12:16
31/1/2022

Kiedy w Polsce trwają gorące dyskusje o dzwonieniu z cudzych numerów, czyli o podszywaniu się, spoofingu rozmów telefonicznych, przestępcy odpalili kampanię SMS-ową w której podszywają się pod BLIK. Tak wyglądają wysyłane przez nich SMS-y:

BLIK. Ktos wyslal ci przelew na telefon 450zl, skorzystaj z ponizszego linku do odbioru srodkow [LINK]

O powyższej wiadomości informowaliśmy na naszym Twitterze i Facebooku w piątek, zaraz po tym jak ruszyła pierwsza fala tego ataku.

Okazuje się jednak, że przestępcy nie odpuszczają. Dziś te same SMS-y (z innymi linkami) znów są rozsyłane.

Co kryje się pod linkiem?

Po kliknięciu na link ofiara widzi fałszywą bramkę płatności:

Kiedy wybierze swój bank, zostanie poproszona o kilka informacji, które umożliwia przestępcom podpięcie się pod jej rachunek i wyczyszczenie go z pieniędzy. Najpierw login:

Potem PESEL:

A następnie PIN do aplikacji mobilnej:

…i kod, który ofiara (po użyciu jej danych z poprzednich kroków przez oszusta) otrzyma na swój telefon komórkowy.

Ta kampania może być bardziej wiarygodna niż inne

Ta kampania jest ciekawa z 3 powodów.

    Po pierwsze, SMS-y są wysyłane z poprawnego nadpisu, co oznacza, że znaleziono nowy kanał wysyłki marketingowych SMS-ów, który nie ma odpowiednio szczelnych reguł filtrowania.

    Po drugie, BLIK i banki faktycznie wysyłają podobne SMS-y, jeśli ktoś komuś zrobił przelew BLIK na numer telefonu (ale wyglądają one inaczej, tak jak i cała procedura odbioru):

    Po trzecie, tuż przed startem tej kampanii, BLIK przeprowadził trochę niefortunną akcję reklamową, której oficjalny plakat wyglądał tak, że można było odnieść wrażenie iż zachęca do klikania w linki z SMS-ów…

 

Rozesłaliśmy darmowy CYBER ALERT

Z powyższych względów, w sprawie tego ataku rozesłaliśmy ostrzeżenie do kilkudziesięciu tysięcy subskrybentów naszych darmowych CYBER-ALERTÓW. Jeśli też chcesz otrzymywać ostrzeżenia o atakach jako pierwszy, zapisz się korzystając z formularza poniżej:



    Bez obaw, Twoich danych nikomu nie przekażemy ani odsprzedamy. Raz na jakiś czas, poza ostrzeżeniami o aktywnych atakach możesz od nas dostać inne informacje dotyczące bezpieczeństwa (np. namiar na przydatny artykuł lub zaproszenie na webinar). Newsletter jest bezpłatny i możesz się z niego wypisać w każdej chwili. Jeśli lubisz czytać o RODO, kliknij tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

47 komentarzy

Dodaj komentarz
  1. Wczoraj na telefon córki przyszedł dokładnie taki SMS ale że was obserwuję na FB to przekazałem rodzinie info już w piątek czy sobotę i sms poszedł w śmietnik od razu.

  2. Warto zablokować bliskim śmiecio-TLD. Samo to zmniejszy narażenie na tego typu ataki:

    https://trends.netcraft.com/cybercrime/tlds
    https://symantec-enterprise-blogs.security.com/blogs/feature-stories/top-20-shady-top-level-domains

    Nie spotkałem się dotąd z TLD w stylu .xyz używanymi do czegoś wartościowego. Pewnie jakieś istnieją, ale szansa na to, że przydadzą się osobom nie potrafiącym czytać linków jest raczej niska.

    • Warto, ale nie można tego propagować jako odgórną zasadę dla wszystkich. Ja u siebie i swoim bliskim poblokowałem tureckie strony, ale nie znaczy, że mogę propagować takie rozwiązanie wszystkim.

      Od jakiegoś czasu myślę nad serwisem, który wyłapywał by takie kwiatki i blokował takie strony, aczkolwiek z ogólnymi zasadami dla wszystkich nie jest łatwo. Można komuś zaszkodzić zupełnie przypadkiem, a można komuś utrudnić życie bez sensu.

  3. Witam.
    Faktycznie ktoś z mojej rodziny dostał takiego smsa.
    Weryfikacja czy jest to oszustwo jest bardzo prosta:
    Otworzyłem sobie taki link, było tradycyjne przekierowanie 301 na jakąś domenę (fałszywa strona banku)
    Domenę sprawdziłem w bazie whois (zarejestrowana na Ukrainie)
    Powklepywałem sobie jakieś fikcyjne numery konta i fikcyjne hasła.

    Trzeba się pilnować ważne jest aby sprawdzać czy domena zgadza się z domeną banku (nawet jeśli jest certyfikat to 100% bezpieczne)

    Najważniejsze to abyśmy nie byli naiwni (nikt nam nie da 400 zł ot tak sobie)

    :)

    • Wpadł mi do głowy pomysł a może by tak przeprowadzić atak na te domeny oszustów. W sensie zbiorowo wysłać im pełno zapytań z fałszywymi danymi tak żeby zapchać im serwery.

    • Jako specjalista ok można tak robić dla utwierdzenia się, że to oszustwo i ustalenia kto za nim stoi – w sensie zbieranie dowodów.

      W pozostałych sytuacjach odradzam klikanie czegoś co wiecie, że jest fałszywe – już samo otwarcie linku może zainfekować wasz telefon/komputer ba może zainfekować wasz domowy futer przez, który przechodzi połączenie. Może wywołać także wiele efektów ubocznych, których nie zrozumiecie i/lub nie przeczytacie na niebezpieczniku. Ostatecznie już sam fakt, że można ustalić kim jesteś na samej tej podstawie może być przyczółkiem do dalszych ataków.

      Lepszą radą jest, żeby nie klikać, usuwać aby nie kliknąć przypadkiem, aby dziecko/małżonek/partner nie kliknął.

      Ja osobiście do takich rzeczy mam osobną maszynę, osobną linie internetu i wiele innych odpowiednio konfigurowanych i co najważniejsze czyszczonych. Nawet wtedy zdarza się, że można ustalić kim jestem.

    • Eh literówka – ruter. Swoją drogą niebezpiecznik mógłby wprowadzić edycje postów. Nie jest to jakaś mega wyrafinowana funkcjonalność.

  4. Pomyłka w moim komentarzu:

    jest: (nawet jeśli jest certyfikat to 100% bezpieczne)

    a powinno być (nawet jeśli jest certyfikat to nie jest to w 100% bezpieczne)

    • Jaki certyfikat chłopie? Powielasz bzdury amatorów. Certyfikat jest wymagany przy połączeniu https i świadczy to tylko o tym że połączenie jest szyfrowane. Nic więcej!!!!!!!! Pisanie że strona jest bezpieczna to takie samo kłamstwo jak pisanie że vpn zapewnia bezpieczeństwo. Nie zapewnia żadnego – oferuje tylko to co strona z https. Szyfrowane połączenie i NIC WIĘCEJ

  5. Akcja reklamowa blika zwala z nóg

    • Widzę to bardzo często – marketingowcy jak i wyższy zarząd zupełnie nie wiedzą nic na temat cyber-bezpieczeństwa, ani nie mają żadnego eksperta pod ręką, ani na żadnym etapie taki ekspert nie ocenia jakichkolwiek prac, które wychodzą na zewn. – reklamy, smsy, jakiekolwiek kampanie. Tutaj to śmieszne kampania na temat cyber-bezpieczeństwa dzieje się bez udziału specjalisty ds. cyber-bezpieczeństwa co własnie bije po oczach.

  6. Żona przed chwilą pytała czy jej przelałem pieniądze, bo dostała SMSa. Dokładnie takiego samego, domena blik kropka live

  7. To PIN do apki mobilnej wystarczy do jej zreplikowania??

  8. […] sprawie poinformował serwis Niebezpiecznik.pl, który sprawdził, co kryje się pod linkiem w wiadomości SMS, która rozsyłana jest falami. […]

  9. Lecą, też dostałem przed chwilą. Identyczny schemat.

  10. Moja siostra właśnie dostała taki SMS. Na szczęście orientuje się w tych sprawach na tyle, że wie żeby nie wchodzić w podejrzane linki. Przyszła do mnie zapytać czy słyszałem o takim scammie, a ja kilka godzin wcześniej widziałem nagłówek tego artykułu.

  11. Dzisiaj padło na moją partnerkę, dostała maila od vinted który przekierowywał na fałszywą stronę banku. Przejeli dane do IKO i wyplacili gotowke Blikiem, bankomat prawdopodobnie w Warszawie. Link przekierowujący na stronę banku “hxxps://pl-vinted.215677[.]space/cash41932721″, podejrzany na pierwszy rzut oka, lecz na chrome IOS wyswietla tylko ‘PL Vinted”. Domena z rosji, po wpisaniu nr telefonu w google mamy scamy na steamie i jakiejs ruletki…

  12. To tak mało danych wystarczy żeby wyczyścić konto? Przeciez nawet jak się zalogują to każda operacja na koncie wymaga indywidualnego potwierdzenia mobilną autoryzacją, smsem, czy kodem z zdrapki.

    • Nie ma juz kart zdrapek.
      Te dane oni wykorzystuja, zeby aktywowac aplikacje banku na swoim telefonie i wtedy moga wykonywac przelewy.

    • @Marek
      Ale jak jest możliwa aktywacja apki na nowym telefonie jeśli ona działa jeszcze na starym? Nawet jak zrobili sim-swapping i ofiara się nie zorientowała że jej telefon nie działa, to instalacja apki na nowym telefonie wymaga podania róznych danych (imiona rodziców, itp).

    • Potrzebuja kodu, by np. dodac swój numer konta do zaufanych.
      Potem juz zadne powiadomienie, czy sms nie pzryjdzie, jak będa transferować środki na swoje konto…

  13. #Pomysł dobrze pisze.
    Nie żebym kogoś -tu lub gdzie indziej -namawiał do czegoś nielegalnego, ale ktoś się kiedyś wkurzy i zrobi jednemu i drugiemu oszustowi atak informatyczny, taki aż tamci z krzeseł pospadają.

    • Masz już takie filmy na YT… ;))

  14. Formularz do odbioru płatności, a przycisk nomen omen “Zapłać”. ;)

    • Ha ha ha! :)

  15. Wbrew temu to media nam wmawiają, blik już taki bezpieczny nie jest jak płatność kartą.

  16. Wczoraj znajoma złapała się na to ale dziwna sprawa. Twierdzi, że po przejściu na fakową stronę banku (BNP) została poproszona tylko o dane autoryzacyjne (nazwisko rod. matki i kod z banku, który przyszedł sms). Zastanawiam jak to możliwe, że ktoś przeprowadził transakcję nie mając numeru kart, konta itd. Bylo wykonane kilka transakcji obciążających konto podstawowe i kartę kredytową podpiętą do tego konta. Czy to znaczy, że hej dane wyciekły gdzieś jeszcze czy może inną drogą?

  17. Dostałem w sobotę właśnie takiego SMS-a, że ktoś mi wysłał 450 zł. Oczywiście nie kliknąłem, od razu było widać że to podpucha. Mam w konto w PKO, tam dostaję po prostu powiadomienia w aplikacji iPKO. I pod tym kątem jest to dobry system – nie mam SMSa, tylko powiadomienie w apce. Nie da się tego podrobić w prosty sposób.

  18. Blik jest bezpieczny, tylko ludzie nie ogarniają że.
    1. kody trzeba pilnować, nie podawać obcym
    2. ZAWSZE czytać co się autoryzuje
    3. gotówkę wpłacać blikiem tylko sobie (czyli na kod ze SWOJEJ apki)
    4. mieć blokadę w tel hasło+odcisk palca
    5. odcisk w androidzie jest mega dobry, nie da się go sfiszować, podglądacze też nic nie zobaczą
    6. ukryć powiadomienia (np sms-y) na ekranie blokady

    i najważniejsze
    7. jak dzwonią i nie polecają kredytu to znaczy że to na pewno nie z banku :-)

  19. SMS oszusta z tel. 501163033. BLlK. Ktos wysIal ci przelew na teIefon 450zl, skorzystaj z ponizszego Iinku do odbioru srodkow:
    hxxps://cli[.]co/bIik-djei19sd

  20. Szkoda ze wszystkie andki nie maja roota domyslnie wtedy szybko by powstala apka blokujaca wszelkie scamy dodajac do hosta wpis cos jak adblock

  21. Pomocne dla osób nietechnicznym może być odpowiednie ustawienie NextDNS: https://soo.bearblog.dev/nextdns/

    NextDNS używa listy CERT Polska/KAD-Przekręty, Google Safe Browsing. Potrafi także zablokować wskazane domeny najwyższego poziomu (TLD), nowo zarejestrowane domeny (poniżej 30 dni), czy reklamy i śledzenie.

  22. ja dostałem właśnie: BLIK. Ktos wysłał ci przelew na telefon 350zl, skorzystaj z poniższego linku do odbioru srodkow: in[.]sv/uznanie-blik-55lewP

  23. SMS oszusta z telefonu +48517165862. BLlK. Ktos wysIal ci przelew na teIefon 350zl, skorzystaj z ponizszego Iinku do odbioru srodkow:
    hxxps://in[.]sv/uznanie-bIik-55lewP

  24. Właśnie dostałem takiego smsa tylko na 350 PLN. Dlaczego inni dostają więcej???

  25. Wczoraj taki SMSz BLIK przyszedł na telefon córki. Od razu go wykasowałem. Dziś instalowałem na tel. Nortona i zauważyłem , że filtruje też smsy. Wcześniej tej opcji nie było. Wyznaję zasadę, bank do mnie nie dzwoni i nie pisze, więc od razu wiedziałem, że to oszustwo, tym bardziej, że to łatwo sprawdzić jeśli ma się dostęp do swojego konta związanego z numerem telefonu.

  26. Ostatnio miałem podobną wiadomość. Trzeba uważać.

  27. Też dostałem. z numeru 510859152. Domena cli.co. Co ciekawe zamiast “:” przed linkiem jest “;”.

  28. Co ciekawe takie SMS były wysyłane również z mojego służbowego numeru telefonu.
    Oczywiście bezpieczeństwa pilnuje i nic podejrzanego staram się nie klikać

  29. Też dostałem z nr 511209985 info iż przelano już 500zł. Inny link: https://odbior24[.]link/d193d0

  30. Miałem podobną wiadomość w ostatnich dniach więc mogę potwierdzić, że takie wiadomości przychodzą.

  31. Podobna wiadomość u siostry z linkiem, z prośbą o odebranie przelewu. Mógłby ktoś napisać, skąd tak ogólnie, oszuści mają numery telefonu? Czy to wynika, z tego, że “gdzieś, kiedyś, ktoś” kliknął coś czego nie powinien – i wyciekł numer telefonu?
    Czy może być to też niezawinione?

    • Jest możliwe że podszywają się pod numery telefonu. Jak wskazywałem pod mój służbowy się podszyli i potem miałem telefon od osoby, którą chcieli naciąć. Oczywiście nic zdaje mi się podejrzanego nie robiłem.

  32. Też mam taki sms. Po sprawdzeniu w necie, numer zablokowany.

  33. OSZUSTWO – wpłacono 500zł na twój numer telefonu, odbierz środki: https://cli[.]co/JjgdUGT

  34. Potrzebuję materiały na temat obrony przed cyberatakami, dezinformacją, pysops i temu podobnymi. Proste, przystępne, by dosłownie każdy sobie poradził ze zrozumieniem. Coś typu “podstawy obrony przed wojną informacyjną i cyberatakami”.
    Chodzi o prosty i jasny przekaz, jakieś krótkie infografiki – aby mózgi się czytającym nie przegrzewały, tak żeby można było dać dosłownie każdemu – babci, wujkowi, kolesiowi zawieszonemu w teoriach spiskowych etc.
    Jeśli nie ma to może należy zorganizować taką akcję oddolnie?

    • I co to teraz będzie w związku z tym, że potrzebujesz. Jeśli nie ma to może zorganizowałeś taką akcję oddolnie jak należy? Wyślesz jakiś link?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: