Przegląd incydentów i phishingu z ostatnich dni (XI-XII 2019)

Szacunkowy czas czytania: 4 minut

 

To już drugie tego typu podsumowanie, które publikuję. Prób wyłudzeń danych, i co za tym idzie także pieniędzy, jest tak wiele, że nawet nie muszę wyszukiwać przykładów w sieci – same przychodzą.

1. E-mail phishingowy z fakturą od lekarza

O ile fałszywe maile z fałszywymi załącznikami – niby fakturami za jakieś usługi (np. telefon lub inne usługi abonamentowe) to już sprawa powszechna, to pierwszy raz widziałam przynętę „na lekarza”. Jak się potem dowiedziałam na grupie FB Sekuraka, ostatnio pojawiają się i wersje lekarskie oraz inne np. firm budowlanych/remontowych.

Treść:
Temat: FV (S) fs-28/86/4849
Witam,
Uprzejmie przypominamy o doplacie za najstarsza fakture.
Pozdrawiam serdecznie
Bernacik Joanna
Specjalistyczna Praktyka Lekarska Dr med. Jolanta Dynia-Kiesler

[link] Pobierz fakture PDF

 

Skąd się coś takiego wzięło? Po prostu masowo rozsyłany spam.
Co jest z tym nie tak? Nadawca – adres e-mail, który nie ma nic wspólnego z praktyką lekarską. Ogólnikowe stwierdzenia typu „za najstarszą fakturę”. Link do faktury, zamiast załącznika w formie PDFa (choć i te mogą być podrobione).
Jak się chronić? Czasem nie wystarczy weryfikacja firmy, czy w tym przypadku czy taki lekarz istnieje, ponieważ często dane są prawidłowe (ale oczywiście to nie te osoby są nadawcami).
Po pierwsze zastanówmy się czy rzeczywiście korzystaliśmy z usług wymienionych w mailu. Jeśli wciąż mamy wątpliwości, najlepiej jest skontaktować się z nadawcą bezpośrednio (ale nie klikając „odpowiedz”, tylko wyszukując prawdziwe dane kontaktowe np. w Google).
Co krył link z e-maila? Po kliknięciu, link z rzekomym PDFem przekierował mnie na niby stronę faktury.pl. Co lepsze nie była to nawet podróbka tej strony, a symulacja w formie graficznej z kolejnym klikalnym linkiem, umiejscowiona na Google Drive. O ile na telefonie od razu było widać, że to nie jest strona internetowa, to na komputerze ktoś mógł się nabrać (patrz screeny poniżej).
Ciekawy elementem jest to DDoS Protection na dole „strony”. Nie wiem w jakim celu zostało to dodane 🙂 Może, by wzbudzić zaufanie?
[DDoS – atak na system, którego celem jest zatrzymanie (denial of service) działania poprzez zajęcie wszystkich wolnych zasobów. Najczęściej przeprowadzany masowo z tzw. komputerów zombie, które zostały wcześniej przejęte przez atakującego.]

 

      

 

Co działo się dalej? Pod linkiem kryła się seria przekierowań, by na końcu dotrzeć do trojana.

 

2. SMS z promocją zegarka

Tym razem to ja sama otrzymałam SMSa, który dotyczył promocji „Breck Friday” i co ciekawe dotarł do mnie w poniedziałek Cyber Monday 🙂

Skąd się coś takiego wzięło? Znów masowo rozsyłany spam, możliwe, że nadawca korzysta z jakiejś bazy np. z ogłoszeń OLX (to dość częste).
Co jest z tym nie tak? Horrorek w postaci „Breck Friday” (Co jest z pewnością zabiegiem celowym, by zachęcić do promocji niezbyt ogarnięte osoby).
Wszelkie super okazje i przeceny też powinny wzbudzić czujność. Mogą nie okazać się tak bardzo promocyjne jak byśmy się spodziewali, a czasem mogą prowadzić do wyłudzenia danych.
Jak się chronić? Po pierwsze – czy towar z super promocji jest nam naprawdę potrzebny? Czy znamy lub jesteśmy w stanie zweryfikować sprzedawcę? (np. na Ceneo, Opineo). Czy na stronie jest dostępny regulamin?
Co krył link z SMSa? Link prowadzi do strony flapi.pl. Kiedyś (lata 2013-2014) pod tym adresem znajdował się portal, chyba z poradami (wnioskuję po ich starym profilu FB). Obecnie próba zamówienia promocyjnego zegarka kieruje do strony z wnioskami kredytowymi, a następnie na sklep Tootu. Szczerze mówiąc nie chciało mi się już dalej w to brnąć, przeczytajcie sami poniżej co piszą inne osoby, które otrzymały SMSa. Z relacji jednej z osób wynika, że oferowany towar nie był wart deklarowanych 260 zł.
Bonus – na stronie flapi.pl znajduje się też reklama Roksy XD

źródło: https://www.nieznanynumer.pl/numer/48798672525