DAJ CYNK

Atak na klientów Biedronki. Uważaj, skutki mogą być opłakane

Anna Rymsza (Xyrcon)

Bezpieczeństwo

Atak na klientów Biedronki. Uważaj, skutki mogą być opłakane

Nie, Biedronka nie rozdaje pieniędzy. Nie dostaniesz 500 zł za wypełnienie ankiety. Jeśli dostaniesz e-mail zachęcający do tego, po prostu go usuń.

Dalsza część tekstu pod wideo
 

W ostatnich dniach do skrzynek pocztowych Polaków wpadły tysiące e-maili od oszustów. By przekonać nas do przekazania swoich danych, podszywają się pod sieć sklepów, którą Polacy uwielbiają – Biedronkę.

Wypełnij ankietę, dostaniesz 500 zł? Bzdura!

W skrzynce znalazłam ostatnio kilka e-maili, które zachęcają do udziału w ankiecie. E-maile są przygotowane w taki sposób, że zwracają się do użytkownika po imieniu lub nicku. Jeśli odbiorca nie przyjrzy się tytułowi i nadawcy, może się nabrać. Ponadto atakujący wykorzystują fakt, że zbliża się Wielkanoc i Polacy pewnie już szykują się do szturmu na sklepy spożywcze. E-mail i dwa przykładowe tytuły zamieściłam poniżej:

Oszustwo na Biedronkę

Jest też sporo rzeczy, które sprawiają, że zapalają się czerwone lampki. Nadawca „Dziękuję Ci” – tu mam wątpliwości, ale adres e-mail z brytyjskiej domeny od razu demaskuje oszustów. Tytuł e-maila też zaufania nie budzi, poza tym nadawcy eksperymentują z fontami, by oszukać filtry antyspamowe (jak widać nieskutecznie). Stopka e-maila jest całkowicie wyrwana z kontekstu, podobno moim e-mailem zarządza firma w Teksasie. Poniżej zaś znajduje się ciąg totalnych bzdur. Co ciekawe, w innych e-mailach były bzdury nieco inne, także nad treścią.

Ankiety nie ma, jest wyłudzanie danych

Załóżmy, że odbiorca wiadomości nie sprawdzi dokładnie jej pochodzenia albo zignoruje te sygnały, skuszony perspektywą 500 złotych za nic. Pod przyciskiem kryje się link do… chmury Google (storage.googleapis.com). Przestępcy (prawdopodobnie sami) przygotowali stronę internetową, która udaje firmę z Kalifornii (goalonly[.]com), by za jej pośrednictwem przekierowywać ofiary do właściwego formularza.

Na stronie docelowej są oczywiście odpowiednie grafiki i logo Biedronki, ale ankiety to tu raczej nie ma. Jest za to licznik czasu, który ma ponaglić ofiarę do podania swoich danych – imienia, nazwiska, e-maila i daty urodzenia. Ponadto jest tu klauzula RODO, a przedsięwzięciem zarządza podobno firma z Singapuru.

Formularz oszustwa „na biedronkę”

Czasu jest mało – 1,5 minuty – więc osoba spiesząca się po darmowe 500 zł nie będzie zawracała sobie głowy analizowanie danych podmiotu, któremu przekazuje właśnie swoje dane. Właściwie może nawet się uspokoić, bo zobaczy domenę mniej-więcej związaną z tematem zakupów spożywczych (pl1b.food-voucher[.]com). To nic, że licznik czasu nie ma żadnego znaczenia.

W kolejnym kroku strona poprosi o adres, na który ma zostać wysłana nagroda, łącznie z numerem telefonu i określeniem, czy jest to telefon na kartę, czy na abonament. W tym momencie może teoretycznie dość do kradzieży środków z konta lub zapisywania numeru do płatnej subskrypcji. Nie należy tu podawać numeru telefonu pod żadnym pozorem!

Po wypełnieniu ankiety nie będzie oczywiście żadnego bonu na 500 zł. Jest za to strona z dwiema ofertami – zniżką na drzwi i na biżuterię. Przypuszczam, że poza zbieraniem danych Polaków atakujący zarabiają też na bezpośrednim wyświetlaniu reklam polskich firm.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: własne

Źródło tekstu: własne