Przegląd wybranych oszustw internetowych - KWIECIEŃ 2023

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w kwietniu 2023 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

 

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • fałszywe reklamy w wyszukiwarce Google podszywające się pod Bank BNP Paribas,
  • SMS-ową kampanię phishnową podszywającą się pod Santander Bank Polska – aktywowanie nowego urządzenia,
  • fałszywe wiadomości e-mail podszywające się pod Santander Bank Polska oraz Santander Consumer Bank – zawieszenie karty,
  • fałszywe wiadomości e-mail podszywające się pod Millennium Bank – aktywacja nowego systemu,
  • SMS-owe kampanie phishingowe podszywające się pod Pocztę Polską oraz Pocztex – błędny numer domu,
  • wykorzystanie wizerunku firmy Allegro – nietypowa aktywność,
  • wykorzystanie wizerunku firmy kurierskiej DHL,
  • wykorzystanie wizerunku Revolut – ograniczenie funkcji,
  • podszycie pod portal Netflix,
  • kampanię phishingową podszywającą się pod Bank Pekao SA – złośliwe oprogramowanie.

 

OFERTY FAŁSZYWYCH INWESTYCJI

Schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalne ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu.

 

Fałszywe oferty dystrybuowane były poprzez:

  • reklamy na platformie Facebook,
  • reklamy w wyszukiwarce Google,
  • reklamy w wyszukiwarce MSN,
  • wiadomości e-mail.

Po kliknięciu w link klient trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Dane pozyskane przez cyberprzestępców w ten sposób umożliwiały im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków. Niejednokrotnie, w podobnych przypadkach, przestępcy zachęcali do instalowania oprogramowania do zdalnej obsługi. Do tego etapu jest to znany scenariusz (opisywany również przez nas w lutowym wydaniu podsumowania działań cyberprzestępców), w kwietniu 2023 roku analizowaliśmy kolejny etap schematu dodany przez oszustów. W momencie, kiedy ofiara tego przestępstwa chce wypłacić zarobione środki finansowe (często orientując się, że mogła zostać oszukana) otrzymuje informację o konieczności „sprawdzenia konta bankowego poprzez system AML”. W tym celu cyberprzestępcy przekazują link do strony phishingowej, na której wyłudzane są dane uwierzytelniające do bankowości elektronicznej. W ten sposób cyberprzestępcy najpierw nakłaniają ofiarę do przekazywania wysokich kwot pieniężnych, a następnie pozyskują dostęp do bankowości elektronicznej.


Przykłady fałszywych reklam oraz stron phishingowych (rys. 1 - 2):

rys. 1 Podszycie pod Tauron  

rys. 2 Podszycie pod ChatGPT BOT

  

Przykłady fałszywej strony wyłudzającej dane logowania (rys. 3 - 4):

rys. 3 Fałszywa strona wyłudzająca dane uwierzytelniające do bankowości elektronicznej 1/2 

rys. 4 Fałszywa strona wyłudzająca dane uwierzytelniające do bankowości elektronicznej 2/2

 

FAŁSZYWE REKLAMY W WYSZUKIWARCE GOOGLE PODSZYWAJĄCE SIĘ POD BNP PARIBAS

W kwietniu 2023 roku zauważalny jest wyraźny spadek wykorzystania reklam w wyszukiwarce Google do dystrybucji stron phishingowych podszywających się pod banki. Jedyną wykrytą kampanią było podszycie pod Bank BNP Paribas. Pozycjonowanie fałszywej strony na pierwszych miejscach w wynikach wyszukiwania spowodowało, że była ona łatwo dostępna.

Cyberprzestępcy podszywając się pod Bank BNP Paribas zamieścili w wyszukiwarce Google fałszywą reklamę, podszywając się pod prawdziwe strony logowania do bankowości elektronicznej. Po kliknięciu w link klient trafiał na fałszywą stronę bankowości elektronicznej, na której wyłudzane były poświadczenia logowania do bankowości elektronicznej. 

 

Przykłady fałszywych reklam wykupionych w Google, podszywających się pod strony logowania do bankowości (rys. 5):

rys. 5 Reklama Google podszywająca się pod Bank BNP Paribas

 

Przykłady fałszywych stron, podszywających się pod oficjalne strony logowania do bankowości elektronicznej (rys. 6):


rys. 6 Fałszywa strona podszywająca się pod Bank BNP Paribas

  

SMS- OWA KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD SANTANDER BANK POLSKA - AKTYWOWANIE NOWEGO URZĄDZENIA 

Cyberprzestępcy podszywając się pod Santander Bank Polska rozsyłali wiadomości SMS informując o rzekomej aktywacji nowego urządzenia w bankowości elektronicznej oraz potrzebie zalogowania, jeżeli działanie nie zostało wykonane przez użytkownika. W wiadomości znajdował się link, który kierował na stronę phishingową. Przestępcy w ten sposób starali
się pozyskać dane uwierzytelniające do bankowości elektronicznej.

 

Przykład wiadomości SMS rozsyłanej przez przestępców (rys. 7):

 


rys. 7 Wiadomość SMS podszywająca się pod Santander Bank Polska

 

Przykład strony phishingowej wyłudzającej dane użytkowników bankowości (rys. 8):

 

rys. 8 Fałszywa strona podszywająca się pod Santander Bank Polska

 

FAŁSZYWE WIADOMOŚCI E-MAIL PODSZYWAJĄCE SIĘ POD SANTANDER BANK POLSKA ORAZ SANTANDER CONSUMER BANK - ZAWIESZENIE KARTY

Cyberprzestępcy podszywając się pod markę Santander Consumer Bank rozsyłali wiadomości e-mail informując o rzekomym zawieszeniu karty ze względów bezpieczeństwa oraz potrzebie ponownego jej aktywowania. W wiadomości znajdował się przycisk, po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy najprawdopodobniej w tym kroku pomylili Santander Consumer Bank, z Santander Bank Polska i fałszywe strony przygotowali wzorując się na wyglądzie strony bankowości internetowej należącej do Santander Bank Polska.  Starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.

Przykład wiadomości e-mail rozsyłanej przez przestępców (rys. 9):

 

rys. 9 Wiadomość e-mail podszywająca się pod Santander Consumer Bank

 

Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 10):

 

 

rys. 10 Fałszywa strona podszywająca się pod Santander Bank Polska 

 

FAŁSZYWE WIADOMOŚCI E-MAIL PODSZYWAJĄCE SIĘ POD MILLENNIUM BANK - AKTYWACJA NOWEGO SYSTEMU 

Cyberprzestępcy podszywając się pod markę Millennium Bank rozsyłali wiadomości e-mail informując o rzekomej potrzebie aktywowania nowego systemu gwarantującego bezpieczeństwo w sieci. Jednocześnie zawarta została również informacja, że jeżeli odbiorca wiadomości e-mail nie podejmie działania to zostanie zablokowana mu karta kredytowa. W wiadomości znajdował się link, przez który potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.


Przykład wiadomości e-mail rozsyłanej przez przestępców (rys. 11):

 

rys. 11 Wiadomość e-mail podszywająca się pod Millennium Bank

 

Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 12):

rys. 12 Fałszywa strona podszywająca się pod Millennium Bank

 

SMS-OWE KAMPANIE PHISHINGOWE PODSZYWAJĄCE SIĘ POD POCZTĘ POLSKĄ ORAZ POCZTEX - BŁĘDNY NUMER DOMU 

Cyberprzestępcy podszywając się pod Pocztę Polską oraz Pocztex (usługa kurierska Poczty Polskiej) rozsyłali wiadomości SMS informujące o rzekomym błędnym numerze domu i potrzebie aktualizacji adresu. W wiadomościach znajdowały się linki phishingowe. Po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia swoich danych osobowych oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.

 

Przykładowe wiadomości SMS rozsyłane w ramach kampanii phishingowej (rys. 13-14):

rys. 13 Wiadomość SMS podszywająca się pod Pocztę Polską 

 

rys. 14 Wiadomość SMS podszywająca się pod Pocztex

 

Przykłady stron phishingowych (rys. 15 - 18):

rys. 15 Pierwszy ekran strony podszywającej się pod Pocztę Polską 

 

 

rys. 16 Phishingowa strona podszywająca się pod Pocztę Polską, wyłudzająca dane wrażliwe

 

 

rys. 17 Phishingowa strona podszywająca się pod Pocztę Polską, wyłudzająca dane karty płatniczej 

 

 

rys. 18 Fałszywa strona podszywająca się pod Pocztex, wyłudzająca dane karty płatniczej 

 

WYKORZYSTANIE WIZERUNKU FIRMY ALLEGRO - NIETYPOWA AKTYWNOŚĆ

Cyberprzestępcy podszywając się pod portal ogłoszeniowy Allegro, rozsyłali wiadomości e-mail informując o rzekomej nietypowej aktywności na koncie, tymczasowej blokadzie użytkownika w portalu oraz możliwości odzyskania aktywnego konta. W wiadomości znajdował się link, ukryty pod przyciskiem „Przywróć swoje konto”, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska, adres e-mail oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.

 

Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 19):

rys. 19 Wiadomość e-mail podszywająca się pod Allegro 

 

Przykłady strony phishingowej (rys. 20):

rys. 20 Strona phishingowa podszywająca się pod Allegro 

 

WYKORZYSTANIE WIZERUNKU FIRMY KURIERSKIEJ DHL

Cyberprzestępcy podszywając się pod firmę kurierską DHL rozsyłali wiadomości SMS informując o rzekomo niedostarczonej przesyłce oraz potrzebie zmiany harmonogramu. W wiadomości znajdował się link, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.

 

Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 21):

rys. 21 Wiadomość SMS podszywająca się pod DHL 

Przykłady strony phishingowej (rys. 22):

rys. 22 Strona phishingowa podszywająca się pod DHL

 

WYKORZYSTANIE WIZERUNKU REVOLUT - OGRANICZENIE FUNKCJI

Cyberprzestępcy podszywając się pod firmę Revolut rozsyłali wiadomości SMS informując o rzekomym ograniczeniu funkcji na koncie Revolut, „do czasu przeprowadzenia kontroli zgodności z przepisami finansowymi.” Sprawdzenie to miało nastąpić pod linkiem zawartym w wiadomości SMS. Po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska, adresu mail i daty urodzenia oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.

 

Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 23):

 rys. 23 Wiadomość SMS podszywająca się pod Revolut

 

Przykłady strony phishingowej (rys. 24):

rys. 24 Fałszywa strona podszywająca się pod Revolut

 

PODSZYCIE POD PORTAL NETFLIX 

Cyberprzestępcy podszywając się pod Netflix przeprowadzili kilka kampanii phishingowych, wykorzystując tym razem do dystrybucji fałszywych stron wiadomości SMS. Zawarty był w nim link, po kliknięciu, w który ofiara trafiała na stronę imitującą portal Netflix. Przestępcy starali się pozyskać dane karty płatniczej.

 

Przykładowe wiadomości rozsyłane w kampanii phishingowej (rys. 25):

rys. 25 Wiadomość SMS podszywająca się pod serwis Netflix

Strony imitujące portal Netflix wyłudzające dane logowania (rys. 26):

rys. 26 Strona podszywająca się pod Netflix - wyłudzenie danych logowania 

 

KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD BANK PEKAO SA - ZŁOŚLIWE OPROGRAMOWANIE 

W kwietniu 2023 roku miała miejsce kampania rozsyłająca złośliwe oprogramowanie podszywające się pod Bank Pekao SA. W załączniku wiadomości e-mail znajdowało się archiwum .tgz Pekao_Potwierdzenie_przelewu_platnosci_PL3000065000342790.tgz zawierające plik wykonywalny Pekao_Potwierdzenie przelewu platnosci_PL3000065000342790.exe (rys. 27).

 

 

rys. 27 Wiadomość e-mail podszywająca się pod Bank Pekao SA, dystrybucja złośliwego oprogramowania 

 

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.