Uwaga na fałszywe SMSy od InPost, DHL

sirt.pl 10 miesięcy temu

Cyberprzestępcy coraz mocniej propagują ataki ukierunkowane na użytkowników urządzeń mobilnych. W tym celu tworzą proste i funkcjonalne witryny, które są dedykowane właśnie do korzystania na telefonach komórkowych. Uwarunkowane jest to przede wszystkim faktem, iż coraz więcej internautów za pośrednictwem telefona robi zakupy online, opłaca subskrypcje na różnych platformach, czy też realizuje opłaty za rachunki, usługi. Stąd też najpopularniejszym wektorem ataków phishing są wiadomości SMS.
W ostatnim czasie głównym celem tego typu ataków było wyłudzenie danych kart płatniczych. O takim schemacie ataków wspominaliśmy w innym artykule na łamach naszego bloga na temat popularnych ataków wyłudzających dane kart płatniczych.

Fałszywe wiadomości SMS od InPost i DHL

Omawiane ataki phishing rozpoczynają się od wiadomości SMS. To za ich pomocą oszuści podszywają się pod znane firmy kurierskie tj. InPost czy DHL. Poniżej przedstawiamy, jak wyglądają wiadomości rozsyłane przez cyberprzestępców i na co należy zwracać szczególną uwagę czytając tego typu wiadomości.

Jak można zauważyć, nadawcą wiadomości wydaje się być InPost. Jest to często stosowana przez oszustów praktyka, aby przekonać odbiorcę do tego, iż ma do czynienia z oficjalną wiadomością. Treść wiadomości jest następująca:
"Twoja paczka została wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysyłce: [link]"
Dodatkowo w wiadomości zostaje zawarty link do strony, na której będzie możliwa aktualizacja informacji o wysyłce. Sama wiadomość może zaniepokoić chwilowo odbiorcę i zmotywować do szybkiego kliknięcia w link.
Informacja o błędnie zaadresowanej paczce może okazać się dla odbiorcy prawdziwa. Szczególnie podczas korzystania z atrakcyjnych promocji i obniżek, gdzie sporo internautów dokonuje w pośpiechu zakupów w wielu sklepach, niewiedząc lub nie pamiętając jaka firma kurierska ma dostarczyć daną paczkę i czy na pewno wprowadziło się odpowiednie dane w formularzu zakupowym.

Dla porównania przedstawiamy fałszywą wiadomość SMS o podobnej treści z DHL.

W tym przypadku komunikat również sugeruje iż paczka, której możemy oczekiwać została zablokowana, tym razem nie wiadomo jaka była tego przyczyna. Aby się tego dowiedzieć i ją przekierować należy postępować zgodnie z instrukcjami, znajdziemy na wskazanej w wiadomości stronie.

Oszustwo na InPost i DHL - strony phishing

W fałszywej wiadomości od InPost znajdował się link do strony, która przedstawiona została poniżej.

Jak widać, zawarta jest na niej informacja o statusie przesyłki i problemie z jej dostarczeniem. Należy zaktualizować dane adresowe, aby mogła zostać ponownie wysłana. Po kliknięciu w przycisk Kontynuować następuje przejście do kolejnego kroku ataku.

W widocznym formularzu należy podać imię i nazwisko oraz dane adresowe.

Ponadto wymagane jest wprowadzenie adresu e-mail, a także numeru telefonu. Po uzupełnieniu formularza i kliknięciu w Aktualizacja Natychmiast następuje przejście do kolejnego okna.

To etap płatności, gdzie jedyną formą zapłaty za usługę dostarczenia paczki jest karta płatnicza. Należy w wyznaczone pola wprowadzić dane karty.

W kolejnym kroku wyłudzany jest dodatkowo kod weryfikacyjny w celu autoryzacji transakcji. W rzeczywistości jest to moment, gdzie oszuści wykorzystują dane karty do swoich celów, np. zakupów online.

Po chwili ponownie wyświetla się okno do wprowadzenia danych karty z informacją, iż dana karta nie obsługuje transakcji. W tym momencie ponownie należy wprowadzić dane karty. Mogą zostać wyłudzone dane tej samej (użytkownik może pomyśleć, iż błędnie wprowadził dane) lub innej karty płatniczej.

W przypadku fałszywej wiadomości od DHL schemat ataku jest podobny. Po kliknięciu w zawarty w treści wiadomości link następuje przejście do strony podszywającej się pod wspomnianą firmę kurierską.

Pojawia się formularz, z prośbą o wprowadzenie imienia i nazwiska oraz danych teleadresowych.

W kolejnym kroku następuje wyłudzenie danych karty płatniczej.

Dodatkowo, użytkownik proszony jest o podanie kodu weryfikacyjnego SMS.

W kolejnym oknie, które się pojawia należy wprowadzić kod PIN, prawdopodobnie do karty płatniczej.

Po wprowadzeniu kodu PIN wyłudzany jest kolejny kod weryfikacyjny.

Ostatni etap ataku phishing to informacja w formie ikony o zaakceptowaniu transakcji. Po chwili następuje przekierowanie do oficjalnej strony DHL Polska.

Jak widać schemat zaprezentowanych ataków phishing jest bardzo prosty. Oszustom zależy wyłącznie na danych kart płatniczych. Pozostałe wyłudzone dane to tylko bonus, który może być wykorzystany w innych atakach w późniejszym czasie.

Fałszywe strony, na których dochodzi do wyłudzenia danych kart płatniczych są przez ekspertów PREBYTES skutecznie blokowane w BrowserWall DNS. Informacje na temat aktualnych ataków phishing są dostępne w CTI Feed. Baza danych na temat obecnych zagrożeń w sieci jest na bieżąco aktualizowana.

Jak rozpoznać fałszywe wiadomości i w jaki sposób ustrzec się przed zagrożeniem?

  • Najważniejsza kwestia, która pozwala ustrzec się przed zagrożeniem, to dokładna weryfikacja wiadomości, jakie otrzymujemy oraz zawartych w nich linków. o ile nie jesteśmy pewni autentyczności otrzymanej wiadomości to najlepiej ją zignorować lub skontaktować się bezpośrednio przez oficjalne kanały kontaktowe do firmy, od której rzekomo otrzymaliśmy wiadomość.
  • Zachęcamy także do przekazania takiej wiadomości w celu weryfikacji poprzez formularz zgłoszeniowy na zglosincydent.pl.
  • Kolejna istotna kwestia to weryfikacja adresu strony, na którą zostaliśmy przekierowani. W przypadku urządzeń mobilnych może to być utrudnione, jednak w zależności od systemu operacyjnego i wykorzystywanej przeglądarki internetowej należy odpowiednio przewinąć stronę, aby pojawił się adres wyświetlanej witryny. Poniżej przykład fałszywej strony omawianej w niniejszym artykule.

Jak widać, w górnym pasku przeglądarki widoczny jest adres strony.
Wskazana domena nie jest wykorzystywana przez oficjalną stronę firmy InPost. Jest to fałszywa strona, która podszywa się pod popularną firmę kurierską.

To, iż strona posiada certyfikat i połączenie z nią jest szyfrowane nie znaczy, iż jest bezpieczna. w tej chwili praktycznie każda fałszywa strona tworzona przez cyberprzestępców posiada certyfikat SSL.

Co zrobić jeżeli wprowadziliśmy już dane karty płatniczej na stronie phishing?

  • Jeżeli zorientujemy się, iż doszło do wyłudzenia danych karty płatniczej, to jak najszybciej musimy zastrzec kartę.
    Można to wykonać samodzielnie, logując się na swoje konto bankowe i przechodząc do odpowiedniej opcji.
    Jeśli nie wiemy, jak to zrobić lub utraciliśmy dostęp do konta, to należy bezpośrednio skontaktować się z bankiem przez oficjalne kanały i powiadomić o zaistniałej sytuacji.
  • Jeśli karta płatnicza została wykorzystana do realizacji transakcji nieautoryzowanej przez Ciebie, warto powiadomić o tym bank, aby taka transakcja została anulowana. Czas ma znaczenie, bo im szybciej zareagujemy, tym większa szansa, iż odzyskamy utracone pieniądze.
  • Warto także zgłosić sprawę do odpowiednich organów ścigania.
Idź do oryginalnego materiału