podać następujące dane: imię i nazwisko, adres email, a także datę urodzenia.
Po wpisaniu tych danych pojawia się komunikat z informacją, iż należy zweryfikować adres email, który został podany w poprzednim kroku. Ponadto jest informacja, iż nastąpi przekierowanie do dostawcy poczty email.
W formularzu został podany adres będący w domenie wp.pl, stąd też przekierowanie nastąpiło do tej poczty elektronicznej. Należy szczególną uwagę zwrócić na adres strony, upewniając się, iż jest on identyczny z adresem oficjalnej strony wp.pl. Jak widzimy powyżej oszuści wykorzystali ten sam adres co do fałszywej strony Revolut. Zatem mamy do czynienia ze stroną phishing, na której ci sami oszuści chcą wyłudzić nasze dane logowania do poczty email. Na tym etapie prawdopodobnie wyświetlana jest strona, która podszywa się pod wybranego dostawcę usług poczty elektronicznej, w zależności od nazwy domeny jaka zostanie wprowadzona na fałszywej stronie Revolut.
W ostatnim etapie opisywanego ataku phishing należy przesłać swoje zdjęcie selfie. Może ono posłużyć hakerom w przyszłości np. do szantażu i próby wyłudzenia środków pieniężnych.
Podsumowanie zagrożenia
Oszuści ciągle posuwają się o krok dalej. W opisywanych schematach oszustw możemy zauważyć, iż hakerom nie zależy tylko na wyłudzeniu danych logowania do platform finansowych i giełd kryptowalutowych, ale również na innego rodzaju danych. Niepokojącym jest fakt, iż pozyskane przez nich dane tj. dostęp do poczty elektronicznej, dane osobowe czy zdjęcia mogą posłużyć do bardziej spersonalizowanych ataków.
Jak rozpoznawać i ochronić się przed tego typu atakami?
- Najważniejsze to, dokładne weryfikowanie źródła, z jakich otrzymujemy wiadomości SMS, email czy reklamy, na które natrafiamy np. w social media.
- Kolejna zasadnicza kwestia to weryfikacja adresów stron internetowych, które odwiedzamy lub, na które zostajemy przekierowywani poprzez linki otrzymywane w wiadomościach. Szczególną czujność należy zachować na stronach, gdzie wprowadzamy swoje poufne dane.
- Ważne jest, aby zachować spokój i przez chwilę zastanowić się czy treść wiadomości jest logiczna i czy na pewno nas dotyczy. Oszuści często wykorzystują sztuczki socjotechniczne, dlatego nigdy nie należy działać pochopnie choćby jeżeli jesteśmy informowani, iż usługa, z której korzystamy może zostać wyłączona lub dezaktywowana.
- Aby ochronić się przed tego typu atakami i w znaczący sposób utrudnić oszustom przejęcie naszego konta (np. na giełdzie kryptowalutowej) należy wykorzystywać dwuetapową weryfikację dostępu (2FA) wszędzie tam, gdzie jest to tylko możliwe. Szczególnie w serwisach i platformach, na których można przechowywać środki pieniężne, taka forma zabezpieczenia jest coraz częściej wymagana, a jeżeli nie to zalecamy jej wykorzystywanie.