W ostatnich tygodniach w mediach internetowych i społecznościowych można zauważyć sporo informacji na temat dziwnych SMS-ów, rzekomo od Binance. CERT Orange Polska przyjrzał się tematowi bardzo dokładnie. W efekcie dowiedzieliśmy się na czym dokładnie polega to oszustwo!
Zaczyna się od SMS-a. W polu nadawcy widnieje nadpis „Binance”. Treści mogą być różne, ale zawsze dotyczą aktywności na koncie. Oszuści stosują rzadko używaną socjotechniczną sztuczkę, sugerującą, iż już stało się coś potencjalnie złego, a odbiorca SMS-a może to odwrócić jeżeli natychmiast zadzwoni. Warto zwrócić uwagę, iż treść wiadomości może być zarówno po polsku, jak i w języku angielskim.
Przykłady wiadomości:
Twoj kod weryfikacyjny logowania to 353423. Jesli to nie Ty, zadzwon pod +48223072501 natychmiast. REF/53642.
A new d3vice h4s logg3d in fr0m Bucharest, Romania. N0T Y0U? Please c4ll us at +48223970181
You have successfully updated a new device from Malaga, Spain. If this was NOT you, contact us immediately on +48858760006 Ref/BM6382
You’ve successfully linked a third-party app to your account allowing direct access to your funds. If you didn’t authorize this, call us at +48223072899
Zatem zadzwoniliśmy.
Najpierw po angielsku, potem po polsku
Na początku połączenia automatyczny komunikat poinformował nas, iż obsługa polskojęzyczna jest w tej chwili niedostępna i zostaniemy przełączeni do anglojęzycznej. Spotkaliśmy się jednak z przypadkiem, gdy rozmowa zaczyna się od razu od języka polskiego.
Po odebraniu konsultant zadał kilka pytań. M.in. o termin ostatniego logowania, stan środków na koncie (być może dlatego, by wiedzieć, czy warto zawracać sobie głowę ofiarą z pustym kontem) oraz o numer referencyjny z treści SMS-a. Po uzupełnieniu wiedzy anglojęzyczny konsultant poinformował, iż za chwilę oddzwoni do nas osoba mówiąca po polsku.
Po upływie dwóch minut faktycznie zadzwonił inny oszust. Numer telefonu prezentował się jako prywatny.
Osoba dzwoniąca poinformowała, iż dzwoni z “sekcji reagowania w sytuacjach kryzysowych”. Może się też zdarzyć, iż przedstawi się jako “wsparcie techniczne”. Rozpoczął od pytania, czy ktoś korzystający z naszego konta logował się ostatnio z Madrytu. Co ciekawe, ofiara tej sytuacji ma właśnie zaprzeczyć! Bo skoro się nie logowała, to znaczy, iż z kontem dzieje się coś złego. Kontynuując “sprawdzanie” zaznaczył, że… nie spyta o dane logowania, bo to niebezpieczne. Kolejna wykorzystująca socjotechnikę próba podniesienia wiarygodności oszustwa.
Ile Pan ma pieniędzy w Binance?
Rozmówca wyjaśnił, iż w celu weryfikacji wystarczy podać dokładny stan naszego konta.Jeśli ktokolwiek miałby jeszcze wątpliwości, czy rozmawiamy z prawdziwym konsultantem Binance, w tym momencie ostatecznie by się rozwiały. W sytuacji, gdy nie mając konta w serwisie i podając wymyśloną kwotę (w naszym przypadku 10 tys. dolarów) dowiadujemy się, iż nasze konto (!) jest zagrożone, przestępcy mogą je wyczyścić i rozmówca przeprowadzi nas przez proces zabezpieczenia naszych pieniędzy.
Jak możemy to zrobić? “Konsultant” zapytał z jakiej mobilnej platformy korzystamy. Gdy dowiedział się, iż dysponujemy telefonem z systemem Android – podał link do aplikacji Trustwallet.
Fakt skorzystania z Trustwallet to kolejna sprytna socjotechniczna sztuczka atakujących. Jest to bowiem autentyczna, rzetelna, niezłośliwa aplikacja. Służy ona obsługi portfela kryptowalutowego. Warto zaznaczyć, iż przestępca nie podaje żadnego linku – informuje, by zainstalować aplikację bezpośrednio ze Sklepu Play.
Wpisz hasło i przelej środki Binance (do oszusta)
W kolejnym kroku atakujący informuje, iż po zainstalowaniu aplikacji należy wpisać do niej 12-wyrazowe “hasło”, by uzyskać dostęp do “naszego konta”. Gdy to zrobimy, rozmówca deklaruje, iż przeprowadzi nas krok po kroku przez proces przesłania naszych kryptowalut na rzekomo bezpieczne konto.
SMS z 12 wyrazami faktycznie przyszedł, również – jak pierwszy SMS – z nadpisu “Binance”. My jednak musieliśmy się wycofać, bowiem nie mamy konta w Binance, a choćby gdybyśmy je mieli – wiedzielibyśmy, iż jedyne zagrożenie dla naszych finansów to oszust, z którym rozmawiamy. Próbowaliśmy przeciągnąć rozmowę, prosząc o więcej czasu. Ostatecznie rozmówca poinformował nas, iż konto zostanie dezaktywowane, a on przekaże raport do Działu Bezpieczeństwa, w efekcie czego będziemy musieli ustawiać od nowa dane logowania.
Co mogło się stać, gdybyśmy mieli konto w Binance i złapali się na oszustwo? Oddajmy głos naszemu ekspertowi od bezpieczeństwa oraz kryptowalut, Adamowi Pichlakowi:
12 wyrazów, które zostało przysłane SMS-em to forma zapisu klucza prywatnego portfela. W momencie wpisania tego kodu i przelania na “nasze” konto kryptowalut, trafią one również do portfela przestępcy (ofiara i oszust współdzielą klucz prywatny portfela). Biorąc pod uwagę, iż utrzymuje on na bieżąco połączenie telefoniczne z ofiarą, można założyć, iż od razu wyprowadzi je on na inne konto.
Co robić?
Jeśli nie macie konta na Binance, nie ma ryzyka, iż stanie się Wam coś złego. Można też założyć, iż jeżeli atakujący trafi na faktycznego użytkownika Binance, ten okaże się osobą na tyle świadoma, by wiedzieć, do czego służy Trustwallet i nie dać się oszukać. Z drugiej strony, liczba kampanii i wysyłanych w ich ramach SMS-ów dowodzi, iż tego typu działania mają istotną skuteczność.
Niezależnie od powyższych, warto zapoznać się ze schematem działania przestępców. Może się bowiem zdarzyć, iż pojawią się kampanie skierowane pod kątem użytkowników innych giełd/platform kryptowalutowych. Choć wydaje się, iż osoby świadomie inwestujące w kryptowaluty dojrzą w tym schemacie dużo czerwonych flag, warto pamiętać o podstawowych czynnikach ryzyka, które powtarzają się również w wielu innych kampaniach phishingowych, niekoniecznie opartych o kryptowaluty.
- Ignoruj wiadomości, dotyczące usług, z których nie korzystasz.
- Stosuj zasadę ograniczonego zaufania do SMS-ów. jeżeli masz wątpliwości co do treści wiadomości – zaloguj się do aplikacji, bądź na stronie usługodawcy. jeżeli z Twoim kontem dzieje się coś złego – to tam otrzymasz odpowiednią informację.
- Jeśli treść wiadomość wywołuje w Tobie wysokie emocje – załóż, iż to socjotechniczna sztuczka.
- Nie podawaj przez telefon loginów, haseł, a choćby stanu konta.
- Działań związanych z Twoimi pieniędzmi nie podejmuj pod wpływem emocji.
