11:22
17/11/2022

⚠️ Uwaga klienci ING!

Typ ataku: phishing/trojan (e-mail)
Zagrożenie: Strata pieniędzy i danych
Użyte marki: ING

Na skrzynki Polaków rozsyłana jest aktualnie wiadomość podszywającą się pod ING Bank Śląski:

From: ING ing-bank@bmiwiki.com
Subject: Ważna wiadomość

Drogi Kliencie,
Nasz system odkrył, że nie zainstalowałeś jeszcze naszej aplikacji bezpieczeństwa na smartfonie. Z tego powodu jej konto zostało zablokowane. Aby go odblokować, rozpocznij proces odblokowywania. Po zakończeniu wszystkie bloki zostaną ponownie zniesione.
[LINK “DO APP”]
Dziękujemy za zrozumienie i prosimy o wybaczenie niedogodności.
Z poważaniem
ING Powiadomienie informacyjne

Jest też drugi wariant fałszywego komunikatu:

Gdzie prowadzą linki?

Linki w wiadomości prowadzą do różnych regionalnych domen Google, ponieważ atakujący korzystają z mechanizmu przekierowania automatycznego, jakie oferuje ta wyszukiwarka:

hxxps://www.google[.]cf/url?
q=htt%70%73%3A%2F%2Ft%69n%79%75%72%6c%2e%63om%2F253%67euao
&sa=D&sntz=1&usg=AOvVaw04-r_ETaVQTCaEb_PqtZrG
hxxps://www.google[.]gm/url?
q=%68ttp%73%3A%2F%2Ftin%79%75r%6c%2ecom%2F%32%64%67yj%65%37x
&sa=D&sntz=1&usg=AOvVaw3V9jL-27hEcasEqDH03Alb

Finalnie ofiara przekierowywana jest na fałszywą domenę,

hxxps://login-ingbank.pl-id891uah1zvav18zbga81b[.]com

która wyłudza login i hasło, a następnie oferuje link do pobrania aplikacji na Androida:

Zainstalowanie tej aplikacji może spowodować kradzież pieniędzy z Twojego rachunku bankowego!

Dostałem tego maila, czy moje dane z Banku wyciekły?

Nie, ta wiadomość jest wysyłana masowo, trafia także do klientów innych banków.

Kliknąłem w tego linka, czy zhackowali mi smartfona?

Samo kliknięcie w linka nie powoduje szkód. Ale jeśli podałeś swój login i hasło na fałszywej stronie, natychmiast skontaktuj się z infolinią banku.

Jeśli pobrałeś i zainstalowałeś aplikację po linku z tego e-maila, natychmiast wyłącz telefon i z innego urządzenia skontaktuj się z bankiem.

Wysłaliśmy CyberAlert w tej sprawie

Ze względu na skalę ataku wysłaliśmy w sprawie tego ataku ostrzeżenie do użytkowników naszej darmowej aplikacji mobilnej CyberAlerty i do subkrybentów naszego darmowego newslettera CyberAlerty.


Nie masz jeszcze naszej aplikacji?
Możesz ją pobrać klikając na ten link.

Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. Ciekawe jak wpadli na to, jak jest liczony parametr “usg”? Bez niego redirect nie jest automatyczny. Teoretycznie można wziąć parametr z samej wyszukiwarki. Tyle, że strony na tinyurl do których Gugle przekierowuje – nie są indeksowane. Czyli trzeba to “usg” jakoś wyliczyć. Hmm… ciekawe.

    • Sam sobie odpowiem, bo znalazłem artykuł: nie trzeba samemu liczyć, bo da się zrobić by Google policzyło parametr “usg” za nas. Najlepsze, że twierdzą, że to nie jest żadna dziura. A przestępcy korzystają w najlepsze.

  2. Jakieś dwa tygodnie temu poblokowali ludziom aplikacje na androidzie bez gapps. Pewnie to zamierza celować w ludzi którym zablokowało aplikacje i mają np huawei.

  3. I kolejny przykład dlaczego warto mieć włączoną ochronę zaawansowaną google, która blokuje wszystkie instalacje spoza oficjalnych sklepów zainstalowanych na telefonie. I najlepsze w tym wszystkim, że nie da się tego ominąć, bo nawet jak zezwoli się na instalacje z nieznanych źródeł to aplikacja się nie zainstaluje z informacją, że ochrona zaawansowana na to nie pozwala (jedyna możliwość to wyłączenie ochrony zaawansowanej na koncie google lub usunięcie konta google z telefonu). Wtedy nawet mniej techniczne osoby nie zainstalują sobie takiego syfu. Zresztą przy aplikacjach ze sklepu google store też ochrona zaawansowana wyświetla dodatkowy komunikat informujący, że nie zaleca instalacji tej aplikacji (jeśli dana aplikacja jest jakaś podejrzana)

    • Można przytrzymać sklep play i wyłączyć aplikację. Wtedy można instalować z plików APK pomimo ochrony zaawansowanej w googlu ;)

  4. Jaka forma tego oszukańczego komunikatu, od razu śmierdzi lewizną. “Zbieraj wszystkie niezbędne kroki, Ukończając go, nasz system anuluje automatycznie wszystkie zamki, prosimy o wybaczenie.”

  5. Liczba ofiar takich ataków może służyć za wskaźnik jakości edukacji; w szczególności języka polskiego na wszystkich poziomach. I nie, nie kieruję tego do nauczycieli.

    • Może też celować w obcokrajowców, którzy u nas mieszkają. Nie tylko Ukraińców, ale też ludzi, co to przyjechali i tak już zostali, bo dobrze im tutaj i znają polski, ale wciąż nie na poziomie, który od razu zauważa, że to niepoprawne formy. Sam znam Argentyńczyka, co potrafi po polsku, ale na poziomie tego maila. Wiadomość przekaże, a że niepoprawnie gramatycznie, no cóż.

  6. Dlatego ja nie instaluję żadnych appek bankowych. Wszystko przez stronę robię – jak coś jest wygodne to nie jest bezpieczne.

    • Dokladnie, SuperTux ! Tez tak robie. A nawet jak z komorki wchodze, to przez strone www, bo tez nie mam apki haha : dla niektorych to pewnie jak “sredniowiecze”, ale jest pewniej.

      Ludziom sie od tego wygodnego smart swiata w d….ch poprzewracalo :
      a jest to przeciez bron obosieczna.

    • Dokładnie jestem tego samego zdania. Żadnej apki na telefon. Nie wiem, już na samą myśl, że go stracę, mam gęsią skórkę. Zwłaszcza że prowadzę działalność i byłoby kiepsko, jakby ktoś otrzymał dostęp do mojego konta osobistego i firmowego. Płacę kartą, przelewy z laptopa, zawsze przez stronę. Odpukać na razie nigdy nic się nie wydarzyło. Śledzę niebezpiecznik na bieżąco, może też to coś daje, że jestem ostrożna. Też inne strony, głównie dla działalności mala-firma.pl itp. i tam również można poczytać o różnych akcjach oszustów czyhających na przedsiębiorców w sieci. Trzymajcie się bezpiecznie. Pozdrawiam.

  7. apropos błędów językowych w wiadomości obił mi się kiedyś o oczy artykuł, który sugerował, że ci co wyłapią te błędy i zwrócą na nie uwagę to i tak wyłapali by podstęp na późniejszym etapie. Przestępcom nie opłaca się poprawiać pisowni bo przy okazji działa to jako filtr- odsiewa osoby, na które przestępcy niepotrzebnie marnowali by czas. Zostają tylko ci co uwierzą we wszystko.

    • A nie wydaje Ci się bardziej prawdopodobne, że ktoś po prostu nie zna polskiego (lub zna słabo) i tłumaczy teksty automatycznie? Cyberprzestępcy nie ponoszą dodatkowych kosztów, że ktoś wejdzie na fałszywą stronę i dopiero na tym etapie przekona się, że to oszustwo, a jeśli ktoś będzie chciał ich potrolować, to może to zrobić bez względu na to czy są błędy czy nie.

    • Teks jest raczej automatycznie tłumaczony słabej jakości translatorem (nawet nie Googlowym), ale i tak może zebrać żniwo wśród obcokrajowców, co potrafią po polsku, ale nie na tyle, by poznać niepoprawne formy gramatyczne. Nie trzeba być wcale źle wyedukowanym.

  8. Sprytnie to im nie poszło, google wyblokował przekierowania to teraz dają w mailu linki z tinyurl :D , Dostałem takiego maila przed chwilą. Żenada :D

  9. […] ⚠️ Uwaga klienci ING! […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: