Przegląd wybranych oszustw internetowych - PAŹDZIERNIK 2023

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w październiku 2023 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • atrakcyjne okazje cenowe,
  • sprzedaż zagubionych bagaży,
  • „otrzymaj kartę ZTM”,
  • sensacyjne wiadomości na Facebooku,
  • fałszywe wiadomości SMS,
  • fałszywe wiadomości e-mail podszywające się pod home.pl,
  • fałszywe wiadomości e-mail podszywające się pod Netflix,
  • kampanie phishingowe dystrybuujące złośliwe oprogramowanie – podszycie pod PKO BP.

Oferty fałszywych inwestycji

W październiku 2023 roku reklamy na platformie Facebook były nadal wykorzystywane do dystrybucji stron phishingowych. Tym sposobem przestępcy prowadzili kampanie podszywające się pod znane sklepy odzieżowe, oferowali możliwość zdobycia karty ZTM, a także prowadzili kolejne elementy scenariusza znanego pod nazwą „fraud inwestycyjny”. Wszystkie one zostały opisane poniżej.

Schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. Coraz częściej przestępcy w fałszywych ofertach wykorzystują motyw związany ze sztuczną inteligencją.

Fałszywe oferty dystrybuowane były poprzez:

  • reklamy na platformie Facebook,
  • reklamy w wyszukiwarce Google,
  • reklamy w wyszukiwarce MSN,
  • reklamy w serwisie społecznościowym Twitter (nowy sposób dystrybucji fałszywych reklam, coraz chętniej wykorzystywany przez cyberprzestępców).

Po kliknięciu w link klient trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Dane pozyskane przez cyberprzestępców w ten sposób umożliwiały im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków. Niejednokrotnie, w podobnych przypadkach, przestępcy zachęcali do instalowania oprogramowania do zdalnej obsługi. W momencie, kiedy ofiara tego przestępstwa chce wypłacić zarobione środki finansowe (często orientując się, że mogła zostać oszukana) otrzymuje informację o konieczności „sprawdzenia konta bankowego poprzez system AML”. W tym celu cyberprzestępcy przekazują link do strony phishingowej, na której wyłudzane są dane uwierzytelniające do bankowości elektronicznej. W ten sposób cyberprzestępcy najpierw nakłaniają ofiarę do przekazywania wysokich kwot pieniężnych, a następnie pozyskują dostęp do bankowości elektronicznej. W ostatnim czasie oszuści rozszerzyli swój wariant oszustwa. W publikowanych fałszywych reklamach oferowali pomoc w odzyskaniu środków osobom, które padły już wcześniej ofiarami fraudu inwestycyjnego. Wszystko po to, ażeby prowadzić grę psychologiczną i nakłaniać do zainwestowania kolejnych oszczędności.

Przykłady fałszywych reklam oraz stron phishignowych (rys. 1-4):

Rysunek 1 Podszycie pod Polskie Linie Lotnicze LOT

Rysunek 2 Podszycie pod sklep Żabka

Rysunek 3 Podszycie pod TRADER AI

Rysunek 4 Pomoc w odzyskaniu straconych środków

 

Atrakcyjne okazje cenowe

Cyberprzestępcy publikowali reklamy, w których oferowali produkty w konkurencyjnych cenach. Na stronach phishingowych podszywali się pod sklep MOHITO, CROPP, EOBUWIE, oraz SINSAY. Po wejściu na stronę, ofiara musiała wypełnić formularz osobowy, a następnie zachęcana była do wpisania danych karty płatniczej. W ten sposób dane te trafiały w ręce przestępców.

Reklamy na platformie Facebook, zawierające stronę phishingową (rys. 5-8):

Rysunek 5 Reklama na portalu Facebook - podszycie pod sklep MOHITO

 

Rysunek 6 Reklama na portalu Facebook – podszycie pod sklep CROPP

 

 

Rysunek 7 Reklama na portalu Facebook – podszycie pod sklep EOBUWIE

Rysunek 8 Reklama na portalu Facebook – podszycie pod sklep SINSAY

 

Strony phishingowe wyłudzające dane kart płatniczych (rys. 9-11):

Rysunek 9 Strona phishingowa – fałszywa sprzedaż 1/3

 

Rysunek 10 Strona phishingowa – fałszywa sprzedaż 2/3

 

Rysunek 11 Strona phishingowa – fałszywa sprzedaż 3/3

 

Sprzedaż zagubionych bagaży

Cyberprzestępcy podszywając się pod Polskie Linie Lotnicze LOT ogłosili rzekomą możliwość zakupienia zagubionych bagaży. Po kliknięciu w reklamę na platformie Facebook, ofiara trafiała na stronę phishingową, na której wymagane było wprowadzenie danych karty płatniczej.

Reklama na platformie Facebook, zawierająca stronę phishingową (rys. 12):

Rysunek 12 Reklama na portalu Facebook – sprzedaż zagubionych bagaży

 

Strona phishingowa wyłudzająca dane karty płatniczej  (rys. 13):

Rysunek 13 Strona phishingowa – sprzedaż zagubionych bagaży

 

Otrzymaj kartę ZTM

Cyberprzestępcy podszywając się pod Zarząd Transportu Miejskiego w Warszawie – ZTM ogłosili rzekomą możliwość zdobycia karty w bardzo atrakcyjnej cenie, uprawniającej do przejazdów. Po kliknięciu w link z reklamy, ofiara trafiała na stronę phishingową, na której informowana była o rzekomym losowaniu. Po wykonaniu tego kroku, poszkodowany przekierowywany był na stronę, gdzie kazano mu wpisać dane osobowe oraz dane karty płatniczej.

Reklama na platformie Facebook, zawierająca stronę phishingową (rys. 14):

Rysunek 14 Reklama na portalu Facebook – możliwość otrzymania karty ZTM

 

Strony phishingowe rzekomego losowania oraz formularze do wpisania danych osobowych oraz danych karty płatniczej  (rys. 15 - 17):

Rysunek 15 Strona phishingowa – zniżka na kartę ZTM 1/3

 

 

Rysunek 16 Strona phishignowa – zniżka na kartę ZTM 2/3

 

Rysunek 17 Strona phishingowa – zniżka na kartę ZTM 3/3

 

Sensacyjne wiadomości na Facebooku

Cyberprzestępcy publikowali fałszywe posty na portalu Facebook, zwierające sensacyjne informacje. Po wejściu w taką informację użytkownik trafiał na stronę z rzekomym artykułem, na której, aby możliwe było zapoznanie się z jego treścią, należało potwierdzić swój wiek poprzez zalogowanie się do konta. Ofiara wprowadzając swoje poświadczenia logowania na niebezpiecznej stronie pozwalała oszustom na przejęcie jej konta. Cyberprzestępcy mogli publikować w imieniu ofiary kompromitujące treści, bądź wysyłać wiadomości do jej znajomych w celu wyłudzenia pieniędzy.

Fałszywy post na portalu Facebook (rys. 18):

Rysunek 18 Fałszywy post na portalu Facebook, zawierający sensacyjną informację

 

Strona phishingowa, na której wymagane było wprowadzenie swoich poświadczeń logowania do portalu Facebook (rys. 19):

Rysunek 19 Strona phishingowa – wyłudzenie danych logowania do portalu Facebook

 

Fałszywe wiadomości SMS

Znanym od lat sposobem dystrybucji domen phishingowych są wiadomości SMS. W październiku 2023 roku nadal był to jeden z topowych metod wykorzystywanych przez cyberprzestępców. Baza numerów telefonów, na które rozsyłane są fałszywe wiadomości najczęściej jest przypadkową listą, jaką posiadają w danym momencie atakujący.

 

Podszycie pod ING Bank Śląski

Cyberprzestępcy podszywając się pod bank ING rozsyłali wiadomości SMS, informujące o rzekomym wygaśnięciu dostępu do aplikacji. Po kliknięciu w link znajdujący się w wiadomości, ofiara trafiała na stronę phishingową podszywają się pod bankowość elektroniczną.

 

Wiadomość SMS zawierająca stronę phishingową (rys. 20):

Rysunek 20 Fałszywa wiadomość SMS podszywająca się pod ING Bank Śląski

 

Przykłady stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 21 - 23)

 

Rysunek 21 Strona phishignowa – podszycie pod ING Bank Śląski 1/3

 

Rysunek 22 Strona phishingowa – podszycie pod ING Bank Śląski 2/3

 

Rysunek 23 Strona phishingowa – podszycie pod ING Bank Śląski 3/3

 

Potwierdź swój adres, czyli podszycie pod Pocztę Polską

W październiku 2023 cyberprzestępcy nadal podszywali się pod Pocztę Polską. Tym razem rozsyłali wiadomości SMS informujące o rzekomych problemach z doręczeniem przesyłki i koniecznością zaktualizowania adresu dostawy. W wiadomości znajdował się link phishingowy. Po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia swoich danych osobowych oraz danych karty płatniczej.

Przykładowa wiadomość SMS rozsyłana w ramach kampanii phishingowej (rys. 24):

Rysunek 24 Wiadomość SMS podszywająca się pod Pocztę Polską

 

Przykłady stron phishingowych (rys. 25 -27):

Rysunek 25 Strona podszywająca się pod Pocztę Polską 1/3

 

Rysunek 26 Strona podszywająca się pod Pocztę Polską 2/3

 

 

Rysunek 27 Strona podszywająca się pod Pocztę Polską 3/3

Podszycie pod firmę kurierską InPost

Cyberprzestępcy podszywając się pod firmę kurierską InPost rozsyłali wiadomości SMS informując o konieczności zaktualizowania adresu dostawy. W wiadomości znajdował się link, po kliknięciu w niego ofiara trafiała na stronę, na której zachęcana była do wprowadzenia swoich danych osobowych oraz danych karty płatniczej (pełen numer, data ważności, kod CVV).

 

Przykład wiadomości SMS rozsyłanej w ramach kampanii phishingowej (rys. 28):

Rysunek 28 Fałszywa wiadomość SMS podszywająca się pod InPost

Przykłady stron phishingowych (rys. 29-31):

 

Rysunek 29 Strona phishingowa – podszycie pod InPost 1/3

 

Rysunek 30 Strona phishingowa – podszycie pod InPost 2/3

 

Rysunek 31 Strona phishingowa – podszycie pod InPost 3/3

 

 

Fałszywe wiadomości e-mail podszywające się pod home.pl

Cyberprzestępcy podszywali się pod jednego z największych dostawców usług internetowych w Polsce – home.pl. Oszuści przesyłali fałszywe wiadomości e-mail, w których informowali użytkowników o konieczności opłacenia usługi. Po wejściu w link ofiara trafiała na niebezpieczną stronę, na której wyłudzany był numer karty, data ważności czy kod CVV.

Przykład wiadomości e-mail  rozsyłanej w ramach kampanii phishingowej (rys. 32):

 

Rysunek 32 Przykład fałszywej wiadomości e-mail podszywającej się pod home.pl

 

Przykład strony phishingowej (rys. 33):

 

Rysunek 33 Strona phishingowa wyłudzająca dane karty płatniczej

 

Fałszywe wiadomości e-mail podszywające się pod Netflix

Cyberprzestępcy podszywając się pod Netflix przesyłali fałszywe wiadomości e-mail z informacją o wygaśnięciu subskrypcji. W wiadomości znajdował się link prowadzący na stronę imitującą serwis Netflix. Przestępcy starali się pozyskać dane karty płatniczej użytkowników.

Przykład fałszywej wiadomości e-mail, którą przesyłali cyberprzestępcy (rys. 34):

Rysunek 34 Wiadomość e-mail podszywająca się pod Netflix

 

Przykłady stron phishingowych Netflix (rys. 35 - 36):

Rysunek 35 Strona phishingowa – Netflix 1/2

 

Rysunek 36 Strona phishingowa – Netflix /2/2

 

Kampanie phishingowe dystrybuujące złośliwe oprogramowanie – podszycie pod PKO BP

W październiku 2023 roku miały miejsce 2 kampanie rozsyłające złośliwe oprogramowanie wykorzystujące wizerunek Bank PKO BP (rys. 37-38).

W załączniku wiadomości e-mail znajdowały się dwa archiwa, każde zawierający po jednym pliku wykonywalnym, z czego jednym z nich było złośliwe oprogramowanie rodziny AgentTesla, a w drugim Formbook.

 

Rysunek 37 Fałszywa wiadomość e-mail podszywająca się pod Bank PKO BP, dystrybucja złośliwego oprogramowania

 

 

 

Rysunek 38 Fałszywa wiadomość e-mail podszywająca się pod Bank PKO BP, dystrybucja złośliwego oprogramowania

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.