(foto: Pixabay)
Przestępcy mają dziesiątki sposobów na ataki, a każdy z nich są w stanie zmodyfikować, dostosowując się do sytuacji. Eksperci z CERT Orange Polska przestrzegają, że liczba etapów kampanii phishingowych oraz poziom ich skomplikowania nieustannie się zmienia, co utrudnia skuteczne wykrycie ataków. Skraca się również ich czas trwania – do kilkunastu lub nawet kilku minut na kampanię. O ile jednak szczegóły się zmieniają, to pewne ogólne mechanizmy są wykorzystywane stale. Oto 10 najciekawszych typów ataków, zaobserwowanych przez CERT Orange Polska w 2020 i 2021 roku.
Popularną metodą wyłudzeń danych, które zespół CERT Orange Polska już po raz kolejny opisał w swym raporcie, to phishing z wykorzystaniem SMS, czyli inaczej smishing. Część takich ataków to powtarzający się, mocno już nagłośniony przekręt na kuriera („konieczna dopłata do paczki”), ale też wariant – na „zapłatę za dezynfekcję przesyłki”. Nierzadko są to oferty promujące bony zakupowe albo wyprzedaże, choć zarzucając wędkę, przestępcy odwoływali się do szczególnych okazji, np. wysyłając SMS-a z wezwaniem „Siema, wspomóż WOŚP”. Często straszeni jesteśmy odłączeniem prądu lub gazu, niedopłatą na fakturze, blokadą ogłoszenia w serwisach typu OLX czy OTOMOTO, albo wygaśnięciem jakiejś usługi. Wszystko łączy jedno – wezwanie do dodatkowej zapłaty oraz spreparowany link pojawiający się w wiadomości.
Użytkownik, który się na to nabierze i kliknie odnośnik, przenoszony jest do fałszywego panelu z płatnościami. Tam, w dobrej wierze, wybiera logotyp swojego banku, po czym trafia na fałszywą witrynę, stworzoną przez oszustów.
„Podajemy login i hasło, przepisujemy kod SMS i kończy się na całkowitym wyczyszczeniu konta bankowego” – podsumowuje ten atak raport CERT Orange Polska.
Najnowszy raport CERT Orange Polska opisuje też jeden z rodzajów ataków, który również jest już znany od lat, ale też jego popularność nie maleje – CLI (Caller ID) spoofing. Przeciwnie – zagrożenia tego rodzaju nasilają się, a przestępcy doskonalą się w tej sztuce naciągania naiwnych.
CLI spoofing polega na prezentowaniu odbiorcy połączenia głosowego innego niż w rzeczywistości numeru telefonu osoby dzwoniącej. Jak to w ogóle jest możliwe? Jak wyjaśnia Piotr Szarata, ekspert Zabezpieczeń Systemów Teleinformatycznych w Orange, do podmiany numeru dochodzi poza siecią Orange Polska. Najczęściej tego typu fałszywe połączenia inicjowane są z zagranicy. Wykorzystywane są w tym celu różne bramki czy aplikacje internetowe. Łatwo sobie wyobrazić ogrom możliwości i skalę niebezpieczeństw, jakie się z tym wiążą.
(foto: Pixabay)
Oszuści stosują CLI Spoofing przede wszystkim do zwiększenia skuteczności vishingu (voice phishing), w którym przestępca w trakcie rozmowy telefonicznej, podszywa się na przykład pod pracownika banku lub firmowego helpdesku i nakłania rozmówcę do przekazania poufnych informacji, zainstalowania złośliwego oprogramowania, aplikacji umożliwiających zdalny dostęp do komputera jak Teamviewer QuickSupport czy Anydesk, czy też wejścia na fałszywą stronę WWW utworzoną w celu wyłudzenia danych logowania i haseł. Naciągacze brzmią wiarygodnie, profesjonalnie, jak prawdziwi pracownicy banku.
Później wydarzenia toczą się jeszcze szybciej: gdy tylko oszust zdobędzie potrzebne mu dane, natychmiast wykorzystuje je, czyszcząc konto bankowe ofiary.
Bywa, że CLI spoofing stosowany jest też do mniej niebezpiecznych, ale za to irytujących nadużyć: dzięki tej metodzie telemarketerzy zyskują większą pewność, że ich połączenia odbiorą nawet nieufni klienci.
Oszustwa typu WANGIRI scam to również mechanizm znany od lat, jednak jak się okazuje, wciąż jest stosowany, co odnotowali specjaliści z Orange Polska. Na tę metodę szczególnie narażeni są seniorzy, ale nie tylko. I tak na przykład połączenia przychodzące z Beninu (+229), Burkina Faso (+226) czy Mali (+223) łatwo pomylić z kierunkowym Warszawy (+22). Oszuści wykonują krótkie połączenia, by skłonić ofiarę do oddzwonienia. Może to ktoś z rodziny? Może z przychodni w sprawie wizyty u lekarza? Po oddzwonieniu słychać tylko sygnał oczekiwania, za to konto ofiary nabijane jest za wysokopłatne połączenia do egzotycznych krajów. W nowszym wariacie były to Papua-Nowa Gwinea +675 i Kuba (+675), które łatwo pomylić z kierunkowym z Piły (+67).
Eksperci z CERT Orange Polska poinformowali niedawno o nasilających się atakach typu IRSF (International Revenue Share Fraud, oszustwo na międzynarodowym podziale zysków). Są to ataki SMS-owe, w których narzędziem ataku jest specjalny kod na stronie internetowej. Skutkiem – utrata pieniędzy.
Jak to działa? Podczas poszukiwań darmowych treści w internecie ofiara jest kuszona bezpłatnymi aplikacjami czy usługami lub wręcz zachęcana do kliknięcia obietnicą zarobienia kilku tysięcy dolarów. Ten atak skierowany jest do użytkowników smartfonów, którzy po kliknięciu widzą krótką informację na temat oferowanego produktu, a w centralnej części ekranu wielki, wyróżniający się przycisk potwierdzenia. Kliknięcie go powoduje, że w telefonie otwiera się aplikacja SMS z gotowym do wysłania SMS-em. Co ważne, ofiara widzi w aplikacji jeden lub dwa numery odbiorców, gdy w rzeczywistości może być ich nawet 20. Jedno kliknięcie (potwierdzające wysyłkę) wiąże się z wysyłką utworzonego przez kod SMS-a na wiele numerów zagranicznych o wyższej płatności, na przykład na Tajwan. Ofiara jest następnie przenoszona na kolejną witrynę z obietnicami darmowych treści lub wysokich wygranych, gdzie znów uruchamiana jest aplikacja do SMS-ów z rzekomym kodem.
(foto: Pixabay)
Sytuacja może się powtarzać kilkukrotnie, a zaatakowana osoba nieświadomie wyśle nawet 100 SMS-ów. Skutek? Koszt rzędu kilkuset złotych za serię SMS-ów lub także MMS-ów, gdy smartfon przekształci wiadomość automatycznie na ten format. Oszust korzysta na fakcie, że polski operator musi zapłacić za dostarczenie wiadomości SMS za granicę. Na tej samej zasadzie działa zresztą WANGIRI scam.
Któż nie kliknął choć raz w sensacyjny nagłówek, który później okazywał się przynętą generującą ruch lub zwykłym fake newsem? Czasami trudno powstrzymać ciekawość. Cyber oszuści wykorzystują w tym przypadku różnego rodzaju reklamy internetowe lub przejęte konta serwisów społecznościowych. CERT Orange Polska podaje przykład, gdy na YouTube wyświetlana była fałszywa zapowiedź „ekskluzywnego wywiadu” z Robertem Lewandowskim, sugerująca, że możemy tak jak on szybko się dorobić znacznej kwoty pieniędzy. Inna historia to news o kasjerce z Biedronki, która „wkurzyła kierownika swoim nowym mercedesem”.
Po kliknięciu jesteśmy przenoszeni do strony obiecującej łatwe zarobki na kryptowalutach. Skuszona szybkimi pieniędzmi ofiara wpłaca np. 1000 zł, by pomnożyć tę kwotę, a wkrótce strona znika, razem z pieniędzmi. Naiwne? Nie można się na to nabrać? A jednak – to jeden z najpopularniejszych rodzajów zagrożenia. W 2020 roku CyberTarcza w Orange zablokowała tysiące domen phishingowych pochodzących z tego rodzaju kampanii.
Źródło zdjęć: Orange Polska, Pixabay, Pexels
