10:12
22/5/2019

Ciekawy phishing na klientów Pekao

Dziś na skrzynki Polaków (nie tylko klientów Pekao) rozesłane zostały fałszywe e-maile podszywające się pod Pekao, będące tak rzadko ostatnio spotykanym klasycznym phishingiem. Trzeba przyznać, że wśród tego zalewu scamów “na dopłatę 1PLN” trochę tęskniliśmy za takimi atakami… Zobaczcie jak atakujący (nie)dopracowali swojej kampanii:

Tak wygląda wiadomość e-mail:

Jak widzicie, nie jest po polsku… Link niby poprawny, ale całość treści w e-mailu to obrazek, który po kliknięciu (gdziekolwiek) przenosi ofiarę na adres:

https://u6900278.ct.sendgrid[.]net/wf/click?upn=OIWF5b5n0KEa8FPdQZa9kL4-2F(...)

a potem:

http://clic-douaisis[.]fr/zida.html

a następnie

https://megolbassia[.]com/wp-includes/pekao/?l=EN

gdzie oczom ofiary prezentowana jest podrobiona strona banku, prosząca go o następujące dane, takie jak: login

…i hasło:

oraz to, z jakiego systemu operacyjnego korzysta ofiara:

i jaki jest jej numer telefonu (na który zapewne wysyłany jest link do złośliwej aplikacji — na podany przez nas numer jeszcze nic nie przyszło):

Po podaniu powyższych danych, ofiara jest instruowana jak “skonfigurować” telefon:

Jeśli ciekawi Was, co się stanie, jeśli na kroku z wyborem systemu operacyjnego wybierzecie iOS (iPhone), to — jak się zapewne domyślacie — nie dzieje się nic, Z racji braku możliwości wgrania sobie złośliwego oprogramowania na ten telefon (i braku złośliwych aplikacji w oficjalnym sklepie Apple), ofiara widzi taki komunikat:

To wspaniały przykład na to, dlaczego iPhony jednak są bezpieczniejsze dla przeciętnego klienta banku.

Nie tylko phishing czyha na Polaków

Zagrożeń w internecie jest sporo. Zebraliśmy je wszystkie w naszym mega-wykładzie, z którym odwiedzamy duże miasta w Polsce. Podczas wykładu w widowiskowy sposób przekazujemy też proste rady, które każdy bez żadnych dodatkowych kosztów może stosować, aby zabezpieczyć swoje dane przed wyciekiem, a pieniądze przed kradzieżą. Wpadnijcie na nasz wykład, jeśli będziemy w Waszym mieście i zabierzcie ze sobą rodziców i znajomych. Wykład jest przystępny dla każdego a osoby techniczne też znajdą w nim “mięsko” dla siebie. Lokalizacje i terminy wykładu znajdziecie w ramce poniżej.

A jeśli chcecie nas zaprosić do wygłoszenia tego wykładu (lub 6 innych wykładów) w Waszej firmie, to dajcie znać na szkolenia@niebezpiecznik.pl. Przyjedziemy i podniesiemy bezpieczeństwo Waszych pracowników, pokazując ataki na żywo. Większość firm, która u nas zamówiła jeden taki wykład, wraca po kolejne :)


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Więcej na temat tego co będzie na wykładzie dowiesz się stąd, a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj.

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Ok na iOS apki się nie pobierze ale wcześniej każdy kto się skusi poda login i hasełko, pytanie co dalej z tym zrobią gangusy

    • Aplikacja na Androida prawdopodobnie prosi o zgodę na czytanie SMSów, by przeczytać kod potwierdzenia.

  2. Ostatnio Wam zgłosiłem ten sam atak na klientów PKO, jednak wszystko ładnie po polsku:) nawet adres nadawcy dobrze przygotowany “noreply@pekaobk.com”

    • Ups, to chyba przegapiliśmy :( Możesz na wszelki wypadek jeszcze raz fwdnąć na redakcja@?

  3. CIF, hasło, numer telefonu
    Doskonały zestaw danych do przeprowadzenia ataku socjo…
    – Dzień dobry dzwonię z banku PEKAOSA. Aby kontynuować muszę potwierdzić, że Pan, to Pan…
    – Numer PESEL? Nazwisko matki? Ile kredytów ma Pan w banku PKO?
    – Weryfikacja przebiegła pomyślnie…
    – Oj, widzę, że nie wyraził Pan zgód na kontakt marketingowy. Do widzenia.

    HWDPEKAOSA na 100%

  4. A w pierwszej linijce “Bezpieczeństwo” na ekranie z pytaniem o *pełne* hasło jest “Pamiętaj, że podczas logowania do Pekao24 i podczas kontaktów telefonicznych bank nigdy nie prosi o podanie pełnego hasła do Pekao24.”.

    • Ludzie teraz na analfabeci funkcjonalni, litery znają ale nie rozumieją co się do nich pisze. Ja w ogóle nie rozumiem takiego ataku… Maile od banku lecą u mnie do kosza, bank nie dodzwoni się do mnie również telefonicznie bo do mnie mogą zadzwonić tylko ludzie z mojej książki telefonicznej. Ostatnio ktoś prawdopodobnie włamał się do systemu aplikacji IKO, w necie cisza o tym, ale po uruchomieniu aplikacji IKO (miesiąc temu) pojawiała się informacja o konieczności instalacji nowej wersji IKO, link prowadził gdzieś w kosmos. Sklep Play Google pokazywał że aplikacja jest aktualna i nie ma żadnej aktualizacji. Napisałem o tym do PKO, zrobiłem printscreeny … nie wiedzą nic o tym, nakazali sprawdzać aktualizacje w sklepie Play Google. Bardzo dziwna sprawa, zwłaszcza że nie mogę być przedmiotem jednostkowego ataku bo jestem biedny jak mysz kościelna :)

  5. Oczy razi wychwalanie IOSa przecież domyślnie instalowanie z nieznanych źródeł jest wyłączone (a ktoś kto włącza a się na tym nie zna jest po prostu głupi)

    • Większość użytkowników androida w pewnym etapie używania telefonu włączyła to

    • Dlatego że IPHONE nie pozwala mi instalować czego chcę to jest bezpieczniejszy? Bezpiecznie jest wtedy gdy wiesz co robisz.

    • Jeśli wiesz co robisz, potrafisz przeprowadzić (i chcesz tracić czas na) konfigurację telefonu, to jak najbardziej Android dla Ciebie będzie lepszym wyborem. Ale pamiętaj, że nie każdy ma takie zdolności i świadomość zagrożeń jak Ty. Dla reszty osób, właśnie z tego powodu bezpieczniejszy będzie iPhone.

  6. Dziś dostałem to samo. Ciekawostka mój Gmail nie uznał tego maila za podejrzanego.

    • Pewnie dlatego, ze to tylko obrazek

    • Bo wysyłane było z chmury wysyłkowej Wix. A oni wszystkie certyfikaty, DKIM-y, SPF-y i inne weryfikacje muszą mieć, w końcu mają też komercyjnych klientów którym zależy na 100% dostarczeń.

  7. a może by tak zasypać ich formularz randomowymi danymi by stracili czas na sprawdzanie ich ]:->

    • W sumie ciekawy pomysł wchodzę w taką akcję :)

  8. Dostałem tę wiadomość e-mail, ale po polsku, więc taka wersja też istnieje. Wysłany na ogólnodostepny adres email mojej firmy.

  9. Czy antywirus Kaspersky Internet Security chroni przed takim zagrożeniem?

    • Nie, ale antywirus B.R.A.I.N. skutecznie zabezpiecza przed działaniem phishingu, należy go użyć by być bezpiecznym.

  10. Akcja z tym samym bankiem była niedawno, po polsku – link do wypoku
    https://www.wykop.pl/wpis/41409873

  11. patrz nawias w moim wpisie, pytanie po co ?

  12. Też dostałem takiego maila mimo iż nie mam konta w PKO SA

  13. Wczoraj klient dostał innego emaila. O konieczności wypełnienia jakiegoś formularza (był w załączniku jako jpg) z powodu Krajowej Kontroli Skarbowej. Nadawca miał w adresie gov.pl.

  14. Strona jest od dawna w polskich filtrach do uBlocka :)

  15. 100% bezpiecznie jest mieć do kontaktów z bankiem (SMS itp) osobną kartę w telefonie typu NOKIA 3310 – a w “codziennym” telefonie z androidem tylko zainstalowaną aplikacje do blikowania i przeglądania historii, robienia przelewów – nie ma wówczas możliwości utraty czegolwiek

    • Nie

    • Co nie? Możesz rozwinąć?

  16. Gotowka rulez.

  17. IPhony są dużo bezpieczniejsze, ale do czasu. Te telefony po prostu nic nie potrafią, przypominają telefon dla babci. Sorry ale taka jest prawda, IPhone to telefon z kagańcem.

  18. \/ Oświadczam że chciałbym aby KTOKOLWIEK wysłał mi wirusa na adres mailowy podany przy rejestracji bo k$%#& chce jakiegoś mało znanego wirusa podpiąć pod debuger i rozgryść jak on działa (jak do tej pory to tylko z githuba jakieś już znane a tak ani jednego jeszcze nie dostałem a jestem tym wyjątkiem wśród ludu co akurat chciałby i to w chu…

  19. Przycisk Dalej ma nieco inną kolorystykę niż na prawdziwej stronie.

  20. @niebezpiecznik

    pisząc o kluczach U2F polecaliście Feitian MultiPass jako opcję z Bluetooth. Z tego co widzę nie jest już dostępny ani na amazonie, ani na stronie producenta. Możecie polecić jakąś alternatywę do użytku z telefonami bez NFC?

    Pozdrawiam

    • Obecnie będzie ciężko, bo chyba na najnowszym iOS żaden klucz z BT nie będzie działać.

  21. Do niejednego już przestępstwa phishingu i sniffingu doszło odkąd internet w Polsce jest szeroko dostępny. Wydawałoby się, że te metody odeszły do lamusa, ale jak widzę, nie jest jedyna metoda, bo łatwowiernych osób w Polsce jest sporo dużo. I działają proste metody. Tak jak taka offline’owa, o której też chyba ostatnio pisaliście, czyli wyłudzanie duplikatów kart SIM.
    Operatorzy mają za małe zabezpieczenia i wymagania związane z wydawaniem duplikatów, które przecież potem można wykorzystać do haseł sms. Ja zamawiając duplikat zdalnie, musiałem poza numerem PESEL, podać 3 numery, na które ostatnio dzwoniłem. Choć było to 3 lata temu, podejrzewam, że nadal niewiele się w tej materii zmieniło. :)

  22. Ruszyła kolejna fala phishingu w wersji “mamy nagrania z twojej kamerki, zboczeńcu” :) Wczoraj dotarł do mnie. Poszedł do kosza ale zastanawia mnie coś innego. Jako nadawca wyświetlał mi się adres ….(imię i nazwisko)@um.krakow.pl Po sprawdzeniu faktycznie taka osoba jest zatrudniona w urzędzie miejskim w Krakowie a część z wydziałów posługuje się taka pocztą. Nie jestem techniczna ale mam pytanie jak to możliwe i czy powinnam to gdzieś zgłosić ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: