17:59
19/4/2021

Od wczoraj Polacy znów zalewani złośliwymi są SMS-ami o “paczkach czekających na odbiór”. Większość z nich ma literówki i jest wysyłana z niemieckich numerów telefonów. Skąd w oszuści mają Wasze numery?

Flubot

W zeszły czwartek, jako pierwsi opisywaliśmy największy od kilku miesięcy (lat?) atak SMS-owy, który wycelowano w Polaków. Przestępcy, podszywając się pod DHL, nakłaniali do instalacji złośliwej aplikacji na Androida — a jeśli ktoś dał się nabrać, tracił pieniądze ze swojego konta w banku.

Wczoraj w nocy ruszyła druga fala tego ataku. Podobnie jak w czwartek, SMS-y dotyczyły przesyłek i były wysyłane głównie z niemieckich numerów telefonów. Tym razem jednak, w ich treściach oszuści celowo wprowadzili literówki (jedne mniej, drugie bardziej zabawne):

W związku z oboma atakami przesyłacie nam masę pytań (naliczyliśmy już ponad tysiąc e-maili w tej sprawie… 😬)

…i nie nadążamy z odpowiedzią każdemu z osobna, to postanowiliśmy sobie uprościć pracę i odpowiadamy zbiorczo na najczęściej zadawane pytania:

1. Dlaczego w SMS-ach znajdują się literówki?
Teorii jest wiele. Od nierozgarniętego atakującego, który nie zna dobrze języka polskiego, przez chęć ominięcia filtrów antyspamowych aż po teorie trafienia z atakiem tylko do tych mniej inteligentnych obiorców, którzy “nie widzą literówek, to są na tyle naiwni, że nabiorą się na fałszywego linka“.

Masowość i liczba literówek każe wykluczyć pierwszą z teorii. My — patrząc na to, jak szybko wbudowany w Androida filtr spamu oznaczał SMS-y z czwartkowej fali jako “podejrzane” — skłaniamy się do hipotezy, że literówki mają na celu “wyskoczenie” z filtrów na Androidzie, co umożliwia atakującym dotarcie przed oczy większej liczby potencjalnych ofiar.

2. Skąd wyciekł mój numer telefonu?
Przestępcy i spamerzy wysyłają SMS-y na numery telefonów, które pozyskują z wycieków. Wiele osób, które w czwartek otrzymało złośliwego SMS-a, twierdziło że to pierwszy raz, kiedy są celem SMS-owego ataku. Z tego powodu łączyli to zdarzenie z niedawnym wyciekiem ich numeru telefonu z Facebooka.

Ale… znamy osoby, które w wycieku Facebooka były, a tych wiadomości nie otrzymały. W wycieku Facebooka było około 2,7 miliona numerów telefonów, więc nic dziwnego, że spora część osób z tego wycieku oberwała też czwartkowym atakiem SMS-owym.

Jeśli nie z wycieku Facebooka, to skąd przestępcy mieli Wasze numery telefonów? Z książek kontaktowych wykradzionych od innych osób, które udało im się zainfekować. Flubot, czyli złośliwy trojan bankowy, który stoi za tym atakiem, wykrada z infekowanych przez siebie telefonów kontakty — pisał o tym CERT Orange już w marcu. To częste działanie złośliwego oprogramowania (strzelanie po numerach nie daje pewności, że numer istnieje — a numer z książki kontaktowej prawdopodobnie wciąż jest aktywny i do kogoś prowadzi).

Nie jest oczywiście wykluczone, że operatorzy tej kampanii wykorzystali też numery telefonów pochodzące z jakichś wycieków (np. ze zhackowanych baz danych sklepów internetowych), ale wskazywanie tylko wycieku z Facebooka jako źródła danych nie jest poprawne.

3. Czy mój telefon został zhackowany/zainfekowany?
Jeśli:

  • otrzymałeś SMS-a: Nie, to nie jest atak Pegasusem.
  • otworzyłeś i przeczytałeś SMS-a: Nie (choć samo otwarcie SMS-a może czasem zhackować telefon).
  • kliknąłeś na linka w SMS-ie: Nie. A precyzyjniej: tym razem nie, bo wejście na złośliwą stronę może zaatakować telefon. Więc weź się zastanów na przyszłość, ok? Klikanie w podejrzane linki (a te były wybitnie podejrzane i od czapy) może się naprawdę źle skończyć. Lepiej tu nie klikaj.
  • pobrałeś plik dhl.apk z fałszywego linka: Nie. Samo pobranie pliku nie powoduje jego uruchomienia i instalacji. Ale, żeby Cię nie kusiło, skasuj ten plik
  • zainstalowałeś plik: Tak. Instalacją fałszywej aplikacji DHL sam zhackowałeś sobie swój telefon. Przestępcy prawdopodobnie wykradli z niego dane (np. kontakty) oraz inne informacje. Dlatego zastosuj się do rady z kolejnego punktu.

 
4. Co zrobić z telefonem, który został zainfekowany?
Ta odpowiedź jest dostosowana do czwartkowego ataku. Inne złośliwe aplikacje mogą zachowywać się inaczej i wymagać innych działań!

  • Wyłącz go jak najszybciej. Jeśli tego nie zrobisz, z Twojego telefonu będą wykradane dane a z Twojego numeru będą wysyłane złośliwe SMS-y infekujące innnych internautów.
  • Skontaktuj się ze swoim bankiem — nie ma co ryzykować. Bank będzie wiedział co zrobić, a Ty będziesz mieć dowód, że podjąłeś odpowiednie kroki.
  • Z innego urządzenia, zmień hasła do kont (aplikacji, serwisów) w których byłeś zalogowany na telefonie.
  • Zastanów się jakie dane miałeś na telefonie i czy za pomocą zdobytych z niego plików przestępcy mogą Ci jakoś zaszkodzić (gdzie mogą uzyskać dostęp? czy miałeś zdjęcia dowodu/paszportu, umów?). W miarę możliwości zastrzeż dane, które wyciekły i poinformuj poszkodowanych.
  • Przywróć Androida do ustawień fabrycznych i odtwórz go z kopii zapasowej, jeśli masz aktualną kopię zapasową swoich danych. Jeśli nie, to wyjmij z niego kartę SIM, włącz telefon natychmiast przełączając go w tryb samolotowy, podepnij go kablem pod komputer i zgraj z niego istotne dla Ciebie dane w ten sposób, ręcznie. Dla bezpieczeństwa odłącz też komputer od internetu, bo niektóre z telefonów mogą skorzystać z internetu poprzez komputer i w ten sposób nawiązać połączenie z atakującymi.

 
To powyżej to “minimalny” zestaw porad. Smartfona po świeżej instalacji powinieneś obowiązkowo poprawnie skonfigurować. Aby to zrobić, trzeba spędzić kilkanaście minut, ale warto! Poprawna konfiguracja zabezpieczy Cię to przed przyszłymi atakami tego typu i zminimalizuje wyciek Twoich danych.

Jak zabezpieczyć smartfona?
Co dokładnie włączyć i gdzie? Jakie dodatkowe, darmowe aplikacje podnoszące bezpieczeństwo i ograniczające wycieki danych zainstalować? Tego dowiesz się z naszego mini szkolenia z bezpieczeństwa smartfonów. Tę wiedzę powinien mieć każdy posiadacz smartfona, dlatego ze względu na dzisiejsze ataki, do środy możesz kupić nagranie tego szkolenia 50% taniej. Na obejrzenie masz 30 dni. Aby skorzystać ze zniżki, wpisz kod A-SIO-OSZUSCIE w formularzu zamówienia.

PS. Dziękujemy wszystkim, którzy przesyłają nam informacje o bieżących atakach. To dzięki Wam możemy ostrzegać innych ❤️ Widzicie coś podejrzanego? Zgłaszajcie to na redakcja@niebezpiecznik.pl

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. […] Jeśli chcesz wiedzieć co zrobić, jeśli KLIKNĄŁEŚ w linka z tego SMS-a lub POBRAŁEŚ aplikację, która się pod tym linkiem znajdowała albo co gorsza ZAINSTALOWAŁEŚ ją, to przeczytaj nasz kolejny artykuł, który opisuje co robić w każdej z tych sytuacji. […]

  2. Jak dobrze mieć iPhone’a. :)

    • mając iPhone’a też trzeba uważać na różne pierdoły, jak sms-y wpędzające telefon w loop :D
      tym razem nam się upiekło :D

    • Jak dobrze nie mieć smartfona. :-)

    • @majkel: no jasne:) ale fałszywej apki raczej nie zainstalujemy.

    • Masz rację – iPhone jest dużo bardziej przewidywalny więc jeśli znajdziesz podatność to masz pewność, że zadziała na każdym urządzeniu. W przypadku androida każde urządzenie jest inne przez co potrzeba czasem szeregu dziur 0-day aby przejąć kontrolę nad urządzeniem… Z drugiej iPhone to telefon dla debila który chce być w jakimś stopniu chroniony a android (wersja do 7 właściwie) to telefon dla hackera który wie czego nie robić.

  3. Halo, raz jest mowa o smartphonach a za chwile androidach. Pytanie, czy jako posiadacz iphone ktory kliknal w link mam sie czegos obawiac?

    • Na iphonie nie zainstalujesz aplikacji z pliku .apk, więc:
      “Jeśli pobrałeś plik dhl.apk z fałszywego linka: Nie. Samo pobranie pliku nie powoduje jego uruchomienia i instalacji…”

    • Czy sama instalacja aplikacji ale bez dawania uprawnień aplikacji byłaby niebezpieczna? W teorii to użytkownik daje prawa aplikacji do dostępu np. do kontaktów. I jak nie da to samo zainstalowanie aplikacji nie pozwoli na wiele. Chyba, że korzysta z jakichś dziur i omija zabezpieczenia Androida.

  4. nextDNS – usługa rozwiązywania domen używająca listy CERT Polska/KAD, która blokuje powyższe scamy. Zalecana konfiguracja: https://soo.bearblog.dev/nextdns/

    Ustawcie osobom zwłaszcza mniej technicznym oraz edukujcie ich o zagrożeniach w sieci!

  5. I właśnie tu wychodzi moc custom firmware w przypadku starszych modeli telefonów – aktualizacje bezpieczeństwa świadczone są dużo dłużej niż stockowe; producent może przestać dostarczać swoje, ale community i tak będzie tworzyć update’y.

    No i oczywista sprawa, o której też mówię odkąd przesiadłem się na Mi 9T Pro z LineageOSem: instalacja customowych aplikacji powinna być możliwa, ale z zachowaniem środków ostrożności i CZYTELNYMI komunikatami bezpieczeństwa. System powinien każdorazowo przed customową instalacją jakiegoś .apk rzucić tekstem:
    “Jeżeli jakaś strona sama poprosiła Cię o instalację aplikacji twierdząc, że jest to bank, firma kurierska czy inna znana firma świadcząca usługi, NIE kontynuuj – zamiast tego poszukaj aplikacji w sklepie z aplikacjami zainstalowanym już na urządzeniu.” – z odpowiednimi wytłuszczeniami i timeoutem przed kliknięciem “kontynuuj”. Poweruser przeboleje to instalując potrzebne mu apki – nietechniczny potrzebuje mieć podane na tacy, że to są oszuści.

    • Przecież już dziś takie ostrzeżenie jest wyświetlane. Aby móc instalować apki spoza sklepu, trzeba aktywować tą funkcję w ustawieniach.

  6. Uważam, że operatorzy mogliby systemowo usuwać linki z smsów albo blokować takie smsy. Chociaż tymczasowo, żeby zniechęcić złodziei.

    • To byłaby ingerencja w treść wiadomości – zabroniona przez prawo telekomunikacyjne. Poza tym niektóre firmy wysyłają linki w użytecznym celu.

    • Tak, kasowanie linków z smsów jest ingerencją, w treść wiadomości, ale zablokowanie działania linku tapniętego w smsie już nie. Dodać podwójny czy nawet potrójny komunikat potwierdzająco ostrzegawczy i… jeśli ktoś po kilku jasnych ostrzeżeniach i tak kliknie, to… albo głupi i nic nie poradzimy, albo zrobił to celowo.

  7. Redakcjo Niebezpiecznika. Problem jest głębszy i mam nadzieje, ze to sprawdzicie/nagłośnicie i ewentualnie zgłosicie jeśli mam rację. Te paczki DHL naprawdę istnieją, ponieważ z czystej ciekawości sprawdziłem na oficjalnej stronie DHL nr przesyłki. To bardzo niebezpieczne. Może doszło do wycieku u nich? Wtedy numery przesyłek i numery telefonów osób kiedykolwiek zamawiających coś przez tę firmę są w obiegu.

    • Jeśli istnieje, to może to jest loteria i z wszystkich osób które się nabiorą jedna dostanie przesyłkę niespodziankę np. z czekiem na 1% kwoty którą uda się ukraść. ;)

    • Z Łodzi do Warszawy? Odebrał ktoś podpisujący się jako BANKERS?
      Też dostałem wczoraj SMSa z prawidłowym numerem paczki wysłanej w lutym 2020

  8. Regularnie odpisuję na te smsy. Nie jest to może szczyt dorosłości, ale jakoś tak od razu lepiej jak przedstawi się komuś niepodważalnie prawdziwe dowody (tak samo jak te smsy) na bliskie relacje z jego matką. Wiem, że prawdopodobnie nikt nie odpisze, ale kiedyś już zdarzyło mi się otrzymać odpowiedź na moje wypociny. Od tamtej pory staram się odpisywać kreatywnie na takie przypadki.

  9. Na bank chodzi o wyjście z filtrów antyspamowych. A dziwna pisownia wyrazów to nie polowanie na “głupszych”, tylko normalne zjawisko (tzw. “sight words”):
    https://www.dictionary.com/e/typoglycemia/

  10. Czy samo otwarcie linku i zamknięcie może prowadzić do zainfekowania telefonu z powyżej opisanego przypadku

  11. Czy otwarcie linku może narobić jakieś szkody na telefonie i czy warto cofać go wtedy do ustawień fabryczych?

  12. Ja dostałem takiego SMS-a:
    +49 171 8286846
    Dermacol. twoje zamowienie 13221058 zostalo wyslane.
    Sledzenie online:
    https://kora-studi[.]it/track/?7y0twmeckyma

    • Też dostałam podobną treść, wysłałam informacje, mój adres email znalazł się na trzech stronach których nie używałam od lat… I w sumie to tyle. Nie byłam na wycieku facebooka, na wycieku morele (bo nigdy nic tam ja ani moja rodzina ani znajomi nie kupowali), i jestem w kropce bo nie jestem specem od IT.

  13. A w to wszystko się świetnie wpisuje debilizm Amazona, który wysyła na telefon link do kliknięcia, tylko by się zalogować na komputerze (wymuszone 2FA). Aż dziwne, że jeszcze nie wysyłają scamu podszywającego się pod Amazona, aby ludziom przejmować konta z podpiętymi kartami kredytowymi.

  14. Najważniejszy tu jest zdrowy rozsądek i spostrzegawczość. Osoba która będzie kojarzyć fakty i traktować wiadomości z pewną podejrzliwością nie da się tak łatwo złapać. Gorzej jak linka otworzy dziadek, który ma nabite numery telefonów wszystkich członków rodziny i lubi korzystać z komputera. On przez słabą znajomość techniki nie wyłapie tego niuansu po którym idzie zauważyć że to fishing.

  15. A ja poza sms 20 od kurire, otrzymalem 21.04 sms o innej tresci:
    Reklamacja nr: REK-281/21/00011 Produkt zostal wymieniony na nowy .Prosimy o zapoznanie sie z informacja dotyczaca przetwarzania Twoich danych osobowych.Pod adresem:
    (NIE KLIKAĆ!!!!) https://esw[.]fyi/reklamacja.pdf

Odpowiadasz na komentarz Bromidum

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: