Uwaga na e-maile informujące o zwrocie podatku

Poza granicami naszego kraju, niemal co roku pojawiają się ostrzeżenia o oszustach, którzy pod pretekstem zwrotu podatku dochodowego okradają mniej czujnych podatników. Wygląda na to, że po raz pierwszy taka kampania została skierowana do Polaków.

FORMULARZ ZWROTU PIENIEDZY
Nasz Czytelnik Krzysztof 16 kwietnia otrzymał następującą wiadomość e-mail:

From: “FORMULARZ ZWROTU PIENIEDZY” FORMULARZ.ZWROTU.pl@kdwelt.de
Subject: [UTF-8?]â şâ şâ şâ şâ şâ ş FORMULARZ ZWROTU PIENIEDZY [UTF-
8?]â şâ şâ şâ şâ şâ şâ şâ şâ ş

finanse.mf.gov.pl/strona-glowna

Witam,

Informujemy, że przysługuje ci zwrot pieniędzy za ostatni rachunek podatkowy.

Kliknij poniższy link:

————————————————–

zwrot kosztów [UTF-8?]â : finanse.mf.gov.pl/strona-glowna

————————————————–

Dobry odbiór!

Z poważaniem,

Zespół finansów publicznych.

Co ciekawe, linki w wiadomości nie były podmienione (a jeśli były, forwardy wiadomości od naszych czytelników je zatraciły), ale wiadomość, jak widać, miała załącznik. Plik PDF:

DYREKCJA GENERALNA FINANSA PUBLICZNA.pdf

MD5: a7906aa3a1932e316b0902431876e28f

Załącznik nie miał podwójnego rozszerzenia (w końcu Armaged0n siedzi w areszcie, haha), ani sam w sobie nie zawierał kodu żadnego exploita. Wyglądał natomiast tak:

…informował o przyznanym nam zwrocie podatku w wysokości 718 PLN i był podpisany przez samego Mateusza Morawieckiego (na stanowisku “zastępcy rozjemcy podatkowego”).

Aby uzyskać zwrot podatku — informuje PDF — trzeba złożyć wniosek. A żeby złożyć wniosek, trzeba “kliknąć tutaj”. Link pod tymi słowami prowadzi jednak nie do strony ministerstwa, a do:

hxxps://bftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/

Która wygląda tak:

…i wyłudza dane osobowe. Po ich podaniu, pojawia się kolejny formularz, proszący o podanie danych karty płatniczej:

Ten formularz jest zlokalizowany pod adresem:

hxxps://aftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com

Po podaniu danych karty, ofiara jest przekierowywana na prawdziwą stronę ministerstwa finansów.

To było …dziwne

Trzeba przyznać, że ta kampania jest ciekawa, ale ma raczej marne szanse na to, że zbierze dużo ofiar. O ile sama wiadomość e-mail wygląda jeszcze “jako tako” (poza tym “Dobry odbiór!” na końcu), to już sam PDF powinien odstraszyć każdego (jeśli w ogóle wbrew wszelkim rekomendacjom, kliknął w załącznik dołączony do podejrzanego, niespodziewanego e-maila). Przytoczmy kilka zwrotów:

“Dyrekcja generalna finansa publiczna”
“Pozwolić nam na 10 dni do leczenia”

Niestety ludzie klikają w załączniki, więc załóżmy, że znajdą się osoby, które w link klikną. Strony przygotowane przez atakującego są bardzo prowizoryczne. Abstrahując od dziwnego URL-a, elementy stron wskazujące na powiązanie z Ministerstwem Finansów są tak naprawdę grafikami. Ktoś zrobił screena ze strony ministerstwa i obłożył obrazkami swój formularz wyłudzający dane.

Kampania wygląda na mocno niedopracowaną i “tłumaczoną” automatycznie. Pozostałości w kodzie sugerują, że oryginalnym celem byli Francuzi.

Beznadziejny atak na bardzo małą skalę?

Ta kampania, podobnie jak i kampania sprzed paru dni, w której Polacy otrzymywali SMS-y podszywające się pod MediaMarkt ma na celu zebranie danych karty płatniczej. I szacujemy, że podobnie jak kampania MediaMarktu i tutaj złodziej niewiele wskóra. Polacy po prostu nie są przyzwyczajeni do płacenia kartą płatniczą w internecie i rzadko ją podają. Nie jest to odruch naturalny. Ba! Jest to mniej spodziewane zachowanie niż sam zwrot podatku 😉

Na koniec dodajmy, że zazwyczaj w przypadku różnych kampanii wycelowanych w Polaków dostajemy wiele informacji od naszych Czytelników. Informację na temat tego ataku przesłało nam póki co zaledwie kilku czytelników. Albo nie jest to szeroko zakrojona akcja, albo po prostu tak słabe wiadomości wszędzie wpadły do spamu. Przejrzycie swoje skrzynki i jeśli traficie na tę lub podobną wiadomość, dajcie nam znać.

Co ciekawe, już 13 kwietnia o tym ataku ostrzegało samo ministerstwo finansów, więc nie jest wykluczone, że rozesłanych zostało kilka wariantów wiadomości. W ostrzeżeniu występuje adres e-mail inny niż ten, który widzieliśmy:

polskie.podatki@kabelsurfer.com

Ale ja naprawdę czekam za zwrot podatku — co robić, jak żyć

Prawdziwy formularz Ministerstwa Finansów, który służy do weryfikacji, czy należy się wam zwrot nadpłaconego podatku PIT i który miał spore problemy z bezpieczeństwem bo wyciekał dane osobowe podatników, już działa poprawnie. Proponujemy więc z niego korzystać, jeśli ktoś chce sprawdzić na czym stanęła sprawa jego zwrotu i czy pieniądze mu się należą.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *