12:53
5/11/2021

Jeden z naszych Czytelników otrzymał ciekawego e-maila:

Witaj XXX,
Gratulujemy! Zostałeś jednym ze zwycięzców nagrody tygodniowej w loterii #SzczepimySię. Aby odebrać nagrodę musisz potwierdzić swoje dane, oraz wskazać adres dostawy.
Zweryfikuj swoje dane!
Dziękuję że dołączyłeś do zaszczepionych.
Adam Niedzielski, Minister Zdrowia

E-mail został:

    – zakwalifikowany jako spam po stronie odbiorcy (data nadania to 7 października)
    – przyszedł na firmowy adres e-mail Czytelnika.

Link prowadzi do strony szczepimysie.org[.]pl gdzie znajduje się tylko taki formularz:

Domena wskazuje na IP: 94.152.11.118 (lexi.rev.domeny.host) i została zarejestrowana 2021.07.02. I teraz pytanie, czy to oficjalna infrastruktura do odbioru nagród?

Wszystkie wskazuje, że to phishing…

Wzmianek o domenie “szczepimysie.org[.]pl” na próżno szukać na oficjalnych stronach rządowych. Czytelnik nie znajduje się też na oficjalnej liście wygranych https://www.gov.pl/web/loteria/tygodniowe/

O ile zbieranie danych w zakresie PESEL i numer telefonu oraz adres — w kontekście weryfikacji zwycięzcy i odbioru nagrody — wydaje się być sensowne, to na rządowej stronie znajdziemy informację, że zwycięzcy otrzymują SMS-a z powiadomieniem o wygranej. A Czytelnik otrzymał e-maila… I to na służbowy, niepodawany nigdzie w kontekście szczepienia adres e-mial. Nic dziwnego, że uznał tę wiadomość za podejrzaną i zgłosił, gdzie trzeba. Brawa za czujność!

ale…

Jeśli to atak, co jest jego celem? Co dzieje się z “ofiarami”? Po co komuś PESEL, numer telefonu i adres? Informacje, które w wielu przypadkach można i tak dość łatwo zdobyć na czyjś temat z innych źródeł. Po przesłaniu formularza widać tylko podziękowania i nic więcej.

Odnośnie tej domeny nie mieliśmy żadnych innych zgłoszeń. Nie jest więc wykorzystywana w masowych atakach. I nie ma się co dziwić, bo zbieranie takich danych nie jest zbyt sensownym atakiem. Żaden poważny atakujący nie zbierałby ich tylko po to, aby potem realizować przy ich pomocy kolejne próby wyłudzenia. Duzi gracze dążą się do minimalizacji kontaktu z ofiarą. Być może odbiorców było więcej, ale podobnie jak w przypadku naszego Czytelnika wpadły one do spamu?

Gdybyśmy mieli strzelać, strzelalibyśmy, że jest to jakaś infrastruktura, którą do ataków socjotechnicznych na swoich klientów wykorzystuje jakaś firma pentesterska. Jeśli tak, to pozdrawiamy kolegów i zapraszamy do kontaktu. Podpowiemy jak zsetupować domenę pod kolejne ataki, aby maile rzadziej wpadały do spamu :-)

Brałem udział w loterii — co robić, jak żyć?

Niewykluczone, że ktoś jeszcze dostanie podobne e-maile. Motyw Narodowej Loterii pojawiał się już w prawdziwych atakach:

Zamiast zastanawiać się, czy SMS który dostajesz jest prawdziwy, po prostu sprawdź się na tej liście zwycięzców. A wszelkie e-maile, które proszą o Twoje dane osobowe i są w spamie… zostaw w spamie :-)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

18 komentarzy

Dodaj komentarz
  1. Jaki target, taki atak.

  2. Wewnetrzne testy od Security, czy userzy łykną przynętę?

  3. “Hulajnoga elektryczna Segway.”

    Ja wiem, ze zawsze mozna to sprzedac, ale skoro i tak nie zamierzaja tej nagrody wydawac (w koncu to oszustwo) to nie lepiej wstawic tam cos atrakcyjniejszego albo przydatniejszego?
    Bo podejrzewam, ze ze wzgledu na sam klopot przy odsprzedazy odpuscilbym bym sobie w kazdym innym przypadku niz email tylko ladnie informujacy mnie kiedy przyjedzie kurier z paczka…

    Czy dozylismy juz czasow, ze ludzie sa tak skapi i lasi na pieniadze, ze “oszczedzaja” nawet w falszywych obietnicach na nagrodach ktorych nigdy nikt nie dostanie? (o.O)

    • Przeciez rzad rozdawal normom wlasnie hulajnogi, aby spopularyzowac szczepienia. Stad takie, a nie inne nagrody.

    • @R.
      Jest taka dzielnica w pobliskim miescie ktorej od lokalsow mozna dostac wpi*dole.
      To, ze cos jest rozdawane nie jest jednoznaczne z tym, ze znajda sie chetni.

      Zreszta wystarczy spojrzec na skutecznosc orginalnej loterii…

    • @WkurzonyBialyMis90210 O czym ty piszesz? Piles – nie pisz. Przeciez ten atak, jak wiekszosc innych, mial byc jak najbardziej zblizony do oryginalnej akcji – i jest. Podszywanie sie pod oryginal, aby normy kliknely link, bo wlasnie cos wygraly, wygraja lub dostana za frajer – co im wylacza te resztki mozgu. O to chyba chodzi w takich atakach, prawda? I co najlepsze, to dziala – stad taka skala tak prymitywnych akcji.

    • Miałem tutaj wyjasnic dlaczego sie mylicie, ale zdalem sobie sprawe, ze sensowna i solidna odpowiedz wyjasniajace wszystkie bledy w mechanizmach tego przekretu to praktycznie jak poradnik “oszustwo for dummies”, takze nie…

      Napisze wiec generalnie: ukazane tutaj oszustwo jest tak glupie, ze wyglada bardziej na jakas forme antyszczepionkowej propagandy ewentualnie experyment, niz oszustwo per se. Jego zatrwazajacy sukces tylko potwierdza moja o nim opinie.

      Ps. Na bezpodstawne oskarzenia o alkoholizm, odpowiem oskarzajacym: ciumkaj loczka :p

    • @WkurzonyBialyMis90210 ty autentycznie nie rozumiesz, ze skoro target jest glupi (a jest bezdennie, bo kto inny z wlasnej woli robi za krolika doswiadczalnego), to przekret rowniez musi tak wygladac? Co wiecej musi podszywac sie oryginal – dokladnie jak na zlaczonym przykladzie. Jesli tak prostych rzeczy nie pojmujesz, to znaczy ze juz dawno szare komorki u ciebie padly od C2H5OH – i innego wytlumaczenia nie widze.

  4. Maciej Musiał. Ty też musisz podać swoje dane…

    • zrobiłeś/łaś mi poranek :)

  5. “Gratluacje”, brak polskich znaków – dośc wiarygodne ;)

  6. kiedy firma próbuje zaspokoić ciekawosc… czy delikwent sie zasczepil, brawo. [Musiał] się mało afiszować ;)

  7. Rozdawał też 50.000, 100.000 i 1.000.000. Z pewnością te nagrody kwotowe by bardziej przyciągały. Dodatkowo można by prosić o numer konta i np. kod autoryzacyjny do zatwierdzenia przelewu przychodzącego powyżej ustawowej kwoty 20.000 zł. Tymczasem tutaj proszą o dane, które zapewne firma zlecająca ma, a co za tym idzie i tak mogą przetwarzać. Gorzej, że chyba nie przewidzieli, przewidzieliże ktoś napisze do konkurencji i pentest może się wysypać poza firmę testowaną. Ciekawe czy przetwarzają te dane osobowe i co na to RODO?

    • Nieprzewidzieli takze (miedzy innymi) tego, ze oszustwo w tej formie wygeneruje sporo (wysoki procent) ruchu w kierunku rzeczywistego organizatora loterii, policji, niebezpiecznika, etc. itp. co doprowadzi do jego bardzo szybkiego ujawnienia – co fajnie koreluje z opoznieniem pozytywnych reakcji od zwyciezcow takze w nim wystepujacym…

  8. “dziękujemy, że dołączyłeś do zaszczepionych” rozwaliło mnie to

  9. No to chyba trochę za szybko na zgona czy inne poważniejsze powikłanie – chyba że dostałeś Modernę 041L20A , 039K20A czy Picera EN6201, EK9231 (serie ze stanów więc u nas mogą być inne) albo coś takiego…

  10. Zastanawiam się nad treścią tego wpisu i dochodzę do wniosku iż, oszuści robią się raz za razem bardziej perfidni.
    Treść oraz sama tematyka tego precedensu została dobrana większości pod grupę osób nieświadomych zagrożeń.
    Wszak największą grupą osób po dawkach jest przecież przedział 30-60 lat, czyli osoby nie w pełni świadome z zagrożeń czyhających na nie w sieci.
    Mam nadzieję, że ilość osób które zostały pokrzywdzone w tej sytuacji nie jest zbyt duża.

  11. Literówka “hulajnoga elektryczna SAGEway” oraz charakterystyczna nieudolność ataku wskazuje, że jego autorem może być użytkownik pewnego forum obrazkowego.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: