Zagrożeni klienci mBanku, Polsatu i Apple. Trzy ataki jeden po drugim
CERT Orange Polska zidentyfikował trzy podobne oszustwa na płatności. Przestępcy wzięli sobie za cel klientów mBanku, Polsat i Apple.
Cyberprzestępcy nie próżnują, niemal co dzień wymyślając nowe sztuki, by oszukać Polaków i pozbawić ich pieniędzy. CERT Orange Polska donosi o trzech nowych przypadkach, które stanowią zagrożenie dla klientów mBanku, widzów Polsatu i użytkowników sprzętu Apple. We wszystkich opisywanych schematach źródłem phishingu jest wiadomość e-mail.
W przypadku mBanku motywem jest rzekoma konieczność aktualizacji numeru telefonu. W treści wiadomości pojawiają się komunikaty o groźbie zawieszenia konta, jeśli użytkownik w ciągu 48 godzin nie potwierdzi danych.
Po kliknięciu użytkownik jest proszony o podanie danych logowania do bankowości. Docelowa witryna to hxxps://francy93065be.s3.us-east-1.amazonaws[.]com. W trakcie analizy CERT Orange Polska strona była już niedostępna, jednak treść linku brzmiąca „Zaloguj się” sugeruje, iż w kolejnym kroku ofierze pojawiłaby się podstawiona strona banku, a wpisane poświadczenia logowania trafiłyby do przestępcy.
Co dalej? Próba zalogowania, wyłudzenie socjotechniczną sztuczką kodów uwierzytelniania dwuskładnikowego i kradzież pieniędzy z konta
Drugi przypadek to „brak płatności za fakturę” Polsat Box. Domena hxxps://www.9o9-7y7[.]com również nie jest już dostępna.
W tym przypadku brzmienie wiadomości i treść linku, który ma kliknąć ofiara, sugeruje fałszywą bramkę płatności. Doświadczenie wskazuje, że za jej pośrednictwem można było „zapłacić” (czyli przekazać dane oszustom) kartą płatniczą, być może przestępcy przygotowali również fałszywe strony logowania do banków – analizuje CERT Orange Polska.
Ostatni przypadek to Apple i rzekoma niedopłata. Przestępcy tym razem się przygotowali – kwota, którą podali to faktyczna cena miesięcznego dostępu do Apple TV w trwającej obecnie promocji.
Link – podobnie jak w przypadku oszustwa na płatności w mBanku – prowadzi na stronę hostowaną na chmurze Amazonu, zaś docelowo na witrynę hxxps://zlm.update-app007.com[.]es. Tym razem strona była jeszcze dostępna. Gdy specjaliści z CERT Orange Polska zalogowali się na nią nieistniejącymi danymi, pokazała się informacja o blokadzie konta Apple.
Po wpisaniu technicznego numeru karty i kilku minutach oczekiwania pojawiła się informacja zwrotna o błędnych danych. Jak się okazuje, oszuści, tworząc tego typu kampanie, śledzą na bieżąco dane wpisywane przez ofiarę w formularzu. Dając się nabrać na sztuczki oszustów i wpisując prawdziwy numer karty, ryzykujemy utratę pieniędzy.
