14:51
15/9/2020

Polska policja wydała komunikat przestrzegający przed tzw. “internetowym wnuczkiem”. Chodzi o oszustwo, które przebiega w następujący sposób.

  1. Do ofiar trafiają oferty pośrednictwa finansowego, często w postaci reklam w social mediach.
  2. Ofiary trafiają na stronę fikcyjnej firmy, na której mogą się zarejestrować. Rejestracja wymaga wpłacenia dowolnej kwoty.
  3. Pojawiają się problemy techniczne związane z obsługą swojego konta i dlatego z klientem kontaktuje się konsultant (telefonicznie).
  4. Fałszywy konsultant doradza instalację programu na komputerze w celu rozwiązania problemu (wbrew pozorom nie musi tu chodzić o złośliwe oprogramowanie).
  5. Oszuści proszą o ponowne zalogowanie się do banku. Zainstalowany wcześniej program pozwala na przechwycenie danych uwierzytelniających.

Nie. To nie był malware

Wcześniej gazety opisywały przypadek mężczyzny z Zamościa, który padł ofiarą oszustwa według tego scenariusza. Z artykułu w gazecie dowiadujemy się jednak, że 41-latek został przekonany do zainstalowania programu, który daje możliwość zdalnego sterowania komputerem.

Nieświadomy zagrożenia pokrzywdzony postępował zgodnie z przekazywanymi instrukcjami. Zauważył na ekranie swojego komputera ruchy kursora, których on nie wykonywał. Widział, jak sterowany kursor wchodzi na jego lokaty, na stronie banku wykonuje transakcje, jak pieniądze znikają z jego konta.

I to jest naprawdę podstępne. Programy oferujące zdalny pulpit, takie jak TeamViewer, są przecież legalnymi produktami z pewnym kredytem zaufania. O scamach z ich udziałem ostrzega się nie od dziś, ale najwyraźniej to zjawisko właśnie zaczęło lepiej się przyjmować na naszym, polskim gruncie.

W przebiegu oszustwa oczywiście musi dojść do potwierdzenia transakcji kodami jednorazowymi. Oszuści najwyraźniej przygotowali sobie argumenty za tym, aby ofiara to zrobiła. Co jednak istotne – treść SMS-ów wyraźnie wskazywała na to, że zlecenia dotyczą innych transakcji niż sugerował to “konsultant”.

Jednak najciekawsze jest to, że według Policji zgłosiło się już kilka osób, którym skradziono z konta bankowego od kilku do kilkudziesięciu tysięcy złotych. Większość pokrzywdzonych nie skończyła 40. roku życia. I to jest informacja, którą bardzo chcielibyśmy dedykować tym wszystkim, którzy wyobrażają sobie wyłącznie oszukiwanych w internecie starców. Nawet przykład 41-latka z Zamościa powinien dawać do myślenia. Przecież  wielu ludziom urodzonym w latach 1978-79 nie są już obce takie rzeczy jak internet czy e-bankowość. Socjotechnika – wbrew pozorom – działa także na osoby w wieku produkcyjnym.

Co robić? Jak żyć?

Programy takie jak TeamViewer często wzbudzają obawy o bezpieczeństwo, ale nie od tej strony od której powinny. Większość ludzi pyta “czy mnie przez to nie zhakują?”. W rzeczywistości znane ataki z użyciem TeamViewera mają charakter bardziej prymitywny. Przede wszystkim należy uważać komu dajemy dostęp do swojego zdalnego pulpitu oraz na jak długo. Jeśli osoba z zewnątrz pragnie sobie posterować naszym komputerem to można od razu założyć, że to oszustwo.

Poza tym należy generalnie uważać z wszelkimi próbami isntalowania oprogramowania na naszych urządzeniach. Niedawno ostrzegaliśmy przed SMS-ami podszywającymi się pod InPost, które sugerują pobranie złośliwego pliku APK.

 

Przeczytaj także:



31 komentarzy

Dodaj komentarz
  1. “Przecież wielu ludziom urodzonym w latach 1978-79 nie są już obce takie rzeczy jak internet czy e-bankowość” – to jakiś “wadliwy” rocznik był, że tak go wyróżniliście? ;-)

    • @to_ja
      Kojarzysz moze, jak czasem czy to w filmach historycznych dziejacych sie w czasach katastrofy, zarazy, wojny etc. albo w tych postapokaliptycznych, gdzie na poczatku jest czytane przez lektora chlodnym glosem wprowadzenie, streszczajace krotko cala apokalipse w kilkudziesiecio-sekundowej notce :p

      [Ciezki Basowy Glos]: “Rok 1978-1979 nie byl taki jak inne lata. Na skutek…….” xD

    • “Ogniem i mieczem” Sienkiewicza zaczyna się równie charakterystycznie:
      “Rok 1647 był to dziwny rok, w którym rozmaite znaki na niebie i ziemi zwiastowały jakoweś klęski i nadzwyczajne zdarzenia.
      Współcześni kronikarze wspominają, iż z wiosny szarańcza w niesłychanej ilości wyroiła się z Dzikich pól i zniszczyła zasiewy i trawy, co było przepowiednią napadów tatarskich. Latem zdarzyło się wielkie zaćmienie słońca, a wkrótce potem kometa pojawiła się na niebie. W Warszawie widywano też nad miastem mogiłę i krzyż ognisty w obłokach; odprawiano więc posty i dawano jałmużny, gdyż niektórzy twierdzili, że zaraza spadnie na kraj i wygubi rodzaj ludzki. Nareszcie zima nastała tak lekka, że najstarsi ludzie nie pamiętali podobnej. W południowych województwach lody nie popętały wcale wód, które, podsycane topniejącym każdego ranka śniegiem, wystąpiły z łożysk i pozalewały brzegi. Padały częste deszcze. Step rozmókł i zmienił się w wielką kałużę, słońce zaś w południe dogrzewało tak mocno, że — dziw nad dziwy! — w województwie bracławskiem i na Dzikich polach zielona ruń okryła stepy i rozłogi już w połowie grudnia. Roje po pasiekach poczęły się burzyć i huczeć, bydło ryczało po zagrodach.” :-)

    • Jestem z wadliwego rocznika ;(

    • A ja jeszcze starszy ;)

  2. Ten wpis byłby dobry dla ludzi, którzy “wcale ich nie żałują”. Jak się kogoś odpowiednio podejdzie i wykorzysta emocje, to poza twardymi paranoikami prawie zawsze można znaleźć metodę.

  3. “Przecież wielu ludziom urodzonym w latach 1978-79 nie są już obce takie rzeczy jak internet czy e-bankowość”
    Ludzie są naiwnymi niezależnie od wieku czy daty urodzenia. Kwestia rocznika nie ma nic do tego. Roczniki, które nie znają życia bez internetu nie są wyjątkami w uleganiu socjotechnikom.

  4. Przez takie scamy TeamViewer nie pozwala na zdalne rozpoczęcie połączenie z Indii… Stamtąd to chyba przyszło. Chyba najbardziej znane są infolinie “pomocy technicznej” Microsoftu, które usuwają “złośliwe oprogramowanie” i “zabezpieczają sprzęt” za mniej lub więcej grube pieniądze (zwykle kilkaset dolarów).
    I nie instalują złośliwego oprogramowania, zwykle to jakieś CCleanery i inne ciężko pracujące programy, dzięki którym scamer ma czas na opróżnienie konta.

  5. Dobrze wiedzieć, że dzieci poczęte w serwerowniach są równie podatne na mieszanie w głowach, jak te które przynosił bocian :)

  6. uffff…. ja z rocznika 76…

  7. To ja teraz czekam na film of kogoś, kto podsunie im VMa z logowaniem do fałszywego banku, a w tle odwróconym połączeniem wyczyści dysk albo wyciągnie dane pozwalające na identyfikację złodziei.

  8. Socjotechnika działa na każdego :)
    Od lat czytan Niebezpiecznik i często wręcz doszukuję się we wszystkim scamu, ale jak przeprowadzili nam w pracy pozorowany atak z phishingiem, nabrałem się jakbym nie wiedział na ten temat niczego… Na swoje usprawiedliwienie powiem tylko, że ta firmowa podszywka (chodziło o link do fałszywego szkolenia) była bardzo wiarygodna. Wyglądała znacznie bardziej profesjonalnie, niż maile, które otrzymujemy na codzień na ten temat, a które na początku pracy, jeden po drugim wyrzucałem do spamu, bo byłem pewny, że to jakieś ataki :)
    Teraz za to w ramach bezpieczeństwa wprowadzono u nas MFA, ale zrobiono to tak sprytnie, że aby uzyskać tokena jedyne, co jest potrzebne, to login i hasło, więc nie bardzo wiem, w jaki sposób ten token miałby powstrzymać kogoś dysponującego już loginem i hasłem… Chyba tylko przez brak wiedzy, jakiej aplikacji używamy do generowania tokenów.

    • Też się dałem nabrać na pozorowany phishing. Spodziewałem się dokumentów do przejrzenia i akurat przyszedł mail z informacją dość generyczną że mój dokument jest dostępny pod linkiem, więc w link kliknąłem bez zastanawiania. Ale chyba jednak co innego kliknąć w linka a co innego podawać login, hasło kod z SMSa czy inne wrażliwe dane.

    • Red teamer na prezentacji mówił, że celowany atak ma skuteczność ponad 50%. Niechby miał i 10%, wystarczy wysłać go do 20-osobowego zespołu. A co będzie, jeśli indywidualnie przygotowany atak pójdzie do klku- czy kilkudziesięciotysięcznej korporacji?
      Mój pracodawca przeprowadza kampanie “czujności phisingowej”. Wszyscy o tym wiedzą bo było ogłaszane, po nabyciu doświadczenia te maile są łatwo rozpoznawalne. I co? jak treść maila akurat była skorelowana z bieżącymi wydarzeniami, to rozpoznałem phishing milisekundę po kliknięciu “OK”. Od tej chwili jeszcze bardziej spokorniałem.

    • @kaper Tylko jaka jest definicja skutecznego ataku? Jak ktoś kliknie linka w mailu, czy jak ktoś poda swoje dane. Nie twierdzę, że kliknięcie linka jest w pełni bezpieczne, ale jednak jak komputer w korporacji jest dobrze zabezpieczony to są małe szansę że uda się zainfekować jakimś wirusem. Natomiast jak otwarta strona zacznie pytać o login I hasło albo numer karty kredytowej to jednak wiele osób zacznie się zastanawiać więc myślę, że jednak te 50% to wartość naciągana.

    • Jeśli uważasz, że komputery w korporacji są w pełni bezpieczne to się grubo mylisz, myślisz że korporacyjny antywirus Cię ochroni – powiedz to Twiterrowi czy Garminowi, którzy zostali zhackowani linkami w mailu.

    • @Kamil Nie uważam. Napisałem przecież, że nie twierdzę, że kliknięcie w link w mailu jest w pełni bezpieczne. Napisałem, że jeśli komputer jest dobrze zabezpieczony to szanse infekcji są małe i podtrzymuję to co napisałem. W przypadku phishingu chodzi o uzyskanie danych a nie o infekcje. Uzyskają dane o IP przeglądarce i systemie, ale raczej nie o to phisherowi chodzi. Jasne pod linkiem może być exploit wykorzystujący niezałatane dziury, ale to raczej mało prawdopodobne, choć oczywiście prawdopodobieństwo niezerowe. Nie sądzę, żeby ataki na Gramina czy Twittera były poprzez kliknięcie w link w mailu. Dodam, że od niedawna pracuję w innej korporacji i jestem zaskoczony ich lekceważeniem bezpieczeństwa. Pracuję jako kontraktor programista na 4 miesiące. Interview zdalne, z innego kraju. Przysłali mi kurierem laptopa, dali prawo lokalnego admina I powiedzieli, żebym sobie zainstalował oprogramowanie jakie jest mi potrzebne. Do Visual Studio przysłali klucz, a resztę mam wolną rękę. W tej poprzedniej korporacji nie miałem prawa admina i nie mogłem nic zainstalować, jak coś potrzebowałem musiałem dostać pozwolenie managera i ktoś z IT support mi to instalował. Jak wybuchał pandemia i pracowaliśmy zdalnie to logowałem się przez Citrixa do stacji roboczej w biurze i jak trzeba było coś zainstalować to support nadal pracował on site. Tak więc zależy od korporacji.

    • @Tirinti
      Nikt nie karze ci pracować na adminie na co dzień, a firma ma prawo wymagać mózgu od swoich programistów.

  9. Ja rozumiem socjotechnika, ale jak ten gość widząc jak mu kursor sam po ekranie chodzi i zleca transakcje, przekazał kod z SMSa aby ją potwierdzić.

    • @Tirinti

      Z jednej strony nie wiemy jaką ściemę mu tam oszust wstawił, a z drugiej w sumie mógł się gostek tak “zawiesić”, że po prostu wykonywał polecenia jak zahipnotyzowany. To się zdarza, niestety. Plon wychowania promującego posłuszeństwo.

      Dlatego przydałaby się rada w formie prostej procedury na którą można się przełączyć ;) Typu “gdy widzisz na ekranie że kursor w twoim banku jeździ choć nim nie ruszasz, i otwierają się kolejne okna, 1) zadzwoń do banku, 2) zadzwoń na policję”.

      W zasadzie przydałoby się też “wyloguj się” bo to zabezpiecza pieniądze, ale jeśli zdalny operator wyłączył możliwość sterowania kompem właścicielowi, to może być nierealne.
      Zastanawiam się, bo w sumie twarde wyłączenie kompa powinno zerwać aktywne sesje, zarówno TV jak z bankiem. Podobnie odpięcie się od neta. Ale choć nie chce się w to wierzyć, nie każdy umie to skutecznie zrobić.

      Nagrywanie ekranu miałoby wartość dowodową. Podobnie nagrywanie sesji zdalnej. Ale do tego trzeba być przygotowanym. Może chociaż filmowanie ekranu smartfonem.

      Jeśli ktoś robi swojej niedorozwiniętej informatycznie rodzince pomoc zdalną przez TV, to proponuję zainstalować na ich urządzeniu klienta osobiście, zabezpieczyć dostęp hasłem (niekoniecznie je im podając) i najlepiej skonfigurować białą listę. Minusem jest to, że ma się w ten sposób więcej roboty, bo nikt poza takim “maminformatykiem” nie będzie mógł im zdalnie pomóc, ale plusem, że nie będzie mógł im też zdalnie “pomóc” jakiś przypadkowy oszust.

  10. Generalnie – w kwestii ew. pomocy zdalnej itp – dobra jest zasada, że żadnych wjazdów na kompa nie powinno być, chyba że robi to Twój admin firmowy i że go rozpoznasz wcześniej po głosie + paru pytaniach kontrolnych :) .

    Ale we wszystkich pozostałych przypadkach – zasada “nie mogę teraz nawiązać połączenia ale proszę mi wysłać link do manuala to sobie sam to wykonam w późniejszym czasie”.

    • I oczywiście – w tzw. międzyczasie – telefon do RZECZYWISTEGO admina z pytaniem czy takie to a takie czynności mogę wykonać (+opisem sprawy) itp itd.
      :)

  11. Tirinti, zgadzam się – samo kliknięcie w linka bez przeniesienia na podrobioną stronę wyłudzającą dane, czyni taki pozorowany phishing niezbyt skutecznym. Gdyby firma miała na to środki, można by się nawet posunąć dalej, zablokować komputer delikwenta i doprowadzić do “połączenia z konsultantem”, który wyjaśniłby mu co się stało i powiedział, że jedynym sposobem odzyskania kontroli nad komputerem jest wykonanie prostego szkolenia z ochrony przed phishingiem. Oczywiście przed przystąpieniem do szkolenia należałoby “zweryfikować” dane pracownika i w celu bezpieczeństwa poprosić o wygenerowanie i podanie przez telefon tokena (jeśli jest) itd. itp. :)

    • Firma to duża korporacja i ma środki. Po kliknięciu linka wyświetliła się strona z informacją co zrobiłem źle i jeśli zdarzy mi się to 2 razy w ciągu roku to będę musiał iść na szkolenie. Co nie zmienia faktu, że dla firmy robiącej te pozorowane ataki było to uznane za sukces a moim zdaniem tylko częściowy.

  12. @Triniti Definicja skuteczności jest prosta – to osiągnięcie założonego celu. Jeśli celem było spowodowanie, żeby z sieci wewnętrznej zostało wysłane określone zapytanie HTTP i ono zostało wysłane, to cel został osiągnięty.
    Jeśli chodzi o zastrzeżenie, że “wiele osób zacznie się zastanawiać” to 1) wiele to nie wszyscy, 2) pisałem o ataku celowanym. Według tego red teamera niemal każdego człowieka da się podejść – granice wyznacza pomysłowość i etyka.

    Tak swoją drogą, jak się już dostanie do sieci wewnętrznej, to metody penetracji mogą być przeróżne. Podobał mi się opis ataku w którym malware umieszczony w sieci niby odciętej (wszystkie typowe protokoły poblokowane), komunikował się z bardziej otwartą częścią sieci poprzez edytowalne pola obiektów Active Directory.

  13. W naszym przypadku głównym efektem kampanii było to, że ludzi w ogóle przestali klikać w jakiekolwiek linki, również te prawdziwe, a może przede wszystkim w te prawdziwe, bo, jak wspominałem, wyglądają dużo bardziej podejrzanie :)

  14. Nie kumam… przecież jak siedzisz na kompie i WIDZISZ że ktoś chce zrobić przelew z TWOJEGO konta to chyba przerywasz całość operacji np poprzez wyłączenie kompa czy choćby wyjęcie kabla Ethernet. Serio nie wiem jak można pozwolić na cos takiego…

  15. To jest właśnie dziwne że w social mediach są reklamy prowadzące do oszustwa . Jak oni to weryfikują ? Hajs przeliczony to już ich nie obchodzi. Ja wiele razy już zgłaszałem takie reklamy na FB

  16. To jest właśnie dziwne że w social mediach są reklamy prowadzące do oszustwa . Jak oni to weryfikują ? Hajs przeliczony to już ich nie obchodzi. Ja wiele razy już zgłaszałem takie reklamy na FB a wciąż je widzę .

  17. […] wrześniu pisaliśmy o tym, że osoby okradzione w internecie nie muszą być nieświadomymi staruszkami. Ofiary mają często poniżej 40 lat, a dają się nabierać na oszustwa wymagające od nich […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: