Chorwacki e-obywatel wykorzystywany do kampanii phishingowej QR

Chorwacki e-obywatel wykorzystywany do kampanii phishingowej QR
Fot. stock.adobe.com / PX Media
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
System e-obywatel używany jest w nowej kampanii phishingowej w Chorwacji. Osoby atakujące udostępniają fałszywy kod QR, prowadzący do strony internetowej imitującej rządowy system. Bankowcy ostrzegają, że jeśli ktoś wprowadził informacje bankowe, należy zablokować kartę albo poprosić o nowy token w swoim banku, pisze Szymon Stellmaszyk, Doradca Zarządu Związku Banków Polskich w Zespole ds. międzynarodowych.

Pod koniec lutego 2023 roku krajowy CERT, czyli jednostka nadzorująca ruch internetowy i podejmująca natychmiastową akcję w razie pojawienia się zagrożeń, zaczął otrzymywać niepokojące zgłoszenia od obywateli.

Atakujący za pośrednictwem fałszywego e-maila rozpowszechniali linki w postaci kodu QR, a te prowadziły do strony imitującej system e-Citizens.  

Strony phishingowe wykorzystywane były do kradzieży danych kart bankowych i tokenów bankowości mobilnej. Chorwacka asocjacja bankowa poinformowała klientów banków, aby pilnie zablokowali karty, jeśli wprowadzali stosowne informacje na jej temat, a jeśli wprowadzili dane dotyczące bankowości mobilnej, aby wystąpili o nowy numer użytkownika w swoich bankach.

Czytaj także: Uwaga na SMS-y, maile i telefony od oszustów

Fałszywe ministerstwa – prawdziwe oszustwa w cyberprzestrzeni

W ostatnich dniach napastnicy uaktywnili się przedstawiając jako Ministerstwo Gospodarki i Zrównoważonego Rozwoju oraz Chorwacki Instytut Ubezpieczeń Zdrowotnych. Kampania  ta naśladuje wskazane ministerstwo, które obiecuje rozpatrzenie wniosku o pomoc w zakresie wsparcia energetycznego. Chodzi o opłacenie rachunków za prąd, gaz i inne rachunki za energię w wysokości 211,42 euro. Z kolei w kampanii imitującej fundusz ubezpieczeń zdrowotnych obiecywano zwrot kosztów opieki zdrowotnej w wysokości 116,19 euro.

Opinię publiczną poinformowano o złośliwych adresach e-mail i stronach internetowych do tego typu phishingu! Wiadomość zatytułowano też np. jako „Zaświadczenie o przyjęciu automatycznej prośby o pomoc w zakwaterowaniu”. Nadawcą tej wiadomości e-mail był niby system „e-Citizens”, ale z fałszywego adresu i podpisany jako Ministerstwo Pracy, Systemu Emerytalnego, Rodziny i Polityki Społecznej.

Wśród fałszywych wiadomości były zawiadomienia o pomocy finansowej na mieszkalnictwo. W treści maila stwierdza się, że Republika Chorwacji przeznaczyła na pomoc finansową na zakwaterowanie w wysokości 250,89 EUR dla odbiorcy, a dostęp do systemu e-Citizens można uzyskać wyłącznie za pomocą kodu QR i hasła dostępu, które są ważne tylko przez 48 godzin.

Czytaj także: AI ułatwi tworzenie wiarygodnych fake newsów?

Mimo zachęty nie skanuj kodu QR „dla większego bezpieczeństwa”!

Atakujący używają kodu QR zamiast linku, naśladując legalne instytucje i usługi, oferując pomoc finansową i tworząc pozory pilności, aby skłonić odbiorców do szybkiej reakcji.

Tymczasem poprzez zeskanowanie kodu QR ofiara zostaje przekierowana na stronę internetową, która przekonująco naśladuje wygląd systemu e-Citizens; z kolei wybierając aplikację za pośrednictwem tokena bankowego, otwierało się okno do wprowadzania danych. Fałszywe strony i formularze logowania są wykorzystywane do kradzieży danych bankowych, co może w konsekwencji prowadzić do utraty środków.

Bankowcy apelują więc, aby ich klienci sprawdzali, z jakiego adresu pochodzi poczta i porównali ten adres z oficjalnymi adresami podanymi na stronach usług. Ostrzegają też, że jeśli otrzymali nieoczekiwaną wiadomość z ofertą pomocy finansowej, aby byli ostrożni.

Absolutnie nie należy też skanować kodu QR „dla większego bezpieczeństwa”, jeśli zachęca do tego e-mail. Korzystając z kodu QR, atakujący łatwiej ukrywają rzeczywisty adres strony, do której przenoszą ofiary, zmuszając je do uzyskania dostępu do strony za pośrednictwem telefonu komórkowego, gdzie trudniej jest rozpoznać oszustwo z powodu mniejszego ekranu.

Zmuszanie do szybkiej reakcji i podania danych osobowych wymusza często lekkomyślnie i bezkrytyczne myślenie. Przeniesienie na fałszywą stronę i wymuszenie pozostawienia danych osobowych do imitowanej, pozornie legalnej usługi może prowadzić zaś do straty finansowej. Dlatego lepiej usunąć takie wiadomości i na nie odpowiadać.

Policja i ministerstwo  poinformowały, że prawo określone w komunikacie nie istnieje w chorwackim systemie opieki społecznej i jest oszustwem.

Czytaj także: Warto wiedzieć | Klienci Instytucji Finansowych | Cyfryzacja banków – perspektywa konsumencka

Szymon Stellmaszyk. Doradca Zarządu Związku Banków Polskich w Zespole ds. międzynarodowych.  Prawnik i absolwent międzynarodowych stosunków gospodarczych i politycznych – Uniwersytet im. Adama Mickiewicza w Poznaniu i KU Leuven. W ZBP od 2006 roku. Na przestrzeni lat członek Komitetów Europejskiej Federacji Bankowej ds. międzynarodowych, zwalczania przestępstw finansowych, komunikacji i edukacji finansowej. 
Źródło: BANK.pl