hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
8 stycznia 2021

Mamy dla pana bitcoiny!

Od przeszło roku mniej lub bardziej regularnie piszemy – a tydzień w tydzień dodajemy powiązane strony – o oszustwach profilowanych na gigantyczne zyski z Bitcoina. Odnosimy wrażenie, iż – na szczęście – internauci już się do nich przyzwyczaili i stopa zwrotu oszustów jest relatywnie niska. No bo ileż można czytać o kasjerce z Biedronki, wielodzietnej rodzinie, czy prostytutce, którym informacja o możliwości inwestycji w kryptowaluty ocaliła życie wręcz? Oto zatem scam na BTC – poziom professional!

Kilka dni temu napisał do nas pan Tomasz, klient Orange Polska, czytający – jak sądzimy – naszą CERTową stronę. Opisał przypadek oszustwa, którego ofiarą nie padł prawdopodobnie tylko dlatego, że dysponuje wiedzą zarówno informatyczną, jak i w zakresie kryptowalut. Przestępcy mieli pecha, że trafili na fachowca, a my szczęście, bo dzięki temu możemy opisać Wam schemat ich działania. A mieliśmy okazję poznać go bardzo dokładnie, bowiem pan Tomasz nagrał rozmowy z oszustami. Ze względu na prywatność naszego Czytelnika, a także by uniknąć dłużyzn i powtórzeń, nie publikujemy plików audio, a jedynie opis kluczowych fragmentów rozmowy.

Rozmowa 1, 24.12

W Wigilię, o godz. 10.30 oszust zadzwonił z numeru 12 200 52 17. Numer jest zespoofowany, bowiem mimo krakowskiej strefy numeracyjnej jego operatorem jest Belgacom.

Rozmówca przedstawia się jako Paweł Kendra, mówi jednak z bardzo wyraźnym wschodnim akcentem. Podaje nazwę firmy (Bitcoin IG), informuje, iż jest pracownikiem działu finansów i potrzebuje przelać 0,93 BTC na konto bankowe pana Tomasza.

Pytany o adres firmy i jej pełne dane, zbywa ofiarę, powtarzając, iż jest wyłącznie pracownikiem działu finansów i chce mu przelać pieniądze, regularnie dopytując, czy jest teraz przy komputerze. Gdy pan Tomasz pyta skąd mają jego dane (w rozmowie z ust rzekomego konsultanta pada nazwisko pana Tomasza), słyszy tylko: „Kiedyś zakładał pan u nas konto”. Owe 0,93 BTC (na dzisiejsze ceny to przeszło 135 tysięcy złotych!) ma być „prowizją za obrót kryptowalutami przy ponad trzymiesięcznej nieaktywności klienta”.

Ponieważ rozmowa toczy się w Wigilię, pan Tomasz przekonuje oszusta, by ją przerwać i prosi o ponowny telefon po nowym roku. Głównie po to, by przygotować się lepiej do nagrania kolejnej rozmowy, włącznie ze stworzeniem wirtualnej maszyny, by tam sprawdzić, jakie plany mają wobec niego oszuści.

Rozmowa 2, 4 stycznia

Tym razem o 15:23 oszust dzwoni z telefonu w numeracji warszawskiej (221530959), obsługiwanego przez DIDWW Ireland Limited. To ten sam człowiek, który odzywał się w Wigilię, tym razem praktycznie zaczyna rozmowę od polecenia uruchomienia komputera, upewniając się, czy aby na pewno pan Tomasz nie korzysta z tabletu.

Uzyskując potwierdzenie, prosi o zainstalowanie aplikacji… AnyDesk(!). Tej samej, która pozwala na pełny zdalny dostęp do komputera po podaniu wygenerowanego kodu. Rzekomy konsultant określa AnyDesk „aplikacją do nagrywania sesji”, niezbędną ze względu na… wymagania Komisji Nadzoru Finansowego.

W tym momencie niedoszła ofiara zaczyna zadawać coraz więcej pytań, zbijając „konsultanta” z pantałyku. Na pytanie „Czemu chcecie dostęp do mojego komputera?” głos ze wschodnim akcentem odpowiada już wyraźnie zdenerwowany: „Proszę przeczytać informację na stronie, rozumie pan?!”. Proszony o wytłumaczenie, czemu po prostu nie chce adresu portfela BTC, odpowiada: „Proszę pana, to jest przelew w bitcoinach, to jest inna procedura!”, dodając, że nie można tego zrobić w ten sposób, a jeśli pan Tomasz nie dostanie swoich pieniędzy – firma dostanie karę. I w ogóle przecież połączenie AnyDesk jest… dla bezpieczeństwa!

Przestępca mógłby zrobić wszystko

Niestety nie dowiedzieliśmy się, co oszuści chcieli zrobić na kompute… cóż, wirtualce 🙂 pana Tomasza, bowiem konsultant poproszony o podanie linka do regulaminu wypłat BTC, rozłączył się.

Dla bezpieczeństwa naszego klienta (i niedoszłego na szczęście klienta Bitcoin AG) nic się nie stało, tym niemniej dostęp do naszego komputera przez AnyDesk pozwala oszustowi na wszystko. Może on na przykład namawiać nieświadomego użytkownika do aktywności, związanych z finansami, dokładnie obserwując co robi. Może też zainstalować złośliwe oprogramowanie pod pozorem rzekomo niegroźnego pliku. Po prostu Wasz komputer, jeśli to nie firmowe IT poprosiło Was o instalację i uruchomienia AnyDeska, przestaje już być Wasz. I – niestety – bez większego kłopotu jestem w stanie wyobrazić sobie internautów, których wizja niespodziewanych 135 tysięcy złotych zaślepi tak, że nie będą się zastanawiać, co właśnie robią.

Bądźcie jak pan Tomasz. I pamiętajcie, że jeśli nie zakładaliście nigdzie konta do operacji na bitcoinach to na pewno nie czeka na Was żadna prowizja.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2024
Raport CERT Orange Polska za 2023 rok już jest!
Dowiedz się więcej
22 kwietnia 2024
Poznaj swoją podatność – XSS w Liferay
Dowiedz się więcej
19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas