Przegląd wybranych oszustw internetowych - KWIECIEŃ 2023
Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w kwietniu 2023 roku, gdzie wskazujemy na schematy działania cyberprzestępców.
W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:
- oferty fałszywych inwestycji,
- fałszywe reklamy w wyszukiwarce Google podszywające się pod Bank BNP Paribas,
- SMS-ową kampanię phishnową podszywającą się pod Santander Bank Polska – aktywowanie nowego urządzenia,
- fałszywe wiadomości e-mail podszywające się pod Santander Bank Polska oraz Santander Consumer Bank – zawieszenie karty,
- fałszywe wiadomości e-mail podszywające się pod Millennium Bank – aktywacja nowego systemu,
- SMS-owe kampanie phishingowe podszywające się pod Pocztę Polską oraz Pocztex – błędny numer domu,
- wykorzystanie wizerunku firmy Allegro – nietypowa aktywność,
- wykorzystanie wizerunku firmy kurierskiej DHL,
- wykorzystanie wizerunku Revolut – ograniczenie funkcji,
- podszycie pod portal Netflix,
- kampanię phishingową podszywającą się pod Bank Pekao SA – złośliwe oprogramowanie.
OFERTY FAŁSZYWYCH INWESTYCJI
Schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalne ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu.
Fałszywe oferty dystrybuowane były poprzez:
- reklamy na platformie Facebook,
- reklamy w wyszukiwarce Google,
- reklamy w wyszukiwarce MSN,
- wiadomości e-mail.
Po kliknięciu w link klient trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Dane pozyskane przez cyberprzestępców w ten sposób umożliwiały im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków. Niejednokrotnie, w podobnych przypadkach, przestępcy zachęcali do instalowania oprogramowania do zdalnej obsługi. Do tego etapu jest to znany scenariusz (opisywany również przez nas w lutowym wydaniu podsumowania działań cyberprzestępców), w kwietniu 2023 roku analizowaliśmy kolejny etap schematu dodany przez oszustów. W momencie, kiedy ofiara tego przestępstwa chce wypłacić zarobione środki finansowe (często orientując się, że mogła zostać oszukana) otrzymuje informację o konieczności „sprawdzenia konta bankowego poprzez system AML”. W tym celu cyberprzestępcy przekazują link do strony phishingowej, na której wyłudzane są dane uwierzytelniające do bankowości elektronicznej. W ten sposób cyberprzestępcy najpierw nakłaniają ofiarę do przekazywania wysokich kwot pieniężnych, a następnie pozyskują dostęp do bankowości elektronicznej.
Przykłady fałszywych reklam oraz stron phishingowych (rys. 1 - 2):
rys. 1 Podszycie pod Tauron
rys. 2 Podszycie pod ChatGPT BOT
Przykłady fałszywej strony wyłudzającej dane logowania (rys. 3 - 4):
rys. 3 Fałszywa strona wyłudzająca dane uwierzytelniające do bankowości elektronicznej 1/2
rys. 4 Fałszywa strona wyłudzająca dane uwierzytelniające do bankowości elektronicznej 2/2
FAŁSZYWE REKLAMY W WYSZUKIWARCE GOOGLE PODSZYWAJĄCE SIĘ POD BNP PARIBAS
W kwietniu 2023 roku zauważalny jest wyraźny spadek wykorzystania reklam w wyszukiwarce Google do dystrybucji stron phishingowych podszywających się pod banki. Jedyną wykrytą kampanią było podszycie pod Bank BNP Paribas. Pozycjonowanie fałszywej strony na pierwszych miejscach w wynikach wyszukiwania spowodowało, że była ona łatwo dostępna.
Cyberprzestępcy podszywając się pod Bank BNP Paribas zamieścili w wyszukiwarce Google fałszywą reklamę, podszywając się pod prawdziwe strony logowania do bankowości elektronicznej. Po kliknięciu w link klient trafiał na fałszywą stronę bankowości elektronicznej, na której wyłudzane były poświadczenia logowania do bankowości elektronicznej.
Przykłady fałszywych reklam wykupionych w Google, podszywających się pod strony logowania do bankowości (rys. 5):
rys. 5 Reklama Google podszywająca się pod Bank BNP Paribas
Przykłady fałszywych stron, podszywających się pod oficjalne strony logowania do bankowości elektronicznej (rys. 6):
rys. 6 Fałszywa strona podszywająca się pod Bank BNP Paribas
SMS- OWA KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD SANTANDER BANK POLSKA - AKTYWOWANIE NOWEGO URZĄDZENIA
Cyberprzestępcy podszywając się pod Santander Bank Polska rozsyłali wiadomości SMS informując o rzekomej aktywacji nowego urządzenia w bankowości elektronicznej oraz potrzebie zalogowania, jeżeli działanie nie zostało wykonane przez użytkownika. W wiadomości znajdował się link, który kierował na stronę phishingową. Przestępcy w ten sposób starali
się pozyskać dane uwierzytelniające do bankowości elektronicznej.
Przykład wiadomości SMS rozsyłanej przez przestępców (rys. 7):
rys. 7 Wiadomość SMS podszywająca się pod Santander Bank Polska
Przykład strony phishingowej wyłudzającej dane użytkowników bankowości (rys. 8):
rys. 8 Fałszywa strona podszywająca się pod Santander Bank Polska
FAŁSZYWE WIADOMOŚCI E-MAIL PODSZYWAJĄCE SIĘ POD SANTANDER BANK POLSKA ORAZ SANTANDER CONSUMER BANK - ZAWIESZENIE KARTY
Cyberprzestępcy podszywając się pod markę Santander Consumer Bank rozsyłali wiadomości e-mail informując o rzekomym zawieszeniu karty ze względów bezpieczeństwa oraz potrzebie ponownego jej aktywowania. W wiadomości znajdował się przycisk, po kliknięciu, którego potencjalna ofiara trafiała na stronę phishingową. Przestępcy najprawdopodobniej w tym kroku pomylili Santander Consumer Bank, z Santander Bank Polska i fałszywe strony przygotowali wzorując się na wyglądzie strony bankowości internetowej należącej do Santander Bank Polska. Starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.
Przykład wiadomości e-mail rozsyłanej przez przestępców (rys. 9):
rys. 9 Wiadomość e-mail podszywająca się pod Santander Consumer Bank
Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 10):
rys. 10 Fałszywa strona podszywająca się pod Santander Bank Polska
FAŁSZYWE WIADOMOŚCI E-MAIL PODSZYWAJĄCE SIĘ POD MILLENNIUM BANK - AKTYWACJA NOWEGO SYSTEMU
Cyberprzestępcy podszywając się pod markę Millennium Bank rozsyłali wiadomości e-mail informując o rzekomej potrzebie aktywowania nowego systemu gwarantującego bezpieczeństwo w sieci. Jednocześnie zawarta została również informacja, że jeżeli odbiorca wiadomości e-mail nie podejmie działania to zostanie zablokowana mu karta kredytowa. W wiadomości znajdował się link, przez który potencjalna ofiara trafiała na stronę phishingową. Przestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.
Przykład wiadomości e-mail rozsyłanej przez przestępców (rys. 11):
rys. 11 Wiadomość e-mail podszywająca się pod Millennium Bank
Przykład strony phishingowej imitującej stronę bankowości elektronicznej (rys. 12):
rys. 12 Fałszywa strona podszywająca się pod Millennium Bank
SMS-OWE KAMPANIE PHISHINGOWE PODSZYWAJĄCE SIĘ POD POCZTĘ POLSKĄ ORAZ POCZTEX - BŁĘDNY NUMER DOMU
Cyberprzestępcy podszywając się pod Pocztę Polską oraz Pocztex (usługa kurierska Poczty Polskiej) rozsyłali wiadomości SMS informujące o rzekomym błędnym numerze domu i potrzebie aktualizacji adresu. W wiadomościach znajdowały się linki phishingowe. Po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia swoich danych osobowych oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.
Przykładowe wiadomości SMS rozsyłane w ramach kampanii phishingowej (rys. 13-14):
rys. 13 Wiadomość SMS podszywająca się pod Pocztę Polską
rys. 14 Wiadomość SMS podszywająca się pod Pocztex
Przykłady stron phishingowych (rys. 15 - 18):
rys. 15 Pierwszy ekran strony podszywającej się pod Pocztę Polską
rys. 16 Phishingowa strona podszywająca się pod Pocztę Polską, wyłudzająca dane wrażliwe
rys. 17 Phishingowa strona podszywająca się pod Pocztę Polską, wyłudzająca dane karty płatniczej
rys. 18 Fałszywa strona podszywająca się pod Pocztex, wyłudzająca dane karty płatniczej
WYKORZYSTANIE WIZERUNKU FIRMY ALLEGRO - NIETYPOWA AKTYWNOŚĆ
Cyberprzestępcy podszywając się pod portal ogłoszeniowy Allegro, rozsyłali wiadomości e-mail informując o rzekomej nietypowej aktywności na koncie, tymczasowej blokadzie użytkownika w portalu oraz możliwości odzyskania aktywnego konta. W wiadomości znajdował się link, ukryty pod przyciskiem „Przywróć swoje konto”, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska, adres e-mail oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.
Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 19):
rys. 19 Wiadomość e-mail podszywająca się pod Allegro
Przykłady strony phishingowej (rys. 20):
rys. 20 Strona phishingowa podszywająca się pod Allegro
WYKORZYSTANIE WIZERUNKU FIRMY KURIERSKIEJ DHL
Cyberprzestępcy podszywając się pod firmę kurierską DHL rozsyłali wiadomości SMS informując o rzekomo niedostarczonej przesyłce oraz potrzebie zmiany harmonogramu. W wiadomości znajdował się link, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.
Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 21):
rys. 21 Wiadomość SMS podszywająca się pod DHL
Przykłady strony phishingowej (rys. 22):
rys. 22 Strona phishingowa podszywająca się pod DHL
WYKORZYSTANIE WIZERUNKU REVOLUT - OGRANICZENIE FUNKCJI
Cyberprzestępcy podszywając się pod firmę Revolut rozsyłali wiadomości SMS informując o rzekomym ograniczeniu funkcji na koncie Revolut, „do czasu przeprowadzenia kontroli zgodności z przepisami finansowymi.” Sprawdzenie to miało nastąpić pod linkiem zawartym w wiadomości SMS. Po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia imienia i nazwiska, adresu mail i daty urodzenia oraz danych karty płatniczej (pełen numer, data ważności, kod CVV), kodów 3DSecure.
Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 23):
rys. 23 Wiadomość SMS podszywająca się pod Revolut
Przykłady strony phishingowej (rys. 24):
rys. 24 Fałszywa strona podszywająca się pod Revolut
PODSZYCIE POD PORTAL NETFLIX
Cyberprzestępcy podszywając się pod Netflix przeprowadzili kilka kampanii phishingowych, wykorzystując tym razem do dystrybucji fałszywych stron wiadomości SMS. Zawarty był w nim link, po kliknięciu, w który ofiara trafiała na stronę imitującą portal Netflix. Przestępcy starali się pozyskać dane karty płatniczej.
Przykładowe wiadomości rozsyłane w kampanii phishingowej (rys. 25):
rys. 25 Wiadomość SMS podszywająca się pod serwis Netflix
Strony imitujące portal Netflix wyłudzające dane logowania (rys. 26):
rys. 26 Strona podszywająca się pod Netflix - wyłudzenie danych logowania
KAMPANIA PHISHINGOWA PODSZYWAJĄCA SIĘ POD BANK PEKAO SA - ZŁOŚLIWE OPROGRAMOWANIE
W kwietniu 2023 roku miała miejsce kampania rozsyłająca złośliwe oprogramowanie podszywające się pod Bank Pekao SA. W załączniku wiadomości e-mail znajdowało się archiwum .tgz Pekao_Potwierdzenie_przelewu_platnosci_PL3000065000342790.tgz zawierające plik wykonywalny Pekao_Potwierdzenie przelewu platnosci_PL3000065000342790.exe (rys. 27).
rys. 27 Wiadomość e-mail podszywająca się pod Bank Pekao SA, dystrybucja złośliwego oprogramowania
O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach Twitter, LinkedIn oraz Facebook.