Masz kartę Mastercard? Tak możesz stracić z niej pieniądze
Przestępcy znaleźli nowy, dotąd jeszcze niestosowany sposób, by oszukać Polaków i wyciągnąć od nich pieniądze. Atak wymierzony jest w posiadaczy kart Mastercard, a motywem oszustwa – program Bezcenne Chwile.
O nowym oszustwie donosi zespół bezpieczeństwa w Orange Polska, choć oczywiście ten sam problem może dotyczyć klientów innych operatorów.
Loteria Bezcenne Chwile to jeden z promocyjnych wehikułów płatniczego potentata. Wiedzą o tym również przestępcy. Dowiodły tego w ostatnich dniach systemy bezpieczeństwa CERT Orange Polska, trafiając na podszywającą się pod Mastercard kampanię phishingową
Atak przypuszczany jest poprzez SMS-y z nadpisów „Mastercard” i „Mastercard.”, które wyraźnie sugerują, że nadawcą jest organizacja płatnicza. Jak jednak zaznacza CERT Orange Polska, oszuści mogą stosować inne podobne nadpisy, by jak najlepiej upodobnić się do marki.
Treść wiadomości SMS sugeruje, że czeka nas nagroda, ale trzeba działać szybko, bo przepadnie:
Twoje punkty Bezcenne Chwile wygasają. Nie marnuj szansy na nagrodę. Wykorzystaj ja teraz, zanim stracisz je na zawsze. Skorzystaj: [link]
Skrócony link z SMS-a prowadzi na docelową domenę bezcerchwile[.]icu. Choć na pierwszy rzut oka wygląda podejrzanie, to jednak jeśli otworzymy linka w telefonie, mały druk i podobieństwo do zwrotu „bezcenne chwile” mogą zmylić potencjalną ofiarę.
Na fałszywej stronie w pierwszym kroku jesteśmy proszeni o podanie numeru telefonu, rzekomo po to, by sprawdzić dostępne punkty. Jak jednak ocenia CERT Orange Polska, ta informacja potrzebna jest oszustom po to, by ułatwić sobie dalszy etap przekrętu.
Kuszą cashbackiem na ponad 1000 złotych
Po wpisaniu numeru telefonu (wystarczy wpisać jakikolwiek, nawet zmyślony) okazuje się, że na wykorzystanie czeka całkiem dużo punktów – w podanym przykładzie ponad 13 tysięcy – jednak trzeba się spieszyć, bo wygasną za 24 godziny. Oczywiście to standardowa sztuczka socjotechniczna, która ma nas przekonać do szybkich działań bez zastanowienia.
W kolejnym korku przestępcy sugerują, że zgromadzone punkty można wykorzystać m.in. na cashback – na kwotę ponad 1000 złotych. Trudno się oprzeć takiej nagrodzie, a wyobraźnia od razu podpowiada, na co można wydać taką ładną kwotę.
W tym momencie atak przechodzi w decydującą fazę. Dowiadujemy się, że z cashbacku w ramach programu Bezcenne Chwile mogą korzystać tylko posiadacze kart kredytowych.
Dlaczego przestępcy to zaznaczyli? Ponieważ kartę debetową można okraść tylko do wysokości bilansu konta, zaś kredytowe zazwyczaj mają dużo większe limity
W ostatnim kroku ofiara nakłaniana jest do wpisania pełnych danych karty, łącznie z kodem CVV. Oszuści sugerują przy tym, że wymagana jest opłata weryfikacyjna w wysokości 1 PLN, co ma zagwarantować bezpieczeństwo cashbacku. Oczywiście podanie danych karty to największy błąd – w tym momencie przestępcy będą mogli podejmować próby okradzenia nas z całych pieniędzy zgromadzonych na koncie.
CERT Orange Polska zwraca uwagę, że na dwa elementy, które powinny od razu wzbudzić nieufność: skrócony link w SMS-ie oraz strona docelowa nieudolnie udająca loterię, w domenie innej niż .pl.
Choć firmy coraz częściej od tego odchodzą, wciąż zdarzają się wiadomości SMS z linkami. Jeśli taka trafi do Ciebie, upewnij się, czy strona docelowa faktycznie jest tą oczekiwaną. Link jest ze skrótowcem – załóż, że to oszustwo. A nawet, gdy wygląda na prawdziwy – kliknij i zobacz, czy docelowy wygląda tak samo (przestępca może zakodować w linku treść inną niż widoczna)
