Nowe oszustwa na płatności – mBank, Polsat i Apple

cert.orange.pl 1 dzień temu

CERT Orange Polska zidentyfikował trzy podobne oszustwa na płatności. Przestępcy celują tym razem w klientów mBanku, Polsat i Apple.

We wszystkich opisywanych schematach źródłem phishingu jest wiadomość e-mail. W przypadku mBanku motywem jest rzekoma konieczność aktualizacji numeru telefonu, by uniknąć zawieszenia konta:

Docelowa witryna to hxxps://francy93065be.s3.us-east-1.amazonaws[.]com. W trakcie analizy strona była już niedostępna, jednak treść linku brzmiąca „Zaloguj się” sugeruje, iż w kolejnym kroku ofierze pojawiłaby się podstawiona strona banku, a wpisane poświadczenia logowania trafiłyby do przestępcy. Co dalej? Próba zalogowania, wyłudzenie socjotechniczną sztuczką kodów uwierzytelniania dwuskładnikowego i kradzież pieniędzy z konta.

Drugi przypadek to „brak płatności za fakturę” Polsat Box. Domena hxxps://www.9o9-7y7[.]com również nie jest już dostępna. W tym przypadku brzmienie wiadomości i treść linku, który ma kliknąć ofiara, sugeruje fałszywą bramkę płatności. Doświadczenie wskazuje, iż za jej pośrednictwem można było „zapłacić” (czyli przekazać dane oszustom) kartą płatniczą. Być może przestępcy przygotowali również fałszywe strony logowania do banków.

Ostatni przypadek to Apple i rzekoma niedopłata. Przestępcy tym razem się przygotowali – kwota którą podali to faktyczna cena miesięcznego dostępu do Apple TV w trwającej w tej chwili promocji:

Tutaj link – podobnie jak w przypadku oszustwa na płatności w mBanku – prowadzi nas na stronę hostowaną na chmurze Amazonu, zaś docelowo na witrynę hxxps://zlm.update-app007.com[.]es. Tym razem strona była jeszcze dostępna. Gdy zalogowaliśmy się na nią nieistniejącymi danymi, pokazała się informacja o blokadzie:

Po wpisaniu technicznego numeru karty i kilku minutach oczekiwania dostaliśmy informację zwrotną o błędnych danych. Czemu potrwało to tyle? Oszuści wysyłając tego typu kampanie śledzą na bieżąco dane wpisywane przez ofiarę w formularzu.