Nagłaśniane przez polityków i media programy socjalne wzbudzają duże emocje. Tym bardziej, o ile obiecywane są nam pieniądze, czy też dopłaty w różnej formie. I jak zawsze w takich przypadkach, okazję tę wykorzystują cyberprzestępcy. W najnowszej kampanii phishing, zachęcają do klikania w linki z wiadomości SMS pod pretekstem odebrania pieniędzy. Pretekstem do tego są rządowe programy - dodatek mieszkaniowy, czy świadczenie 500+.
Wiadomość SMS
Jak większość ataków phishing, tak i ten zaczyna się od wiadomości SMS. W tym przypadku treści wiadomości są różne, jednak zawsze informują o pozytywnym rozpatrzeniu wniosku, czy oczekujących pieniądzach do odebrania.
Oto przykładowe wiadomości SMS, jakie możesz otrzymać:
" Finansowanie: Czas na realizacje marzeń: [link]"
" Ciesz sie! Pieniadze na wyciagniecie reki: [link]"
" Gratulacje! Finansowanie odnotowane: [link]"
" Gratulacje, twoje wysilki nie poszly na marne: [link]"
" Sukces? Tak, finansowanie przyznane: [link]"
Wprowadzony niedawno tani kredyt mieszkaniowy, do którego dopłaty mają płynąć z budżetu Państwa, jest w tej chwili gorącym tematem. Jest szeroko opisywany w mediach i budzi zainteresowanie dużej części społeczeństwa. prawdopodobnie dlatego właśnie cyberprzestępcy postanowili wykorzystać go w swojej kampanii. Prawdopodobieństwo, iż osoba, która otrzyma takiego SMSa, zainteresuje się nim, kliknie w link i da się oszukać na stronie phishing jest dosyć wysokie.
Strona podszywająca się pod portal rządowy
Jeżeli klikniemy w link z wiadomości SMS, to zostaniemy przekierowani do strony, która wizualnie może sugerować, iż jest stroną rządową. Znajdziemy na niej informację o możliwości uzyskania dodatku mieszkaniowego. Wystarczy odpowiedzieć na kilka prostych pytań. Aby rozpocząć ten proces, klikamy START.
Po kliknięciu START pojawia się pierwsze pytanie - o to ile osób mieszka wraz z nami. Po zaznaczeniu dowolnej odpowiedzi, zostajemy przekierowani do kolejnego pytania.
W drugim pytaniu należy określić, czy zamieszkujemy z osobą niepełnosprawną. Po wybraniu odpowiedzi TAK lub NIE cała ankieta dobiega końca.
Aby uzyskać rzekomy dodatek mieszkaniowy należało odpowiedzieć tylko na dwa pytania, a udzielane odpowiedzi nie miały znaczenia na jej wynik. Jak dowiadujemy się z komunikatu wyświetlonego na stronie, w tym momencie możemy "obliczyć swoją korzyść", czyli prawdopodobnie wysokość dodatku mieszkaniowego jaka nam przysługuje.
Po kliknięciu przycisku Oblicz swoją korzyść, pojawia się informacja, iż przysługuje nam wypłata pieniędzy, jednak kwota nie została dokładnie określona. Jest to przedział pomiędzy 206,90 zł a 1956,60 zł. Kwota z tego przedziału, po zweryfikowaniu naszej tożsamości, ma trafić na nasze konto bankowe.
W kolejnym etapie ataku należy więc potwierdzić swoją tożsamość, rzekomo przy pomocy profilu zaufanego, bądź swojej bankowości.
Po wybraniu z listy bankowości, zostajemy przekierowani do strony phishing.
Oryginalne strony rządowe, które wymagają potwierdzania tożsamości poprzez profil zaufany lub bankowość internetową - przekierowują do oryginalnych stron, gdzie należy się zalogować.
W tym przypadku, jak możemy zauważyć w pasku adresu - strona logowania do mBanku jest w domenie zasilki-govpl[.]online. Jest to oczywiste oszustwo, a próba logowania na tej stronie spowoduje, iż wpisywane przez nas dane trafią do cyberprzestępców, którzy stoją za tym atakiem. Dane te będą mogli wykorzystać, aby uzyskać dostęp do naszego konta bankowego i dokonać kradzieży pieniędzy, jakie się tam znajdują.
Inną metodą, dzięki której rzekomo możemy otrzymać wspomniany wcześniej dodatek mieszkaniowy jest podanie danych swojej karty płatniczej. Wówczas na podaną kartę wpłyną pieniądze. Jednak takie dane w rzeczywistości mogą posłużyć cyberprzestępcom podczas robienia zakupów w internecie. Będą oni mogli zapłacić za nie, posługując się naszą kartą i to nasz rachunek zostanie wówczas obciążony odpowiednimi kwotami.
Inne ataki - ZUS, 500 plus
Cyberprzestępcy, poza dodatkiem mieszkaniowym, wykorzystują również inne rządowe programy w swoich oszustwach. Oto przykład fałszywej strony Zakładu Ubezpieczeń Społecznych, gdzie rzekomo możemy złożyć wniosek o 500+. Linki do tej strony są również przesyłane w wiadomościach SMS. Strona w domenie zus-pl-dla500[.]online jasno wskazuje, iż jest to oszustwo. W kolejnych etapach tego ataku są wyłudzane dane logowania do bankowości oraz dane kart płatniczych.
Przykładowe inne domeny wykorzystywane w tym ataku:
zus-pl-dla500[.]online
500plus-gov-pl[.]online
500-govpl[.]online
rodzina500plus-gov-pl[.]site
gov-pl-web[.]online
Złośliwe strony wykorzystywane w opisanym ataku są przez nas skutecznie blokowane w BrowserWall DNS. Informacje na temat aktualnych zagrożeń w cyberprzestrzeni są dostępne w CTI Feed. Baza danych o cyberzagrożeniach jest aktualizowana na bieżąco.
Podsumowanie
Uważajcie na wiadomości SMS, jakie otrzymujecie i dokładnie je weryfikujcie. Szczególną uwagę należy zwracać na te wiadomości, które informują o pieniądzach do odebrania, jak w opisywanych atakach. Linki z wiadomości SMS mogą bowiem przekierowywać do stron phishing. Skuteczny atak będzie wówczas skutkował utratą pieniędzy z konta bankowego.
Jeżeli nie jesteście pewni, co do autentyczności otrzymanej wiadomości, zawsze możecie przesłać ją na ZGŁOŚINCYDENT.