Przegląd wybranych oszustw internetowych - KWIECIEŃ 2025

989

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w kwietniu 2025 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • fałszywe reklamy na platformie Facebook,
  • „Zweryfikuj konto, aby uniknąć blokady”,
  • „Zaktualizuj swoje hasło”,
  • „Szybkie i bezpieczne doładowanie”, czyli podszycie pod Orange,
  • niekompletny adres dostawy przesyłki, czyli podszycie pod Pocztex,
  • problemy z dostarczeniem przesyłki, czyli podszycie pod DPD,
  • „Nieopłacona faktura”, czyli podszycie pod SkyCash.

 

OFERTY FAŁSZYWYCH INWESTYCJI

W kwietniu 2025 roku analitycy CSIRT KNF zgłosili do blokady 246 fałszywych profili (167 w marcu’25), które publikowały reklamy fałszywych inwestycji (rys. 1).

 

969

Rysunek 1 Reklamy fałszywych inwestycji

Po kliknięciu w reklamę ofiara trafiała na stronę, na której wymagane było dokonanie rzekomej rejestracji. Dane pozyskane przez cyberprzestępców umożliwiały im nawiązanie kontaktu z ofiarą, a w kolejnym kroku kradzież jej środków. W tym przypadku cyberprzestępcy, aby wzmocnić prowadzoną grę psychologiczną podszywali się pod mBank. (rys. 2).

970

Rysunek 2 Fałszywe inwestycje – formularz rejestracyjny

 

ZIDENTYFIKOWANE KAMPANIE PRZESTĘPCZE 

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

PODSZYCIA BEZPOŚREDNIO POD BANKI 

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W marcu 2025 roku nadal wykorzystywali ten sposób.

FAŁSZYWE REKLAMY NA PLATFORMIE FACEBOOK

Przestępcy podszywając się pod Bank Pekao publikowali reklamy na portalu Facebook. Pod pretekstem rzekomej możliwości otrzymania dodatkowych +3% do już otwartej lokaty oraz uzyskania bonu upominkowego wyłudzali dane uwierzytelniające do bankowości elektronicznej.

Wygląd fałszywych reklam publikowanych w mediach społecznościowych (rys. 3):

971

972

Rysunek 3 Fałszywe reklamy podszywające się pod Bank Pekao

 

"ZWERYFIKUJ KONTO, ABY UNIKNĄĆ BLOKADY"

Przestępcy podszywając się pod PKO BP wysyłali wiadomości SMS i  informowali o konieczności pilnej aktualizacji danych osobowych. W rzeczywistości link znajdujący się w wiadomości prowadził na stronę phishingową, podszywającą się pod stronę logowania do bankowości elektronicznej PKO BP. W ten sposób atakujący wyłudzali poświadczenia logowania użytkowników.

Przykładowa wiadomość SMS wykorzystywana w opisywanej kampanii phishingowej (rys. 4).

973

Rysunek 4 Wiadomość SMS podszywająca się pod PKO BP

Wygląd strony phishingowej (rys. 5):

 974

Rysunek 5 Wygląd fałszywej strony wyłudzającej poświadczenia logowania

 

"ZAKTUALIZUJ SWOJE HASŁO"

Przestępcy podszywając się pod Bank Pekao wysyłali wiadomości e-mail informując o konieczności zaktualizowania hasła do konta. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową, podszywającą się pod wskazany bank i wyłudzającą dane logowania do bankowości elektronicznej.

Przykładowa wiadomość e-mail wykorzystywana w opisywanej kampanii phishingowej (rys. 6).

975

Rysunek 6 Wiadomość e-mail podszywająca się pod Bank Pekao

 

Wygląd strony phishingowej wyłudzającej dane logowania do bankowości elektronicznej (rys. 7).

976

Rysunek 7 Wygląd fałszywej strony podszywającej się pod Bank Pekao

 

"SZYBKIE I BEZPIECZNE DOŁADOWANIE", CZYLI PODSZYCIE POD ORANGE

Cyberprzestępcy zamieszczali fałszywe reklamy na platformie Facebook, w których podszywali się pod Orange. Oszuści zachęcali możliwością szybkiego i łatwego doładowania swojego numeru. W rzeczywistości, po kliknięciu w reklamę użytkownik trafiał na fałszywą stronę wyłudzającą dane logowania do kont oraz środki finansowe. 

Przykładowa reklama zamieszczana na portalu Facebook (rys. 8):

977

Rysunek 8 Reklama, w której cyberprzestępcy podszywali się pod firmę Orange

Wygląd strony podszywającej się pod Orange (rys. 9):

987

Rysunek 9 Fałszywa strona podszywająca się pod Orange

NIEKOMPLETNY ADRES DOSTAWY PRZESYŁKI, CZYLI PODSZYCIE POD POCZTEX

Przestępcy podszywając się pod Pocztex wysyłali grupowe wiadomości SMS. Oszuści tworząc czaty grupowe minimalizowali koszty i wysiłek, wysyłając jednocześnie SMS-y do szerokiej grupy potencjalnych ofiar. W treści wiadomości informowali o niekompletnym adresie dostawy przesyłki i konieczności jego uaktualnienia. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową wyłudzającą dane kart płatniczych.

Przykładowa wiadomość e-mail wykorzystywana w opisywanej kampanii phishingowej (rys. 10):

979

Rysunek 10 Wiadomość SMS, którą przesyłali cyberprzestępcy

Wygląd strony podszywającej się pod Pocztex (rys. 11):

 

980

Rysunek 11 Fałszywa strona podszywająca się pod Pocztex, wyłudzająca dane kart płatniczych

 

PROBLEMY Z DOSTARCZENIEM PRZESYŁKI, CZYLI PODSZYCIE POD DPD

Cyberprzestępcy podszywając się pod firmę kurierską DPD przesyłali fałszywe wiadomości SMS, w których informowali o rzekomych problemach z dostarczeniem przesyłki i koniecznością ponownego umówienia się na dostawę bądź wybranie innej metody dostawy. Link w wiadomości kierował do strony podszywającej się pod stronę DPD, gdzie wyłudzane były dane osobowe oraz informacje o kartach płatniczych.  

Fałszywa wiadomość SMS podszywająca się pod firmę kurierską DPD (rys. 12):

982

Rysunek 12 Fałszywa wiadomość SMS podszywająca się pod firmę kurierską DPD

Wygląd strony phishingowej (rys. 13):

 

983

Rysunek 13 Strona phishingowa – podszycie pod firmę kurierską DPD

"NIEOPŁACONA FAKTURA", CZYLI PODSZYCIE POD SKYCASH

Cyberprzestępcy przesyłali fałszywe wiadomości e-mail, w których podszywali się pod SkyCash i informowali o niezapłaconej fakturze. Oszuści wymagali podania tablic rejestracyjnych pojazdu, a w kolejnym kroku wyłudzali informacje o kartach płatniczych.

Wygląd fałszywej wiadomości e-mail, w której cyberprzestępcy podszywali się pod SkyCash (rys. 14):

984

Rysunek 14 Fałszywa wiadomość e-mail podszywająca się pod SkyCash

Wygląd strony phishingowej wykorzystywanej w opisanej kampanii (rys. 15):

 

984

Rysunek 15 Strona phishingowa – podszycie pod SkyCash 1/2

 

986

 

Rysunek 16 Strona phishingowa – podszycie pod SkyCash 2/2

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook