Przegląd wybranych oszustw internetowych - SIERPIEŃ 2023

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w sierpniu 2023 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • fraud inwestycyjny – dystrybucja oszukańczych reklam
  • podszycia pod polskie banki – oszukańcze reklamy na platformie Facebook
  • fałszywe reklamy w wyszukiwarce Bing – podszycie pod BOŚ
  • „nagrody dla klientów Bank Polski”
  • doładowania – podszycie pod Orange Polska
  • wykorzystanie punycode – podszycie pod OLX
  • „Mam@o – rozwalił mi się telefon”
  • WhatsApp – narzędzie do zdalnego dostępu do urządzenia

 

Fraud inwestycyjny – dystrybucja oszukańczych reklam

Niezmiennie trwa scenariusz znany pod nazwą „fraud inwestycyjny”. Cały schemat opisany został w ramach regularnie publikowanych opisów działań przestępczych. Zapoznać można się z nim pod adresem: https://cebrf.knf.gov.pl/encyklopedia-cyberbezpieczenstwa/schematy-oszustw/falszywe-inwestycje. W sierpniu 2023 roku cyberoszuści do dystrybucji oszukańczych reklam wykorzystywali:

  • platformę Facebook (rys. 1),
  • wyszukiwarkę Google (rys. 2),
  • wyszukiwarkę MSN (rys. 3).

 

Dodatkowym elementem, wykrytym w minionym miesiącu, była nowa metoda dystrybucji. Cyberprzestępcy zaczęli wykorzystywać serwis społecznościowy X (Twitter) do publikowania tego typu reklam (rys. 4). Przejmują oni konta prawdziwych użytkowników, podszywają się pod nich i publikują treści phishingowe.

 

Oszukańcze reklamy na platformie Facebook:

Rysunek 1 Oszukańcze reklamy na platformie Facebook

 

Oszukańcze reklamy w wyszukiwarce Google:

Rysunek 2 Oszukańcze reklamy w wyszukiwarce Google

 

Oszukańcze reklamy w wyszukiwarce MSN:

Rysunek 3 Oszukańcze reklamy w wyszukiwarce MSN

 

Oszukańcze reklamy na platformie X (Twitter):

 

Rysunek 4 Oszukańcze reklamy na platformie X (Twitter)

 

Podszycia pod polskie banki – oszukańcze reklamy na platformie Facebook

Cyberprzestępcy podszywając się pod trzy polskie banki, opublikowali reklamy na platformie Facebook. Przedstawiali scenariusz, w którym rzekomo należało chronić konto przed atakami hakerskimi lub można było zdobyć „pomoc finansową”. W każdym przypadku ofiara proszona była o kliknięcie w link, gdzie przekierowywana była na stronę łudząco przypominającą stronę organizacji, pod którą podszywała się reklama. Następnie cyberprzestępcy starali się pozyskać dane uwierzytelniające do bankowości elektronicznej.

Reklama na platformie Facebook, podszywająca się pod Credit Agricole (rys. 5):

 

Rysunek 5 Reklama na portalu Facebook - podszycie pod Credit Agricole

 

Strona phishingowa podszywająca się pod Credit Agricole (rys. 6):

Rysunek 6 Strona phishingowa podszywająca się pod Credit Agricole

 

Reklama na platformie Facebook, podszywająca się pod Bank Pocztowy (rys.7)

Rysunek 7 Reklama na portalu Facebook - podszycie pod Bank Pocztowy

 

Strona phishingowa podszywająca się pod Bank Pocztowy (rys. 8):

Rysunek 8 Strona phishingowa podszywająca się pod Bank Pocztowy

Reklama na platformie Facebook, podszywająca się pod PKO BP (rys. 9):

 

Rysunek 9 Reklama na portalu Facebook - podszycie pod PKO BP

 

Strona phishingowa podszywająca się pod PKO BP (rys. 10):

 

 

Rysunek 10 Strona phishingowa podszywająca się pod PKO BP

 

Fałszywe reklamy w wyszukiwarce Bing – podszycie pod BOŚ Bank

Cyberprzestępcy wykupili reklamę w wyszukiwarce BING, a następnie wystawili strony phishingowe podszywające się pod BOŚ BANK. Po kliknięciu w link ofiara trafiała na stronę łudząco przypominającą stronę logowania do bankowości elektronicznej, na której wykradane były dane.

Reklama w wyszukiwarce BING, zawierająca stronę phishingową (rys. 11):

Rysunek 11 Reklama w wyszukiwarce BING - podszycie pod BOŚ BANK

Strona phishingowa podszywająca się pod BOŚ BANK (rys. 12):

Rysunek 12 Strona phishingowa podszywająca się pod BOŚ BANK

 

„Nagrody dla klientów Bank Polski”

Cyberprzestępcy podszywając się pod PKO BP przygotowali ankietę, której wypełnienie miało skutkować kontaktem telefonicznym od rzekomego pracownika Banku, a następnie możliwością otrzymania nagród.

Ankieta podszywająca się pod PKO BP (rys. 13-16):

 

Rysunek 13 Strona phishingowa podszywająca się pod PKO BP 1/4

Rysunek 14 Strona phishingowa podszywająca się pod PKO BP 2/4

Rysunek 15 Strona phishingowa podszywająca się pod PKO BP 3/4

Rysunek 16 Strona phishingowa podszywająca się pod PKO BP 4/4

 

Doładowania – podszycie pod Orange Polska

Cyberprzestępcy podszywając się pod polską firmę telekomunikacyjną ORANGE POLSKA, opublikowali oszukańcze reklamy na platformie Facebook. Pod pretekstem możliwości otrzymania doładowania telefonu na kartę oraz otrzymania pakietu Internetu, zachęcali do kliknięcia w link. Następnie ofiara przekierowywana była do strony phishingowej, na której należało podać numer telefonu, adres mail, aktywny kod BLIK lub dane karty płatniczej.

Reklama na platformie Facebook, podszywająca się pod Orange Polska (rys. 17):

 

Rysunek 17 Reklama na portalu Facebook - doładuj konto Orange

 

Strony phishingowe podszywające się pod Orange (rys. 18-20):

Rysunek 18 Strona phishingowa - podszycie pod Orange Polska 1/3

Rysunek 19 Strona phishingowa - podszycie pod Orange Polska 2/3

Rysunek 20 Strona phishingowa - podszycie pod Orange Polska 3/3

 

Wykorzystanie punycode – podszycie pod OLX

Cyberprzestępcy wykorzystując markę OLX, przygotowali stronę phishingową z rzekomą możliwością zakupu sprzętu elektronicznego. W rzeczywistości wykradali dane kart płatniczych oraz kody BLIK. Pewną ciekawostką, dawno nie obserwowaną było wykorzystanie specjalnego kodowania, celem zaciemnienia fałszywej nazwy domeny. W analizowanym przypadku zamiast "o", oszuści wykorzystali "ö".

Strony phishingowe podszywające się pod OLX (rys. 21-23):

Rysunek 21 Strona phishingowa - podszycie pod OLX 1/3

Rysunek 22 Strona phishingowa - podszycie pod OLX 2/3

Rysunek 23 Strona phishingowa - podszycie pod OLX 3/3

 

„Mam@o - rozwalił mi się telefon”

Cyberprzestępcy rozesłali wiadomości SMS, w których podszywali się pod członka rodziny. Informowali o rzekomo zepsutym telefonie oraz prosili o kontakt poprzez komunikator WhatsApp. W trakcie dalszej rozmowy, prosili o zrobienie pilnego przelewu, na wskazany numer rachunku bankowego, celem rzekomego zakupu nowego urządzenia.

Przykłady wiadomości SMS (rys. 24):

Rysunek 24 Fałszywa wiadomość SMS

Przykładowa rozmowa z przestępcą (rys. 25):

Rysunek 25 Przykład rozmowy na komunikatorze WhatsApp

 

WhatsApp – narzędzie do zdalnego dostępu do urządzenia

Cyberprzestępcy wykorzystują nową funkcję komunikatora WhatsApp, umożliwiającą zdalne wyświetlanie ekranu. Dzięki temu w trakcie oszustwa dokładnie widzą wszystko, co ofiara robi na swoim telefonie. Wcześniej wykorzystywali w tym celu dedykowane aplikacje do pomocy zdalnej, które wymagały oddzielnej instalacji. Wykorzystanie komunikatora WhatsApp eliminuje konieczność wytłumaczenia poszkodowanemu jak ma zainstalować oraz uruchomić dodatkowe narzędzie. Poniżej wpis z opisów przestępczych (rys. 26):

 

Rysunek 26 Wykorzystanie nowej funkcjonalności WhatsApp

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.