Uwaga na SMS-y wysyłane z numeru “Rachunek”. Kliknięcie w link z wiadomości może zakończyć się stratą pieniędzy z konta w banku

W Walentynki, ostrzegaliśmy Was przed nowym i całkiem sprytnym atakiem. Ktoś rozsyłał SMS-y “z numeru” PRZYPOMINAM prosząc o uregulowanie niewielkiej kwoty niedopłaty za rachunek. Dziś, dwiema godzinami, na telefony Polaków zaczęła być rozsyłana kolejna fala fałszywych SMS-ów. Tym razem pole nadawcy jest ustawione na nazwę “Rachunek“. I ta kampania jest jeszcze bardziej dopracowana od “walentynkowej”.

Na czym polega atak?

Ofiara (a jest ich sporo) na telefon dostaje taką wiadomość:

Nieuregulowanie zadluzenia 6zl spowoduje zablokowanie polaczen wychodzacych. Link do platnosci wazny 2h http://otworz.to/0Cxxx

W przeciwieństwie do kampanii sprzed 2 dni, tym razem SMS nie jest sprofilowany. Nie zaczyna się od imienia ofiary. To minus (dla przestępcy). Ale są też plusy — tym razem treść SMS-a jest bardziej składna, a sam docelowy serwis do wyłudzania płatności działa poprawnie. I znów wyglądem udaje DotPay’a:

Link w wiadomości prowadzi pod adres:
hxxps://paydot462523[.]info/2291ec1c83a719fce7602b9c1605fc_payment_3de88732a94a7c578/index.php?id=113XXX

Wybór większości z banków tym razem przenosi użytkownika na ich fałszywe ekrany logowania:

Jeśli bank wymaga hasła maskowanego, ofiara proszona jest o wpisanie …wszystkich znaków:

A potem — w przypadku każdego z banków — pojawia się kręcioła:

Na tym etapie — zgadujemy po długim czasie reakcji — złodziej ręcznie weryfikuje dane dostępowe. Skrypt nie jest więc jeszcze tak profesjonalny, jak mógłby być. Ale zapewne i przy takich opóźnieniach kilka ofiar da się podejść i — jeśli wreszcie doczeka się kolejnego ekranu — potwierdzi nie tą operację, którą myśli że potwierdza (por. Stracił 16 000 złotych, bo zalogował się do fałszywego banku). A więc jest to przykład phishingu z elementem ataku Man-in-the-Middle.

Przy okazji, skrypt ma jeszcze jeden ciekawy mankament. Część z ekranów banków została przez przestępcę podkradziona nie z interfejsu DotPay’a a …jego konkurencji, firmy PayU. Oto jeden z artefaktów jaki pozostał w przypadku wyboru banku Millenium.

Na koniec dodajmy jeszcze, że jeśli jakiś bank nie działa, ofiara jest przenoszona na stronę wyłudzającą dane karty:

Domena wykorzystana do ataku została zakupiona 14 lutego (czyli wtedy, kiedy miejsce miała pierwsza z kampanii), ale pierwsze przygotowania do kampanii oszust wykonał jeszcze 6 lutego:

Domain Name: PAYDOT462523.INFO
Registry Domain ID: D503300000066388956-LRMS
Creation Date: 2018-02-14T20:39:48Z
Registrar: OnlineNIC, Inc.
Registry Registrant ID: C217077463-LRMS
Registrant Name: Domain ID Shield Service
Registrant Organization: Domain ID Shield Service CO., Limited
Registrant Street: FLAT/RM A, 9/F SILVERCORP INTERNATIONAL TOWER, 707-713 NATHAN ROAD, MONGKOK, KOWHong Kong
Registrant City: Hong Kong
Registrant Postal Code: 999077
Registrant Country: CN
Registrant Phone: +852.21581835
Registrant Email: 354380227537684@domainidshield.com
Name Server: NS1.SKYDNS.NET
Name Server: NS2.SKYDNS.NET

i wskazuje na adres IP: 37.233.101.117 (RevDNS: verte.antoni23.p4.tiktalik.io) hostowany, podobnie jak poprzednia domena, w serwerownii TIKTALIK:

inetnum: 37.233.101.0 - 37.233.101.255
netname: TIKTALIK-3
admin-c: AM35650-RIPE
mnt-by: AM99976-MNT
created: 2014-08-14T11:52:14Z
person: Adam Mazur
address: Techstorage sp. z o.o.
address: Hoża 51
address: 00-681 Warszawa
address: Poland
phone: +48221005769

Co robić, jak żyć?

Rady takie same jak ostatnio.

  • Pamiętaj, że SMS-y mogą mieć ustawionego nadawce nie tylko na dowolny numer telefonu, ale i dowolną nazwę (tu: “Rachunek“, a w poprzedniej kampanii “PRZYPOMINAM“). Takie SMS-y może wysyłać każdy, a nie tylko operator, więc nazwa zamiast numeru w polu nadawcy to nie powód, aby bardziej ufać takim wiadomościom. One nie pochodzą od Twojego operatora.
  • Nigdy nie opłacaj żadnych rachunków po linkach, które otrzymujesz SMS-em albo e-mailem, jeśli to nie Ty przed chwilą zainicjowałeś płatność za coś samodzielnie. Nigdy.
  • Wszelkie rzekome zaległe kwoty czy długi, których się nie spodziewasz, weryfikuj kontaktując się z firmą od której pochodzą bezpośrednio. Nie odpisując na e-mail, czy SMS-a informującego o długu, ale w nowej wiadomości, a najlepiej dzwoniąc na infolinię.
  • I najważniejsze — jeśli logujesz się do istotnych serwisów (banku, skrzynki e-mail) to zawsze przed wpisaniem hasła popatrz na pasek adresowy przeglądarki i zweryfikuj domenę. Czy jesteś na stronie banku? Czy jesteś na stronie skrzynki pocztowej? W tym przypadku ciężko nie zauważyć oszustwa. Domena aż krzyczy, że jest “lewa”. Taka weryfikacja zabierze Ci sekundę więcej, ale może uratować dziesiątki tysięcy złotych na Twoim koncie. Aha — zielona kłódka i https nie mają znaczenia, one nie potwierdzają autentyczności domeny na której się znajdujesz a oznaczają jedynie, że dane przesyłane do oszusta są szyfrowane.

źródło: niebezpiecznik.pl

1 Comment

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *