Fałszywy mObywatel poluje na kierowców. Nowy przekręt kosztuje tysiące złotych
CERT Orange Polska ostrzega przed nową, niezwykle perfidną kampanią smishingową wymierzoną w polskich kierowców. Jeden fałszywy krok na spreparowanej stronie może wyczyścić konto ofiary do zera.
Wracasz zmęczony z trasy, gdy nagle w telefonie pojawia się nowy SMS. Nadawca: mObywatel. Treść: zaległy mandat za prędkość, ale jeśli zapłacisz teraz – dostaniesz aż 50% zniżki. Taką wiadomość trudno zignorować, jest to jednak pierwszy krok w pułapkę przestępców.
W nadesłanym SMS-e oszuści posługują się szablonami, w których generowane są losowe, sztucznie wyglądające numery spraw (np. PL-2026-886521), co ma nadać wiadomości urzędowy ton. Aby zmusić ofiarę do działania pod wpływem impulsu, napastnicy stosują tzw. time-boxing, czyli ograniczenie czasu na decyzję do 24 godzin.
Dodatkowo straszą ofiarę dotkliwymi, choć z prawnego punktu widzenia całkowicie absurdalnymi konsekwencjami: codziennym naliczaniem odsetek za opóźnienie w wysokości 0,5% i zablokowaniem możliwości przejścia corocznego przeglądu technicznego pojazdu. Choć polskie stacje kontroli pojazdów nie mają takich uprawnień, zestresowany kierowca rzadko weryfikuje te informacje w pośpiechu.
Rządowy interfejs z Wysp Kokosowych
Kliknięcie w załączony link prowadzi do złośliwej domeny. Eksperci ds. cyberbezpieczeństwa pomarańczowego operatora zwracają uwagę na wysoki poziom dopracowania wizualnego strony stworzonej przez przestępców. Witryna doskonale imituje wygląd aplikacji mObywatel – zawiera polskie godło, charakterystyczną kolorystykę, a nawet charakterystyczny, animowany ekran.
Jednak diabeł tkwi w szczegółach technicznych. Atak wykorzystuje adres infomobywatel-oplata[.]cc, zamiast rządowego .gov.pl. Końcówka .cc to domena przypisana do terytorium zależnego Australii – Wysp Kokosowych. Do tego formularz na stronie jest prymitywnym skryptem phishingowym. Wpisanie jakiegokolwiek, nawet całkowicie zmyślonego numeru rejestracyjnego, zawsze zwraca ten sam wynik: „znaleziony” mandat na kwotę 91 zł (obniżony ze 182 zł). Nie brakuje też błędów językowych.
CERT Orange Polska ostrzega, że pułapka tkwi w mechanizmie rzekomej płatności. Przestępcy informują, że ze względów systemowych akceptowane są wyłącznie karty płatnicze. Formularz wymaga podania kompletu danych uwierzytelniających: 16-cyfrowego numeru karty, daty ważności, imienia i nazwiska właściciela oraz kodu zabezpieczającego CVV/CVC.
Stawka jest znacznie większa niż 91 zł, a wpisanie tych danych w formularzu nie skutkuje pobraniem tej kwoty. Przestępcy natychmiast przekazują te dane w tle (często automatycznie za pomocą API) w celu podpięcia karty do wirtualnego portfela (np. Apple Pay lub Google Pay) na urządzeniu oszusta. Pozwala im to na dokonywanie transakcji zbliżeniowych i wypłat gotówki w dowolnym miejscu na świecie, aż do całkowitego wyczyszczenia limitów na koncie bankowym.
Jak nie dać się oszukać?
Jak się chronić przed smishingiem? W podobnej sytuacji trzeba przestrzegać kilku podstawowych zasad.
Po pierwsze wszystkie oficjalne systemy płatności oraz powiadomienia państwowe są hostowane w zabezpieczonej domenie .gov.pl. Żaden podmiot administracyjny nie korzysta z egzotycznych rozszerzeń domenowych jak .cc, .com czy .info.
Po drugie służby państwowe, Policja oraz poborcy podatkowi nigdy nie stosują technik marketingowych typu „promocja -50% ważna tylko dobę” wysyłanych w formie SMS-ów z linkami do szybkich płatności. Presja czasowa to główna broń złodziei.
Informacje o mandatach i punktach karnych należy weryfikować wyłącznie poprzez samodzielne uruchomienie oficjalnej aplikacji mObywatel zainstalowanej z bezpiecznego sklepu lub bezpośrednio logując się na portalu mobywatel.gov.pl.
