Przegląd wybranych oszustw internetowych - MARZEC 2023

 

 

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w marcu 2023 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

 

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • fałszywe reklamy w wyszukiwarce Google podszywające się pod Banki,
  • sms-ową kampanię phishngową podszywającą się pod PKO BP – blokada dostępu,
  • sms-ową kampanię phishingową podszywającą się pod Bank Pekao SA – dodanie karty,
  • fałszywe wiadomości e-mail podszywające się pod Santander Bank Polska – instalacja aplikacji bezpieczeństwa,
  • fałszywe reklamy w social mediach podszywające się pod Santander Bank Polska,
  • malware mobilny w kampanii podszywającej się pod Bank PKO BP i ING Bank Śląski,
  • sms-owej kampanii phishingowej – zeznanie podatkowe ,
  • fałszywych reklamach w social mediach – odszkodowanie COVID,
  • podszycie pod PGE, Przelewy24 oraz Policję,
  • wykorzystanie wizerunku firmy kurierskiej DHL,
  • podszycie pod portal Netflix,
  • fałszywe sklepy,
  • fałszywe banki – pożyczki na BLIK,
  • kampanie phishngowe – złośliwe oprogramowanie.

 FAŁSZYWE REKLAMY W WYSZUKIWARCE GOOGLE PODSZYWAJĄCE SIĘ POD BANKI

Nieprzerwanie trwają kampanie phishingowe, których formą dystrybucji fałszywych domen są wykupione przez przestępców reklamy w wyszukiwarce Google. Pozycjonowania fałszywych stron na pierwszych miejscach w wynikach wyszukiwania powoduje, że są one łatwo dostępne. Cyberprzestępcy podszywając się pod polskie banki zamieszczali w wyszukiwarce Google fałszywe reklamy, podszywając się pod prawdziwe strony logowania do bankowości elektronicznej. Wykorzystali zarówno podszycie pod strony logowania dla klientów indywidualnych, jak i biznesowych. Po kliknięciu w link klient trafiał na fałszywą stronę bankowości elektronicznej, na której wyłudzane były poświadczenia logowania do bankowości elektronicznej. 

 

Przykłady fałszywych reklam wykupionych w Google, podszywających się pod strony logowania do bankowości (rys. 1 - 4):


Rysunek 1 Reklama Google podszywająca się pod Bank BNP Paribas


Rysunek 2 Reklama Google podszywająca się pod Plus Bank





Rysunek 3 Reklama Google podszywająca się pod VeloBank


Rysunek 4 Reklama Google podszywająca się pod Santander Bank Polska

 


Przykłady fałszywych stron, podszywających się pod oficjalne strony logowania do bankowości elektronicznej (rys. 5 - 9):


Rysunek 5 Fałszywa strona podszywająca się pod Bank BNP Paribas

Rysunek 6 Fałszywa strona podszywająca się pod Bank BNP Paribas

 

Rysunek 7 Fałszywa strona podszywająca się pod Santander Bank Polska

 

Rysunek 8 Fałszywa strona podszywająca się pod Plus Bank

Rysunek 9 Fałszywa strona podszywająca się pod VeloBank

 

SMSOWA KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD BANK PKO BP - BLOKADA DOSTĘPU

Cyberprzestępcy podszywając się pod bank PKO BP rozsyłali wiadomości SMS informując o rzekomym zablokowaniu dostępu do usług bankowości i potrzebie ponownego aktywowania konta. W wiadomości znajdował się link, który kierował na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej. Kampania przestępcza o dokładnie takim samym scenariuszu, była opisywana przez nas m.in. w miesięcznym raporcie „Ochrona klienta” z luteg’23. Cyberprzestępcy podszywali się wtedy pod trzy inne banki.

Przykłady wiadomości SMS rozsyłanej przez przestępców (rys. 10):


Rysunek 10 Wiadomość SMS podszywająca się pod Bank PKO BP

 

Przykład strony phishingowej wyłudzającej dane użytkowników bankowości (rys. 11):


Rysunek 11 Fałszywa strona podszywająca się pod Bank PKO SA

 

SMSOWA KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD BANK PEKAO SA - DODANIE KARTY

Cyberprzestępcy podszywając się pod markę Pekao SA rozsyłali wiadomości SMS informując o rzekomym dodaniu karty do portfela Apple Pay, nieznanym urządzeniu. W wiadomości znajdował się link, po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.


Przykład wiadomości SMS rozsyłanej przez przestępców (rys. 12):

Rysunek 12 Wiadomość SMS podszywająca się pod Bank Pekao SA

 

Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 13):

Rysunek 13 Fałszywa strona podszywająca się pod Bank Pekao SA

 

FAŁSZYWE WIADOMOŚCI E-MAIL PODSZYWAJĄCE SIĘ POD SANTANDER BANK POLSKA - INSTALACJA APLIKACJI BEZPIECZEŃSTWA

Cyberprzestępcy podszywając się pod markę Santander Bank Polska rozsyłali wiadomości e-mail informując o rzekomej blokadzie konta i potrzebie zainstalowania aplikacji bezpieczeństwa i/lub potrzebie potwierdzenia danych. W wiadomości znajdował się przycisk, po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.


Przykład wiadomości e-mail rozsyłanej przez przestępców (rys. 14):

 

 

Rysunek 14 Fałszywa wiadomość e-mail podszywająca się pod Santander Bank Polska

 

Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 15):

 


Rysunek 15 Fałszywa strona podszywająca się pod Santander Bank Polska

 

FAŁSZYWE REKLAMY W SOCIAL MEDIACH PODSZYWAJĄCE SIĘ POD SANTANDER BANK POLSKA 

Cyberprzestępcy podszywając się pod markę Santander Bank Polska utworzyli fałszywe konto w mediach społecznościowych, a następnie opublikowali reklamę informującą o rzekomej możliwości otrzymania iPhone. W informacji znajdował się przycisk po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.


Przykład reklamy oraz stron phishingowych przygotowanych przez przestępców, podszywające się pod Santander Bank Polska (rys. 16):

 

Rysunek 16 Fałszywa reklama w social media oraz strony phishingowe podszywające się pod Santander Bank Polska


 

MALWARE MOBILNY W KAMPANII PODSZYWAJĄCEJ SIĘ POD BANK PKO BP ORAZ ING BANK ŚLĄSKI

Cyberprzestępcy podszywając się pod takie banki jak PKO BP i ING BANK ŚLĄSKI dystrybuowali fałszywe aplikacje mobilne, które miały na celu infekowanie urządzeń z oprogramowaniem Android. Nie został potwierdzony sposób dystrybucji kampanii phishingowej zachęcającej do zainstalowania złośliwego oprogramowania, podejrzenia wskazują, że były to wiadomości SMS. W przypadku podszycia pod PKO BP było to najprawdopodobniej złośliwe oprogramowanie o nazwie Cooper. Cooper może wysyłać żądania Unstructured Supplementary Service Data (USSD), wysyłać wiadomości SMS (i przechwytywać je), blokować i odblokowywać ekran urządzenia, wyświetlać powiadomienia push, przeprowadzać ataki nakładki (wyświetlać zwodnicze okna w określonych aplikacjach), otwierać adresy URL i uruchamiać aplikacje. Dodatkowo Cooper może zapisywać naciśnięcia klawiszy (zapisywać dane wprowadzane za pomocą klawiatury zainfekowanego urządzenia), usuwać określone aplikacje oraz usuwać siebie. Poza tym, niektóre droppery Copper proszą o pozwolenie na dostęp do różnych funkcji, dodawanie poczty głosowej, dzwonienie pod numery telefonów, odczytywanie i zapisywanie z/do pamięci zewnętrznej, zmienianie ustawień systemowych oraz dostęp i odczytywanie wiadomości SMS. W przypadku podszycia pod ING BANK ŚLASKI mieliśmy do czynienia z malware o nazwie Hydra. Oprogramowanie to wymaga zgody na bogaty pakiet uprawnień, zezwalający m.in. na odczytywanie listy kontaktów, obsługę wiadomości tekstowych, czy obsługę gestów. Bez różnicy z którym złośliwym oprogramowaniem mieliśmy do czynienia, oba wykonują działanie znane pod nazwą „overlay attack", czyli umieszczanie na wierzchu prawdziwej aplikacji własnego okna, w którym nieświadomy użytkownik wpisuje dane logowania do bankowości, będąc przekonanym, że loguje się do aplikacji mobilnej banku.

 

SMSOWA KAMPANIA PHISHINGOWA - ZEZNANIE PODATKOWE 

Cyberprzestępcy wykorzystują okres składania zeznań podatkowych rozesłali wiadomości SMS informujące o rzekomym zatwierdzeniu zwrotu podatku. W wiadomości znajdował się link prowadzący na stronę phishingową podszywającą pod stronę GOV. Przestępcy starali się pozyskać poświadczenia logowania do bankowości elektronicznej użytkowników


Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 17):




Rysunek 17 Wiadomość SMS informująca o rozliczonym zeznaniu podatkowym

Przykłady stron phishingowych (rys. 18):

Rysunek 18 Strony phishingowe wykorzystujące tematykę rozliczeń podatkowych 

 

 

FAŁSZYWE REKLAMY W SOCIAL MEDIACH - ODSZKODOWANIE COVID 

Cyberprzestępcy ponownie wrócili do tematyki pandemicznej. Tym razem zamieścili fałszywe reklamy z informacją o rzekomej możliwości otrzymania odszkodowania za szczepienie. Aby uwiarygodnić swoje działania wykorzystali wizerunek Narodowego Funduszu Zdrowia oraz ministerstwa Zdrowia. W informacji znajdował się przycisk po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane kart płatniczych.


Przykład reklamy oraz stron phishingowych przygotowanych przez przestępców oferujące rzekomo odszkodowanie na COVID (rys. 19 - 20):

 

Rysunek 19 Fałszywa reklama w social media oraz strona phishingowa oferująca odszkodowanie 

 

Rysunek 20 Strony phishingowa podszywające się pod GOV, wyłudzające dane karty płatniczej 

 

 

PODSZYCIE POD PGE, PRZELEWY24 ORAZ POLICJĘ 

Znana już grupa przestępcza ponownie przeprowadziła kampanie phishingowe, dystrybuowane wiadomości SMS, w ramach których podszywali się pod:

  • dostawcę energii PGE, informując o rzekomo planowanym odłączeniu energii elektrycznej i konieczności uregulowania należności;
  • pośrednika płatności Przelewy24, informując o rzekomym przelewie do odbioru;
  • Policję, informując o rzekomo nieopłaconym mandacie.

W każdym przypadku w wiadomości znajdował się link prowadzący na stronę phishingową. Cyberprzestępcy mieli na celu wyłudzanie danych uwierzytelniających do bankowości elektronicznej.

 

Przykłady wiadomości SMS oraz stron phishingowych wykorzystywanych w ramach opisanej kampanii phishingowej (rys. 21 - 26):


Rysunek 21 Wiadomość SMS podszywająca się pod PGE

 

Rysunek 22 Strona phishingowa podszywająca się pod PGE

 

Rysunek 23 Wiadomość SMS podszywająca się pod Przelewy24

 

 

Rysunek 24 Strona phishingowa podszywająca się pod Przelewy24 

 

Rysunek 25 Wiadomość SMS podszywająca się pod Policję 

 

 

Rysunek 26 Strona phishingowa podszywająca się pod Policję 

 

WYKORZYSTANIE WIZERUNKU FIRMY KURIERSKIEJ DHL

Cyberprzestępcy podszywając się pod firmę kurierską DHL rozsyłali wiadomości SMS informując o rzekomym wysłaniu zamówienia. W wiadomości znajdował się link, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.

 

Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 27):

 

Rysunek 27 Wiadomość SMS podszywająca się pod DHL

 

Przykłady strony phishingowej (rys. 28):

 

Rysunek 28 Strona phishingowa podszywająca się pod DHL 

 

 

PODSZYCIE POD PORTAL NETFLIX

Cyberprzestępcy podszywając się pod Netflix przeprowadzili kilka kampanii phishingowych, wykorzystując do dystrybucji fałszywych stron zarówno wiadomości e-mail, jak i SMS. W wiadomościach zawarty był link, po kliknięciu w który ofiara trafiała na stronę imitującą portal Netflix. Przestępcy starali się pozyskać dane logowania do serwisu oraz informację dotyczące jej karty płatniczej.

Przykładowe wiadomości rozsyłana w kampanii phishingowej (rys. 29 - 30):

 

Rysunek 29 Wiadomość e-mail podszywająca się pod serwis Netflix 

 

Rysunek 30 Wiadomość SMS podszywająca się pod serwis Netflix

 

Strony imitujące portal Netflix wyłudzające dane logowania (rys. 31) oraz dane karty płatniczej (rys. 32):

Rysunek 31 Strona podszywająca się pod Netflix - wyłudzenie danych logowania 

 

Rysunek 32 Strona podszywająca się pod Netflix - wyłudzenie danych karty płatniczej

 

 

FAŁSZYWE SKLEPY

Kolejne zidentyfikowane fałszywe sklepy oferujące produkty w zadziwiająco konkurencyjnych cenach. Przy próbie finalizacji zakupów użytkownik otrzymuje informacje o rachunku bankowym, na który ma dokonać przelew.

 

Przykłady stron fałszywych sklepów (rys. 33 - 34):

 

 

Rysunek 33 Przykładowe oferty fałszywego sklepu 

 

 

 

Rysunek 34  Przykładowe strony rozliczenia fałszywego sklepu

 

 

FAŁSZYWE BANKI - POŻYCZKI NA BLIK

W dniu 10.03.2023r. zidentyfikowano reklamę w wyszukiwarce Google, która informowała o rzekomej możliwości otrzymania pożyczki bankowej. Adres strony znajdujący się w reklamie, miał być stroną banku (rys. 35).

 

 

 

Rysunek 35 Reklama w Google oraz strona fałszywego banku 

 

Schemat działania:

1. Reklama Google promująca pożyczkę bez zdolności kredytowej (CIEKAWOSTKA: przestępcy pomylili BIK, z BLIK, w związku z tym na stronie informowali, że udzielają pożyczek bez weryfikacji BLIK).

2. Wejście na stronę i kontakt poprzez formularz zgłoszeniowy lub bezpośrednio rozmowę na WhatsApp (rys. 36).

 

Rysunek 36 Formularz kontaktowy na stronie 

 

3. W trakcie konwersacji przestępcy informują, że warunkiem otrzymania pożyczki jest przesłanie zdjęcia paszportu i/lub dowodu osobistego oraz konieczność podania danych osobowych i informacji prywatnych.

4. Następnie osoba zainteresowana pożyczką (ofiara) jest informowana o potrzebie zarejestrowania konta na stronie.

5. W kolejnym kroku, przestępcy chcą aby wykonać przelew startowy. Transakcja ma się obyć poprzez Westen Union w walucie XOF (rys. 37).

 

Rys. 37 Fragment rozmowy na komunikatorze WhatssApp

 

6. Informują, że jest to rzekome obowiązkowe uiszczenie opłaty bankowej. Walutę tłumaczą tym, że ich dyrektor przebywa na misji w TOGO, a musi osobiście zatwierdzić pożyczkę.

7. /przypuszczalnie/ Wzorując się na odpowiednikach tego sposobu działania poza Polską, w kolejnym etapie przestępcy będą chcieli aby wykonać przelew weryfikacyjny nowego rachunku (w rzeczywistości środki zostałyby przekazane na rachunek Santander Bank Polska). 8./przypuszczalnie/ Na tym etapie, ofiara po zalogowaniu się na stronie Intellect Bank zobaczyłaby kwotę wpływu (równą kwocie rzekomej pożyczki), nie miałaby jednak możliwości jej wypłaty. Przestępcy informowaliby, że musi wykonać kolejne przelewy, aby móc wypłacić środki.

 

KAMPANIE PHISHINGOWE - ZŁOŚLIWE OPROGRAMOWANIE 

W marcu 2023 roku miały miejsce kampanie rozsyłające złośliwe oprogramowanie podszywające się pod 2 polskie banki (PKO BP oraz Pekao SA) oraz Narodowy Fundusz Zdrowia. W przypadku PKO BP i NFZ wysyłane wiadomości wykorzystywały spoofing adresu e-mail.

 

PODSZYCIE POD BANK PKO BP

W załączniku wiadomości e-mail znajdował się plik iso o nazwie „PKO_TRANS_DETAILS_20230327_0203641.iso”. Zawierał on plik wykonywalny exe zatytułowany „PKO_TRANS_DETAILS_20230327_0203641.exe”, który jest oprogramowaniem typu NSIS Loader (rys. 38).

 

Rys, 38 Wiadomość e-mail podszywająca się pod PKO BP, dystrybucja złośliwego oprogramowania 

 

 

PODSZYCIE POD PEKAO SA

W załączniku znajdował się plik iso nazwany „Kopia platnosci Bank Pekao-6100046554300060012.iso”. Zawierał on plik wykonywalny zatytułowany „Kopia platnosci Bank Pekao-6100046554300060012.exe”, który jest złośliwym oprogramowaniem AgentTesla (rys. 39).

 

Rysunek 39 Wiadomość e-mail podszywająca się pod Bank Pekao SA, dystrybucja złośliwego oprogramowania

 

PODSZYCIE POD ZUS

Rozsyłane były wiadomości z wykorzystaniem e-mail spoofing (rys. 39). W załączniku znajdował się plik o nazwie „Logowanie21032023.xll”, który był plikiem typu Microsoft Excel Add-In, udostępniającym programistom C API programu Excel.

 

Rysunek 40 Wiadomość e-mail podszywająca się pod ZUS, dystrybucja złośliwego oprogramowania 

 

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.