Uwaga na kolejny hybrydowy phishing!
Dziś wczesnym popołudniem ruszyła nowa, robiąca wrażenie zmasowanej, niebezpieczna i przemyślana kampania phishingowa. Jeśli otrzymaliście SMSy od nadawcy: „Informacja”, informujący o aktywacji na Waszym numerze usługi SMS Premium „Gayza anonse gejowskie” – niczego nie klikajcie, to oszustwo. Klientów Orange Polska przed wejściem na stronę przestępców chroni CyberTarcza, jeśli macie telefon u innego operatora – uważajcie!
Dzisiejsza kampania to popularny od kilku-kilkunastu tygodni phishing „hybrydowy”. Zaczyna się od informacji SMS o zapisaniu nas do wysokopłatnej (30,75 PLN za jednego SMSa dziennie) usługi. „Na szczęście” jej operator jest na tyle pomocny, że wie, iż mogliśmy się pomylić, i daje nam prawo do rezygnacji.
Wystarczy zrobić przelew na 1 PLN, by „potwierdzić dane osobowe”. I to jest właśnie kwestia kluczowa. Uspokojony użytkownik bardzo często nie pomyśli wtedy, by spojrzeć na pasek adresu przeglądarki, wtedy bowiem od razu zobaczyłby, że nie ma on niczego wspólnego z serwisem e-płatności, czy stroną jego banku. Ofiara zazwyczaj zorientuje się dopiero wtedy, gdy przestępcy po przejęciu loginu i hasła, a następnie przekonaniu go do akceptacji „przelewu” (która tak naprawdę potwierdza dodanie odbiorcy zaufanego), wyczyszczą jej konto do zera.
Dlaczego warto szczególnie zwrócić uwagę na opisywaną kampanię? Z przynajmniej dwóch powodów. Po raz pierwszy spotykamy się z tym, by przestępcy do wzbudzenia emocji wykorzystywali kwestie orientacji seksualnej. To materia na tyle osobista i delikatna, by wzbudzić emocje, a te – w pierwszych, kluczowych momentach – przykrywają faktyczny cel sprawcy. Dodatkowo, przestępcy ograniczają możliwość „rezygnacji z usługi” do 30 minut od otrzymania SMSa (w emocjach nie dając czasu na przemyślenie sprawy), w przeciwnym przypadku „zmuszając” użytkownika do odebrania (i opłacenia) 30 SMSów, za przeszło 900 złotych!
Domena hxxp://gayza.net/,z której korzystają przestępcy, funkcjonuje niewiele ponad dobę, od wtorku 4 czerwca. Dla klientów usług Orange Polska jest blokowana przez CyberTarczę, podobnie jak powiązana z nią witryna, podszywająca się pod serwis płatności, hxxps://ssl.insanepays.com. Liczbę SMSów, które dotarły do naszych klientów oceniamy na kilkaset.
