Bank, urząd skarbowy, kurier i komornik ‒ pod kogo podszywają się cyberprzestępcy?
Już od kilku lat głównymi wektorami ataków socjotechnicznych, mających za cel przechwycenie kontroli nad cudzym rachunkiem bankowym, jest poczta elektroniczna oraz wiadomości SMS.
Alarmistyczna korespondencja, pochodząca rzekomo od banku, w którym adresat posiada rachunek bieżący i wskazująca na konieczność natychmiastowego zalogowania się do bankowości elektronicznej celem zmiany danych uwierzytelniających, powoli traci swą skuteczność.
Coraz większe grono użytkowników zdalnych kanałów bankowych zdaje sobie sprawę, iż instytucja przechowująca ich pieniądze nigdy nie wysuwa takich żądań, zaś zawarty w korespondencji odnośnik kieruje nie do serwisu banku ‒ tylko na lepiej lub gorzej sfałszowaną przez przestępców stronę, służącą jedynie do wyłudzenia danych.
Dlatego przestępcy szukają innych słabych punktów swych ofiar, podobnie zresztą jak to ma miejsce w przypadku tradycyjnych wyłudzeń, gdzie metoda „na wnuczka” w krótkim czasie doczekała się rozlicznych mutacji, w rodzaju podszywania się oszustów pod policjantów, inkasentów, pracowników spółdzielni mieszkaniowych i przedstawicieli operatorów telewizji kablowych, a nawet komorników czy windykatorów.
Skarbówka? Spokojnie, to tylko oszust
Także i w cyberświecie kolejne strategie, kreowane przez zorganizowane grupy przestępcze, coraz częściej dedykowane są poszczególnym grupom „odbiorców”, co w zamyśle sprawców ma zwiększać ich skuteczność.
Kilka miesięcy temu pojawiła się informacja o kampanii phishingowej, skierowanej do drobnych przedsiębiorców. Hakerzy „wcielili się” tym razem w przedstawicieli Krajowej Administracji Skarbowej, rozsyłając zawiadomienia o planowanej na najbliższy czas kontroli podatkowej.
„Oszuści informują w swoim e-mailu, iż urząd skarbowy planuje wszcząć wobec adresata kontrolę, którą wyznaczył na konkretnie wskazany dzień, w związku z brakiem możliwości skontaktowania się z podatnikiem.
Jednocześnie autorzy fałszywego e-maila, powołując się na szereg przepisów, informują o konieczności stawienia się w firmie i uczestniczenia w kontroli oraz zobowiązują do „przygotowania wszystkich potrzebnych dokumentów związanych z prowadzoną działalnością”.
Dalej wskazany jest link, w którym ma się znajdować lista „niezbędnych dokumentów”. Co ciekawe, cały e-mail napisany jest bez użycia polskich znaków – przestrzegała Izba Administracji Skarbowej w Białymstoku w komunikacie z 21 stycznia 2020 roku.
Czytaj także: Oszustwa na szkodę banków i ich klientów w czasach pandemii
Proceder znany od kilku lat
Urzędnicy przypominają, iż tego typu korespondencja nigdy nie jest dostarczana przez urzędy drogą mailową, zatem jedynym nadawcą rzekomego zawiadomienia mogą być tylko i wyłącznie oszuści.
Link zaś, pod którym rzekomo można pobrać formularze niezbędne w toku kontroli, zawiera złośliwe oprogramowanie, dzięki któremu sprawcy mogą przechwytywać dane uwierzytelniające do systemu bankowości elektronicznej, numery kart bankowych lub inne tego typu informacje.
Warto podkreślić, iż nie jest to pierwszy przypadek, kiedy struktury kryminalne atakują swe ofiary udając służby skarbowe. W roku 2014 miał miejsce podobny atak, także skierowany wobec osób prowadzących indywidualną działalność gospodarczą.
Rzekomi skarbowcy informowali wówczas o nadpłacie, jaka powstała w rozliczeniach podatkowych przedsiębiorcy. Aby uzyskać zwrot środków, należało przesłać dane osobowe oraz numer karty płatniczej, który następnie był wykorzystywany przez sprawców w celu wyłudzenia dostępnych środków.
Sprzedasz samochód, stracisz pieniądze
Na celowniku internetowych hochsztaplerów znaleźli się też sprzedający samochody na popularnym portalu Otomoto.pl. Przestępcy śledzili pojawiające się ogłoszenia, by następnie wysyłać pod wskazany w anonsie numer telefonu SMS informujący o rzekomym nieuregulowaniu całości opłaty za jego zamieszczenie. Osoba, która uznała tę wiadomość za autentyczną, przekierowana była do sfingowanej strony, do złudzenia przypominającej panel operatora płatności.
Dalej schemat był znany, a nieostrożny ogłoszeniodawca z reguły tracił wszystkie pieniądze zgromadzone na rachunku, gdyż podając przestępcom credentiale i jednorazowy kod SMS sam autoryzował tę transakcję.
Analogiczny schemat działania cybergangi podejmują także wobec innych grup społecznych. W lipcu br. CERT Polska przestrzegał osoby poszukujące pracy przed oszukańczymi ofertami. Jak nietrudno się domyślić, sprawcy dostosowali się do warunków pandemicznych, zatem umieszczane przez nich oferty miały zapewnić pracę zdalną, z wynagrodzeniem na poziomie 3400 zł miesięcznie.
– Różnymi kanałami (np. #facebook) promowana jest oferta pracy na stanowisku doradcy klienta, do jej podjęcia wymagany jest przelew na 1,01 PLN przez fałszywy panel PayU – czytamy na profilu CERT na Twitterze.
Czytaj także: W czasie epidemii oszuści nie próżnują. Forum Technologii Bankowości Spółdzielczej 2020
Przesyłki pod specjalnym nadzorem… oszustów
Swoistym znakiem czasu, i zarazem dowodem na skuteczną adaptację cyberprzestępców do aktualnych, pandemicznych uwarunkowań, jest plaga wyłudzeń, których sprawcy podszywają się pod firmy kurierskie i dostawców przesyłek.
Niezwłocznie po ogłoszeniu stanu zagrożenia epidemicznego klienci firmy InPost otrzymywali SMS-y, sugerujące konieczność dopłaty za dezynfekcję przesyłki.
Wiadomość była rozsyłana masowo, zatem spora część SMS-ów trafiła do osób, które nie oczekiwały na żadną przesyłkę, niemniej ci, którzy faktycznie zamawiali towary za pośrednictwem InPostu, mogli się poczuć zaskoczeni, a niepewna sytuacja i nagłe zmiany obowiązujących przepisów niekiedy na przestrzeni kilkunastu godzin dodatkowo tę niepewność pogłębiały.
Kolejnym posunięciem oszustów były wiadomości, skłaniające adresatów do instalacji lub aktualizacji aplikacji InPost, bez czego odbiór oczekiwanej paczki miał być rzekomo niemożliwy. Oczywiście i w tym przypadku jedynym celem było zainfekowanie urządzenia złośliwym oprogramowaniem.
Android na celowniku
Wektorem działania gangów okazały się być też portale społecznościowe.
‒ Ostrzegamy przed nowym atakiem. Umożliwia on wykonywanie akcji z naszego konta #Facebook przez złośliwie dowiązaną aplikację. Napastnicy za pomocą rzekomej weryfikacji dodają nową aplikację oraz używają skryptozakładki w przeglądarce internetowej do przekierowania żądań – taka informacja pojawiła się 4 sierpnia br. na twitterowym portalu CERT Polska.
Innowacyjność przestępców idzie w parze z powrotem do dawnych i sprawdzonych form ataków, gdy tylko te okazują się być skuteczne. Tak jest w przypadku oszustw „na zmianę regulaminu”, gdzie oszuści przybierają tożsamość znanych i rozpoznawalnych witryn internetowych.
W ostatnim czasie ofiarą cybergangów padła między innymi Interia, przed czym przestrzegał CERT Polska.
‒ Tym razem cyberprzestępcy podszywają się pod Interię i rozsyłając fałszywe maile zachęcają do instalacji #malware #Hydra, umożliwiającego kradzież danych oraz zapisanych kart płatniczych – taki komunikat zamieszczony został 26 sierpnia br.
W tym ostatnim przypadku atak skierowany jest do posiadaczy telefonów z systemem Android, którym dedykowane jest złośliwe oprogramowanie dostarczane przez sprawców.
Czytaj także: Cyberbezpieczeństwo: atak ułatwia dowolny sprzęt podłączony do Internetu