hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Pora na phishing „na Bon Turystyczny”?

Za nami połowa wakacji – część z nas ma już wypoczynek za sobą, inni wciąż na niego czekają. Ta druga ma o tyle lepiej, że może mieć okazję, by już w te wakacje skorzystać z Bonu Turystycznego. Ta metoda na rozruszanie krajowej branży turystycznej ma wystartować już za parę godzin, 1 sierpnia. Czy wraz z Zakładem Ubezpieczeń Społecznych do boju ruszą też cyberprzestępcy? Nasze doświadczenie mówi, że tak – ci państwo nigdy nie odpuszczali dobrych okazji. Dlatego pamiętajcie, że Bon Turystyczny odbierzecie wyłącznie w serwisie ZUS, logując się doń np. przy użyciu Profilu Zaufanego.

Uważamy my, uważajcie i Wy

Ostatni wysyp kampanii phishingowych „pod socjal” miał miejsce, gdy premierę miała „Rodzina 500+”. Wtedy na potęgę powstawały witryny łudząco przypominające – nie tylko treścią, ale i adresem – strony Ministerstwa Rodziny, Pracy i Polityki Społecznej. Przestępcy bombardowali nas mailami z rzekomymi najlepszymi źródłami informacji, czy sposobami na szybkie załatwienia świadczenia dla naszej rodziny. Efekt? Choć wszystkie tego typu strony blokowaliśmy na CyberTarczy tak szybko, jak się dało, zanotowaliśmy pojedyncze udane wejścia na witryny przestępców.

Co można stracić, jeśli damy się złapać na socjotechniczny lep? Doświadczenia ostatnich miesięcy wskazywałyby na możliwość wygenerowania przez złych ludzi kolejnych fałszywych bramek płatności, wymagających np. „wpłaty 1,16 PLN” (lub innej, symbolicznej kwoty) w celu „weryfikacji tożsamości”. Tego typu ataki opisywaliśmy wielokrotnie na naszej stronie – po przejęciu loginu i hasła do banku, wraz z następującym później kolejnym socjotechnicznym atakiem, mającym nas przekonać do akceptacji przelewu, wybierali z naszego konta wszystkie pieniądze, a nawet brali kredyty.

Może się także okazać, iż w celu szybkiego uzyskania świadczenia musimy zainstalować aplikację mobilną, np. w celu weryfikacji naszej tożsamości. W ostatnim czasie jesteśmy świadkami wielkowolumenowych kampanii, mających przekonać użytkowników telefonów z systemem Android do instalacji trojana Cerberus, udającego aplikacje Inpostu, czy Allegro.

Możemy tylko wygrać

Być może przesadzamy, być może tym razem nic się nie stanie, tym bardziej, że nasze systemy bezpieczeństwa nie wykazały jeszcze nowych, dedykowanych dla tego phishingu domen. Doświadczenie jednak uczy, by bardzo mocno dmuchać na zimne, przestępcy nie zwykli bowiem nie korzystać z okazji, które same wchodzą im pod nos. A nawet jeśli nic się nie zdarzy – przeczytacie ten tekst, ostrzeżecie mniej technicznych bliskich, czy znajomych, a oni nie dadzą się złapać na inny, wyrafinowany phishing. Możemy tylko wygrać.


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także