9:31
30/8/2018

Trwające od co najmniej lutego tego roku oszustwo powraca. Polacy otrzymują SMS-y, w których są informowani o tym, że na ich numerze została aktywowana płatna usługa “CentrumGier Online”. W treści wiadomości jest też link do bezpłatnego anulowania subskrybcji. Problem w tym, że to “bezpłatne” anulowanie subskrybcji może kogoś dużo kosztować. Atak w małowyrafinowany sposób wykrada dane do bankowości internetowej.

O wcześniejszych wersjach tego ataku pisaliśmy w artykule pt. Albo stracicie pieniądze albo umrzecie ze śmiechu. Wtedy przestępcy wyłudzali dane w bardzo naiwny sposób. Teraz niestety dopracowali swoje metody i cały przekręt jest odrobinę bardziej wiarygodny.

Wszystko zaczyna się od takiego SMS-a:

Wiadomość jest wysyłana za pomocą bramki internetowej (patrz początek), ale pewnie wielu odbiorców to zignoruje, wpadając w przerażenie związane z widmem jakichś opłat. Ci którzy uwierzą w bezpłatne anulowanie subskrybcji i przejdą na stronę anulujgry.pl ujrzą:

A więc opłata to 6,15 i jest naliczana 3 razy w tygodniu. Ale na szczęście można się jej pozbyć, wystarczy tylko podać numer telefonu i operatora (jak widać, przestępcy nie wiedzą jak skutecznie po samym numerze ustalić operatora).

Tu ofiara dowiaduje się, że ma dług (19 PLN) i choć dziś jest czwartek (a nie poniedziałek, środa czy piątek) to zostanie mimo to obciążona, właśnie dziś, tym długiem i dodatkowymi opłatami. No nic tylko się bezpłatnie wypisywać! To znaczy uregulować płatność — bo na tym etapie już nie ma mowy o bezpłatnym wypisaniu — trzeba podać dane banku. Choć strona nie ma HTTPS, choć nie jest to domena banku. To zła praktyka, ale niestety znieczulają na nią takie firmy jak Sofort, PayPal czy Monedo.

Po podaniu loginu i hasła przestępca prosi o PESEL i nazwisko panieńskie matki:

Nasi stali czytelnicy wiedzą, do czego dane takie jak PESEL czy panieńskie matki mogą się przydać (por. Jak złodzieje od pół roku okradają klientów polskich banków na kilkaset tysięcy złotych).

A jeśli ktoś miał wątpliwości, że z kontem ofiary przestępcy będą próbowali spinać aplikację mobilną banku, to rozwiewa je kolejny ekran:

Choć dzwoniący z banków automat z reguły ostrzega, aby PIN-u nie podawać nikomu, to nie wątpimy, że kilka osób dojdzie do tego kroku i poda otrzymany z banku PIN przestępcom. Niektórzy ludzie po prostu “nie rozumieją tej całej technologii”. I musi ich być wielu, skoro ten typ oszustwa “na anulowanie gier” jest regularnie odnawiany pod nowymi domenami…

Jeśli Pan przestępca chciałby się z nami anonimowo podzielić ile ofiar nabija tygodniowo, zapraszamy do kontaktu!

Dostałem SMS-a — co robić, jak żyć?

Ignoruj wszystkie SMS-y z bramki i od nieznanych nadawców. Co prawda czasem możesz dostać SMS-a o tym, że Twoje konto został obciążone opłatą za aktywację jakiejś durnej usługi — i niestety będzie to prawda. Bo wystarczy wejść na stronę internetową z poziomu telefonu (i NIC na nie nie robić) aby zapisać się na płatne usługi, tzw. WAP/Direct Billing. Serio. Żadnego podawania numeru, żadnego przepisywania PIN-u. Pisaliśmy o wykorzystywaniu tej kretyńskiej usługi do oszustw w artykule pt. Korzystasz z internetu na smartfonie? Uważaj na WAP Billing!. Dlatego też zachęcamy do zablokowania usług Premium SMS i WAP/Direct Billing (UWAGA: na tę usługę są osobne kody blokady u niektórych operatorów! Samo zablokowanie Premium SMS nie wystarczy) — tu instrukcja jak to zrobić.

W przypadku tego oszustwa zadziałałaby jedna, podstawowa rada bezpieczeństwa.

Nigdy nie loguj się do banku na stronie internetowej, która nie jest oficjalną (najlepiej wpisaną przez Ciebie z palca) stroną banku.

Jeśli w Waszej rodzinie są mniej techniczne osoby, które mogłyby się złapać na ten atak, to podpowiadamy że można je chronić odpowiednią konfiguracją zabezpieczeń po stronie samego banku. Trochę na ich temat pisaliśmy w tym artykule, a w kontekście mBanku trochę tutaj. Jeśli lubicie swoich bliskich, skonfigurujcie im te rzeczy poprawnie.

A jeśli uważacie, że Wam albo Waszym bliskim przydałby się zestaw przystępnie podanych porad, które pozwolą skutecznie chronić przed tymi i innymi, zdecydowanie bardziej skomplikowanymi oszustwami na jakie codziennie narażeni są Polacy surfujący po internecie, to zapraszamy do wzięcia udziału w naszym wykładzie pt. Jak nie dać się zhackować — we wrześniu odwiedzimy z nim Warszawę, Kraków, Katowice, Wrocław i Gdańsk.  


Aktualizacja 31.08.2018, 09:13
Ponarzekaliśmy trochę na toporność ataku; sms z bramki, brak https, podawanie danych logowania do banku na złej stronie, przekazywanie wielu danych osobowych i opis “wypisania się” który jednym zdaniem: nie trzymał się kupy. Najwyraźniej nasza publikacja (?) zainspirowała kogoś do ulepszenia ataku.

Wieczorem otrzymaliśmy informację, że do Polaków rozsyłane są SMS-y (tym razem nie z bramki, a z “numeru” TEST):

Jak widać, wektor ataku podobny, pretekst też. Link prowadził do strony anulujsubskrypcje.tk (91.241.61.157):

Gdzie po kliknięciu na link rozpoczynał się standardowy przekręt na lewego DotPay’a.

Zakończymy ten artykuł przepisaniem naszego wczorajszego wpisu z Facebooka który informował o tym incydencie:

Doceniamy poczucie humoru (…) Przyznajemy [scam] jest wiarygodniejszy niż ta poranna żenada. Podzielicie się wynikami?

PS. W międzyczasie, wczorajszy “oryginalny” scam przeniósł się pod domenę gryanuluj.pl (193.107.88.86)


Aktualizacja 31.08.2018, 20:07
Obecna domena to anulujsubskrypcje.ga (193.228.53.4) — wysyłka dalej z nadawcy “TEST”


Aktualizacja 31.10.2018, 15:21
Kolejna domena:

Wiadomosc z internetowej bramki SMS od [nr tel]: Potwierdzamy uruchomienie uslugi Mega CentrumGier na numerze [nr tel]. Uzytkownik bedzie otrzymywal trzy platne prenumeraty tygodniowo przez czas nieokreslony. Oplata zgodna z cennikiem bedzie pobierana automatycznie. Bezplatna rezygnacja dostepna podadresem: www.mega-off.pl Dziekujemy za korzystanie z uslugi.


Aktualizacja 31.10.2018, 11:36
A teraz megax.pl:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. > To zła praktyka, ale niestety znieczulają na nią takie firmy jak Sofort, PayPal czy Monedo.

    W Polsce będzie na szczęście nielegalna – grupa operacyjna od PolishAPI wprost to stwierdziła w konsultacjach pisząc, że “takie rozwiązanie jest niemożliwe z regulacyjnego punktu widzenia”.

  2. Co do WAP/Direct Billing, akurat wczoraj miałem sytuację, że przyjezdny znajomy kupił nową kartę SIM, a wieczorem już mu zeżarło wszystko z konta. Na koncie wpisy o Direct Billing, znajomy wszedł tylko na jakąś stronę. Czyli tak, jak w linkowanym artykule. Szukajac info jak to wyłączyć trafiłem na Wasz artykuł i teraz powód mojego komentarza: w heyah trzeba także zadzwonić do centurm obslugi klienta i konsultant blokuje wszystkie usługi SMS Premium od ręki. Także możecie dla potomnych uaktualnić tamten artykuł :)

  3. Strona obecnie jest już niedostępna

  4. Może się mylę ale za tym wszystkim stoi Teleaudio DWA.

    • Jako jeleń szukałem filmu Botoks. Pojawiła się strona z filmem ale musiałem zapłacić jakimś direktem bilingiem.Organizatorem był jakiś Marvel z Singapuru, klient Teleaudio.Zostalem oszukany.Zaplacilem nic w zamian nie dostałem.

  5. WAP Billing to nie Direct Billing :) WAP to coś, gdzie lecą wyłącznie grube wały. DB (znany też jako SMS+) wręcz odwrotnie.

    Direct Billing to metoda płatności, na której fraudować się właściwie nie da, bo klient bez otrzymanej autoryzacji z ceną w SMS nie może zostać obciążony (korzystają z niej takie serwisy jak Showmax, Sympatia etc).

  6. Mnie zastanawia czy jest możliwości filtrowania takich wiadomości na poziomie operatora jak tylko dostaną oni zgłoszenie o wyłudzających wiadomościach…

  7. Na tej stronie (tej w moim nicku) jest strona domyślna serwera… Apache2 (tego z Ubuntu)

  8. A na tej z kolei jest info o tym, że domena jest na sprzedaż i można z tego wywnioskować, że adres należał do… nazwy.pl

  9. Technicznie pewnie się da ale prawnie może być kłopot bo trzeba czytać treść sms. Wprawdzie automatem ale jednak wgląd w treść.

  10. teraz na aktualne domenie JEST odnośnik do fake mbanku przez HTTPS!!!

  11. Link na dziś:
    http://anuluj.info

    nadawca TEST

  12. “(jak widać, przestępcy nie wiedzą jak skutecznie po samym numerze ustalić operatora)”

    Przy przenoszeniu numerów pomiędzy operatorami?

  13. Już samo pojawienie się strony “wybierz operatora” powinno wzbudzić co najmniej politowanie

  14. Może ktoś z poszkodowanych wklei tu imię i nr konta oszusta bo u mnie taki był: 70 1050 1214 1000 0097 1277 6658
    Łukasz sandomierski

Odpowiadasz na komentarz Piotr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: