Uwaga na SMS-y z numeru PRZYPOMINAM – to bardzo sprytne wyłudzenie

Wreszcie jakiś ciekawy atak na Polaków, pośród tych nudnych foto-oszustw na FB i zainfekowanych niby-faktur wysyłanych na e-maila! Jeden z naszych Czytelników otrzymał takiego SMS-a:

{POPRAWNE IMIĘ I NAZWISKO WŁAŚCICIELA NUMERU}, zapłać zaległą niedopłatę za telefon w kwocie 6 PLN już dziś aby uniknąć blokady połączeń {LINK}

Obecny w SMS-ie link hxxps://pay726372[.]info/i/payment.php?p={CYFRA}prowadzi do strony podszywającej się pod DotPay:

Po wyborze banku ofierze prezentowany jest fałszywy komunikat o “awarii systemu płatności” i próba nakłonienia ofiary do płatności kartą:

Trzeba przyznać, że poza lekko koślawym językiem w SMS-ie, atakujący się postarał:

Po pierwsze, SMS-y wysyła spoofując numer nadawcy na nazwę (por. Spoofing, czyli fałszowanie numeru nadawcy). Po drugie, SMS jest też poprawnie spersonalizowany. To rzadkość! A więc atakujący musiał skądś mieć dostęp do imienia i nazwiska ofiary oraz jego numeru telefonu (ale w przypadku większości osób bardzo łatwo można pozyskać te dane — i wcale ich dane nie musiały wyciekać z baz danych żadnych serwisów internetowych). Po trzecie, strona ma poprawnie skonfigurowany HTTPS i “zieloną kłódkę” (certyfikat DV z Let’s Encrypt). Po czwarte, oszust prosi o niewielkie kwoty wpłat.

W zasadzie, oszustwo można wykryć tylko po lewej domenie, której nazwa nawet nie zbliża się do DotPay’a. Dodatkowo, strona co chwilę się sypie i to powinno dać do myślenia ofierze. Po wykradzeniu danych karty, serwis w ogóle przestaje działać. Jest więc szansa, że nawet jak ktoś się nabrał, to na tym etapie to sobie uzmysłowi.

Atak świeży, ofiar może być wiele

Warto też zauważyć, że elementem linku jest parametr (liczbę ukryliśmy). Wnioskując po budowie linku, spodziewamy się, że atakujący rozesłał tę wiadomość do wielu osób. Do jak wielu? To dobre pytanie. Wysyłanie SMS-ów z zespoofowanego numeru zazwyczaj trochę kosztuje, więc nie spodziewamy się, aby atak był masowy. Dlatego będziemy bardzo wdzięczni, jeśli dacie nam znać gdy otrzymacie podobnego SMS-a.

Sama domena jest świeżo zarejestrowana (dane kupującego są zamaskowane w rejestrze WHOIS):

Domain Name: PAY726372.INFO
Registry Domain ID: D503300000062927370-LRMS
Registrar URL: http://www.onlinenic.com
Creation Date: 2018-02-08T23:48:21Z
Billing Email: 354352073627684@domainidshield.com
Name Server: NS1.SKYDNS.NET
Name Server: NS2.SKYDNS.NET

Domena wskazuje na adres IP 37.233.103.44 (RevDNS: dette.dorisek122.p6.tiktalik.io) z puli należacej do TIKTALIK:

inetnum: 37.233.103.0 - 37.233.103.255
netname: TIKTALIK-P6
descr: Techstorage sp. z o.o.
admin-c: MC29340-RIPE
mnt-by: MC52941-MNT
created: 2015-08-27T12:06:09Z
person: Michal Chybowski
address: michal.chybowski@techstorage.pl
phone: +48500698296
origin: AS198717
mnt-by: WK99976-MNT

BTW, Ataki na “lewy Dotpay” miały też miejsce na OLX w końcówce roku.

Co robić, jak żyć?

Uczestnicy naszych wykładów “Jak nie dać się zhackować?” wiedzą, że każdy może zadzwonić lub wysłać SMS-a z dowolnego numeru, pokazujemy to na żywo. Informujemy też, żeby zawsze weryfikować domenę i nie przywiązywać większej uwagi do zielonych kłódek, bo oznaczają one jedynie to, że połączenie jest szyfrowane, a nie że serwis na którym jesteś to ten na którym powinieneś być.

W przypadku takich scamów w zasadzie tylko jedna rada jest słuszna:

nigdy niczego nie opłacaj po linkach, które dostajesz na SMS-a / e-maila, jeśli to nie Ty zainicjowałeś proces płatności.

Wszelkie zaległe kwoty czy długi, których się nie spodziewasz weryfikuj samodzielnie kontaktując się z firmą, od której rzekomo pochodzą. W tym przypadku płatność miała zostać przesłana operatorowi PLUS.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *