18:28
19/7/2018

Dwa dni temu opisywaliśmy atak, jaki został ukierunkowany w Polaków, a który miał na celu infekcję ich telefonu pod pretekstem “aktualizacji sterownika LTE”. Dziś mamy więcej informacji na jego temat — m.in. relację jednej z prawie-poszkodowanych. Przeczytajcie jakie socjotechniczne sztuczki stosował oszust, aby skłonić ofiarę do instalacji złośliwego oprogramowania na swoim telefonie. Ile wysiłku w to włożył i jak nieustępliwy był. I popatrzcie jak reagowała ofiara, co myślała i z jakiego powodu (to jest najciekawsze) nie zgodziła się na instalację złośliwej aplikacji, choć było bardzo blisko. Oddajemy głos Katarzynie.

Zadzwonił do mnie wczoraj mężczyzna imienia niestety nie pamiętam, za pierwszym razem przedstawił sie że dzwoni z sieci T-mobile i podał moje drugie imię zamiast pierwszego oraz nazwisko. Zwróciłam mu uwagę że nie mam tak na imię oraz w sprawie jakiego numeru telefonu dzwoni. Podał prawidłowy nr. Zanim zdążyłam powiedzieć że nie
jestem w T-mobile przeprosił za pomyłkę i powiedział że jest z Plusa, po czym zaczął mówić ze dzwoni z serwisu w celu poinformowania mnie, iż korzystam z starych nadajników i w wkrótce nie będę mogła połączyć sie telefonicznie z nikim, ani też nikt sie do mnie nie dodzwoni, gdyż nie będę miała zasięgu. Informował mnie o sms który przyjdzie do mnie za 10 minut, w którym to będzie podana strona internetowa oraz informacje jak skonfigurować i zainstalować nowy system tak aby moc skorzystać z
nowych nadajników.

Pierwszego smsa z strona www otrzymałam jeszcze jakąś godzinę wcześniej, przed rozmową ale nie reagowałam na niego. Po rozmowie faktycznie otrzymałam smsa, z takiego samego numeru, oczywiście ze strona www.

Sprawdziłam co kryje sia pod ta strona, po czym tam pisze: “Zezwolenie na korzystanie innych sieci z twojego telefonu (dokładnie nie pamiętam sformułowania) po zainstalowaniu wszystkie mms-y są płatne – a ja w umowie mam darmowe, dalej, twój telefon może sam dzwonić kiedy chce pod dowolny numer o dowolnej porze, (nie pamiętam dokładnie całości sformułowania), pod spodem za tą usługę naliczana opłata, na dole INSTALUJ i ANULUJ”.

WYDAŁO MI SIE TO ABSURDALNE WIĘC NACISNĘŁAM ANULUJ. W miedzy czasie napisałam do kolegi RATUJ gdyż nie wiedziałam o co chodzi i było to podejrzane. Kolega oczywiście zareagował i dalej ciągnie sprawę. Dosłownie po 5 min. dzwoni ten sam telefon i sprawdza czy dostałam sms i co zrobiłam. Oczywiście dostał spora reprymendę ode mnie za kolejna pomyłkę w imieniu, nie omieszkałam zapytać jak można proponować mi tak debilne warunki i ze sie nie zgadzam. Po czym Pan przeprasza że jest nowy i że może dać starszego stażem kolegę i że to nie możliwe, że takie warunki mam pod zainstalowaniem. Zapewnia ze to na pewno system cos pomylił iże sprawdza to zaraz i że na pewno jest to błąd systemu. Na co ja mu powiedziałam, że to jest jakieś oszustwo i się nie zgadzam.

Po czym zaraz zadzwoniłam do salonu PLUSA i opowiedziałam całą historię. Zapewniono mnie że nie ma takiej możliwości aby którykolwiek dział mógł informować klienta w taki sposób o zmianach jakichkolwiek. Weryfikacja przed podjęciem takiej rozmowy jest dogłębna i nie zawiera tylko imienia i nazwiska. Jest to oszustwo. procedura zgłoszenia takich zmian przede wszystkim rozpoczyna sie od wcześniejszego pisma a później kolejnych kontaktów. Jest specjalny dział przyjmujący takie zgłoszenia o takich sytuacjach.

Więc byłam już pewna oszustwa, po czym odwiedził mnie kolega gdy kolejny raz zadzwonił telefon. Poprosiłam go o odebranie a on już powiedział swoje w języku znanym dobrze tym Panom

Szerzej o tym ataku przeczytacie tutaj.

Jak widać,

  • przestępcy inwestują sporo czasu, aby “skonwertować” ofiarę. Interes jest więc opłacalny.
  • ekran z uprawnieniami w Androidzie robi robotę (choćby nawet nie był w pełni zrozumiały przez nietechniczną osobę — tu ofiara odniosła wrażenie, że instalacja aplikacji zwiększy jej opłaty za SMS-y i rozmowy wychodzące).

PS. Imię bohaterki i pewne inne detale, takie jak nazwy własne, adresy i cechy które mogłyby zidentyfikować bohaterkę zostały przez nas zmodyfikowane lub usunięte bez szkody dla zrozumienia problemu.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Wirus Manualny pomimo lat ma się całkiem dobrze! :)

  2. Czyli babka zmieniła w ustawieniach zezwolenie na instalacje z NIEZNANYCH ŹRÓDEŁ, a wysiadła dopiero na informacji o uprawnieniach aplikacji, gdzie jest napisane że może wysyłać sms’y bez wiedzy użytkownika, za które może być naliczana opłata, ale w jej taryfie nie jest? LOL.

    To pewnie świadectwo maturalne kupiła na ryneczku. Po co chodzić do szkoły i otrzymywać świadectwa/certyfikaty. :(

    • Z tą maturą możesz mieć rację.
      Drażnię mnie prostackie błędy w stylu:
      “Po czym Pan przeprasza”
      “w języku znanym dobrze tym Panom”.
      W Sieci tego pełno.
      Ktoś z Niebezpiecznika mógł to poprawić przed wklejeniem. Jeśli ma maturę.

      Ale plus dla kobiety, że się jednak nie dała. Może to uznać za osobisty sukces.
      Niestety, ale użytkownikami w miarę nowoczesnych telefonów są też nasi dziadkowie i często oni nie interesują się tym, co w dzisiejszych telefonach siedzi. Ktoś dzwoni niby z serwisu i coś każe, to tak zrobią.

      Osobny problem, to jak ukarać złodziei? Przecież gdzieś tam w którymś kroku jest napisane, że telefon sam będzie wysyłał SMSy i dzwonił. I to, na przykład, “tylko” 30 zł kosztuje.
      Oj! Jestem za łapaniem wszystkich takich szubrawców i solidnym karaniem.

      “telefon może sam dzwonić kiedy chce pod dowolny numer o dowolnej porze”
      Podsłuch za własne pieniądze. Nieźle.

    • A nie wpadłeś na to, że zezwolenie na instalacje z nieznanych źródeł mogła mieć już wcześniej włączone? Ja mam i żyję, bez podejrzanych aplikacji, za to z możliwością instalowania własnych apek.

    • @”…”. Ja również korzystam z opcji instalacji z nieznanych źródeł, ale po każdym użyciu przełączam ją w stan domyślny. Moim zdaniem z tej opcji powinny korzystać jedynie osoby, które mają pojęcie co robią. Certyfikat LTE 5.0.ROTFL. To pewnie niedługo będą ataki na certyfikat LTE-Advanced ;).

  3. Wpisy w RSS przenoszą na https://trololo.niebezpiecznik.pl/

    • Jaki czytnik? Jak wygląda link z RSS?

    • WFM.

  4. “Po czym zaraz zadzwoniłam do salonu PLUSA” – do salonu? Do Salonu to mozna isc obciac wlosy…

    • Proponuję:
      Krok 1. Wpisać “salon plus” w Google.
      Krok 2. Zorientować się iż Plus faktycznie na oficjalnej stronie (tak jak większość operatorów telefonii komórkowej) identyfikuje swoje plackówki jako salony.
      Krok 3. Zdać sobię sprawę że można dzwonić nie tylko na centralę firmy ale także do poszczególnych “salonów”.
      Krok 4. Zastanowić się nad obrażaniem innych ludzi w sieci tylko dlatego że nie podoba się nazewnictwo (“hurr…durr…”).

      Język ewoluuje i stosuje się w nim nie tylko sformułowania techniczne, ale także nowe formy powstałe z mowy potocznej.

  5. Dla tego ja nagrywam automatycznie każdą rozmowę z nieznanego numeru, bo zawsze to jakaś biometria dla policji i sądu później.

    • Podobno jeżeli nie poinformujesz drugiej strony o tym że rozmowa telefoniczna jest nagrywana, to jest nie legalne, bądź taki dowód nie jest nic warty w sądzie. Ale niech sie wypowie ktoś bardziej w temacie, bo sam jestem ciekaw.

    • Bądźmy poważni…
      Policja i biometria…
      Kolega chyba za dużo CSI się naoglądał.
      Kiedyś też tak myślałem, nagrałem oszusta, przedstawiłem Policji.
      Sprawę umorzyli (z tego co pamiętam nikt nagrania nawet nie odtworzył).

    • @zzz1986 – to chyba, jakby ktoś w tej rozmowie Prezesa Przenajświętszego obraził;) Zapamiętaj sobie raz na zawsze: funkcją policji jest KRONIKARSTWO. Oni tylko spisują fakty, nic z nimi nie robią. A zadaniem policji jest REDUKCJA WPISÓW W KRONICE. Osiągają to poprzez zniechęcanie do składania zawiadomień albo zaniżanie wagi czynu; najbardziej wartościowe to robienie wykroczeń z przestępstw (bo na pewno to było warte parę złotóweczek mniej, prawda?) albo zmniejszanie rangi (jakie zabójstwo, toż to zwyczajne pobicie ze skutkiem śmiertelnym). Z drugiej strony, gdy sprawcę mają, rangę czynu się winduje, żeby w statystykach wykrywalności ładnie wyglądało. Patrz: pijani rowerzyści, którzy w tej statystyce są po prostu kierowcami.

      @niewazne – swoje rozmowy możesz nagrywać, ale nie możesz tych nagrań nikomu puszczać. A zasada odrzucania dowodów zdobytych nielegalnie też nie obowiązuje.

  6. Ostatnia linia artykułu:
    > “PS. Imię bohaterki i pewne inne detale […]zostały przez nas usunięte”
    Pierwszy akapit artykułu:
    > “Oddajemy głos Katarzynie”

    Zrobiliście mi dziś dzień ;o)

    • Jaka ordynarna cicha aktualizacja… Fuj.

    • Zapowiedzieliśmy ja przecież w wiadomościach PR1 o 11:00
      A bardziej serio, wczoraj PS wyglądał inaczej. Podczas jednej z korekt druga jego część uległa zmianie. Katarzyna stoi od początku w tekście i od początku jest błędnym imieniem.

    • Nie rozumiem co cię tak bawi. Napisali że usunęli imię bohaterki i usunęli – Katarzyna, mimo że jest imieniem, nie jest imieniem bohaterki. ( ͡° ͜ʖ ͡°)

    • @Piotr Konieczny – oj tam, przecież wiem. Jednak wisiało sporo czasu i nikt nie zauważył? :)
      @Borek – nie skumałeś, nie mam siły tłumaczyć, tym bardziej, że już poprawione.

  7. Potwierdzam problem z RSSem. TinyRSS (php), linki z rss wskazują na https://trololo.niebezpiecznik.pl/ a tam jest “access denied”.

    Policja rozpisała projekt na system przełamywania zabezpieczeń kryptograficznych
    Relacja prawie-oszukanej. Zobacz jak przekonujący byli oszuści i dlaczego jednak się nie udało
    * Ticketmaster: “potencjalny wyciek” danych o płatnościach. Bank rekomenduje zastrzeżenie kart

    Ten już jest poprawnie.
    * Nowoczesna Kryptografia – praktyczne wprowadzenie do szyfrowania

    • A możecie sprawdzić, czy ten request nie wychodzi przypadkiem z pustym user-agentem?
      Wkleicie link, tak jak podaje go TinyRSS?

    • Tego problemu u siebie nie miałem, ale faktycznie ostatnio coś się chędoży. A to strona zawiśnie, a to link z feedproxy myśli nie wiadomo o czym i nie przekierowuje.
      Testy koparki? ;-P

    • Strona nie powinna zwisać. Zwisała i dlatego 2 dni temu zostały wprowadzone zmiany, które usunęły problem. Natomiast z racji modyfikacji konfiguracji, jest szansa, że coś innego przestanie działać. Do tej pory zauważyliśmy 2 problemy po migracji. Ten z redirectem 403 na trololo jest jednym z nich — wystepuje u kilku osób, które nie mieszczą się w reguły. Namierzymy, czym się “wyróżniają” i skorygujemy. Mam nadzieję :) Ale zwieszek już być nie powinno — strona jest wyraźnie szybsza.

    • @Monter

      Jeżeli nie używasz często javy, to polecam na koparki:
      chrome – chrome://flags/#enable-webassembly -> set disabled
      firefox – about:config -> javascript.options.wasm -> set disabled

  8. W temacie RSS:
    Dla “[AKTUALIZACJA] Ktoś zhackował sklep neo24.pl, zrobił promocję i okradał jego klientów” zwraca http://feedproxy.google.com/~r/niebezpiecznik/~3/V-HW0BCFkIA/ (niby poprawnie).
    Tu więcej detali: https://pastebin.com/8uHCPcDx
    Na szybko, nie znajduję możliwości sprawdzenia, czy ustawia i jakiego UserAgenta.
    Po wyczyszczeniu feeda teraz mam wszystkie posty w takiej postaci (trololo)

    • daj znac z jakiego IP wchodzisz, sprawdzimy w logach.

  9. Film instruktażowo-szkoleniowy https://www.youtube.com/watch?v=a7DDCjg4M6Y

  10. z jakiego numeru dzwonili i do jakiej sieci należy numer??ja po przymusowej rejestracji starego prepaid nagle dostawałem mnóstwo telefonów od pedałów z garnkami itp…
    długo nie myśląc wybrałem się do salonu gdzie rejestrowałem numer – i był ten sam typ u którego rejestrowałem
    mordę ma obitą a telefony się skończyły

    niech policja weźmie się za robotę a operatorzy niech lepiej uważają kogo zatrudniają

    tym bardziej jeśli zwykły człowiek bez najmniejszych problemów takie ścierwo namierza…

    może czas najwyższy wprowadzić prawo że za “telefon reklamowy” grube tysiące kary?
    listy takich numerów są dostępne w necie – operator niech ma obowiązek zgłaszania tego organom ścigania a jak sie nie wywiąże z blokowania takich numerów to milionowe kary
    do tego operator powinien mieć obowiązek blokowania wszelkich płatnych gównien
    bo tu też jak wiadomo cwaniaczki zarabiają (cwaniaczki operatorzy)

  11. Czy ktoś mi wyjaśni dlaczego mi z każdym wejściem zmienia mi się tytuł artykułu? Mam zmienne IP.

    • Strzelam, że 50% optymalizacji SEO i 50% ADHD autora ;o)
      Hint: To tutaj częste zjawisko.

  12. Wczoraj o 21:22 dostałem SMSa o treści “Aplikacja Pakiet Bezpieczeństwa UPC na Twoje urządzenie mobilne: hxxxs://safeavenue.f-secure.com/iframe/-installers/upc_poland/?download_id=64876c3afc2748b4bce380039eb767e5” Oczywiście w link nie klikałem, czy to atak podobny do opisywanego? Zamiast hxxxs naturalnie jest https.

  13. Mój telefon jest tak przedpotopowy, że nie ma dostępu do Internetu, więc raczej nie zaktualizuję żadnej aplikacji, ani sterownika:)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.