Kwartał temu serwis streamingowy Disney+ zaoferował użytkownikom atrakcyjną promocję na trzy miesiące korzystania. Ten czas zbliża się do końca – oszuści zaczynają już wysyłać związane z końcem promocji kampanie phishingowe.
Choć mail phishingowy, który trafił do CERT Orange Polska został przygotowany w języku niemieckim, po wejściu na witrynę docelową z polskiej adresacji trafiamy na treść w naszym języku.
W skrócie – Twoja subskrypcja jest zawieszona, aby ją odnowić, kliknij w link. Można założyć, iż wersja polska maili w tej kampanii może być w jakiś sposób powiązana z wygasaniem obecnej promocji.
Co się dzieje po kliknięciu? To modus operandi znany z innych tego typu kampanii.
Najpierw monit o adres e-mail i hasło:
W kolejnym kroku o dane osobowe oraz adresowe:
A na końcu o szczegóły, dotyczące karty płatniczej:
Po podaniu testowych danych karty na ekranie pojawiło się kółko, symbolizujące przetwarzanie danych. Przez ten czas operator kampanii na bieżąco wpisuje podane przez ofiary dane i wyprowadza pieniądze z ich kart (kupując za ich pośrednictwem kryptowaluty, czy drogie towary – które następnie sprzedaje za niższą cenę).
Co robić, by nie dać się oszukać?
Czytać treść maila, który do nas trafi. Wyrobić w sobie zasadę, iż im większe emocje coś w nas wywołuje, tym więcej czasu powinniśmy poświęcić na szczegółową analizę.
Jeśli ktoś chce od Ciebie loginów, haseł, danych adresowych, informacji dotyczących karty płatniczej – zawsze upewnij się jak wygląda adres w pasku przeglądarki. Zrób to dokładnie! W opisywanym przypadku witryna docelowa mieściła się pod adresem hxxps://disney.mydashboard[.]name/. Oszust liczy, iż ofierze wystarczy zobaczyć „Disney”, by dalej już nie czytała tylko podała swoje dane.
Opisywana domena jest oczywiście zablokowana na CyberTarczy. Można jednak założyć z prawdopodobieństwem bliskim pewności, iż pojawią się kolejne.
