8:26
18/4/2018

Poza granicami naszego kraju, niemal co roku pojawiają się ostrzeżenia o oszustach, którzy pod pretekstem zwrotu podatku dochodowego okradają mniej czujnych podatników. Wygląda na to, że po raz pierwszy taka kampania została skierowana do Polaków.

FORMULARZ ZWROTU PIENIEDZY

Nasz Czytelnik Krzysztof 16 kwietnia otrzymał następującą wiadomość e-mail:

From: “FORMULARZ ZWROTU PIENIEDZY” FORMULARZ.ZWROTU.pl@kdwelt.de
Subject: [UTF-8?]â şâ şâ şâ şâ şâ ş FORMULARZ ZWROTU PIENIEDZY [UTF-
8?]â şâ şâ şâ şâ şâ şâ şâ şâ ş

finanse.mf.gov.pl/strona-glowna

Witam,

Informujemy, że przysługuje ci zwrot pieniędzy za ostatni rachunek podatkowy.

Kliknij poniższy link:

————————————————–

zwrot kosztów [UTF-8?]â : finanse.mf.gov.pl/strona-glowna

————————————————–

Dobry odbiór!

Z poważaniem,

Zespół finansów publicznych.

Co ciekawe, linki w wiadomości nie były podmienione (a jeśli były, forwardy wiadomości od naszych czytelników je zatraciły), ale wiadomość, jak widać, miała załącznik. Plik PDF:

DYREKCJA GENERALNA FINANSA PUBLICZNA.pdf

MD5: a7906aa3a1932e316b0902431876e28f

Załącznik nie miał podwójnego rozszerzenia (w końcu Armaged0n siedzi w areszcie, haha), ani sam w sobie nie zawierał kodu żadnego exploita. Wyglądał natomiast tak:

…informował o przyznanym nam zwrocie podatku w wysokości 718 PLN i był podpisany przez samego Mateusza Morawieckiego (na stanowisku “zastępcy rozjemcy podatkowego”).

Aby uzyskać zwrot podatku — informuje PDF — trzeba złożyć wniosek. A żeby złożyć wniosek, trzeba “kliknąć tutaj”. Link pod tymi słowami prowadzi jednak nie do strony ministerstwa, a do:

hxxps://bftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/

Która wygląda tak:

…i wyłudza dane osobowe. Po ich podaniu, pojawia się kolejny formularz, proszący o podanie danych karty płatniczej:

Ten formularz jest zlokalizowany pod adresem:

hxxps://aftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com

Po podaniu danych karty, ofiara jest przekierowywana na prawdziwą stronę ministerstwa finansów.

To było …dziwne

Trzeba przyznać, że ta kampania jest ciekawa, ale ma raczej marne szanse na to, że zbierze dużo ofiar. O ile sama wiadomość e-mail wygląda jeszcze “jako tako” (poza tym “Dobry odbiór!” na końcu), to już sam PDF powinien odstraszyć każdego (jeśli w ogóle wbrew wszelkim rekomendacjom, kliknął w załącznik dołączony do podejrzanego, niespodziewanego e-maila). Przytoczmy kilka zwrotów:

“Dyrekcja generalna finansa publiczna”
“Pozwolić nam na 10 dni do leczenia”

Niestety ludzie klikają w załączniki, więc załóżmy, że znajdą się osoby, które w link klikną. Strony przygotowane przez atakującego są bardzo prowizoryczne. Abstrahując od dziwnego URL-a, elementy stron wskazujące na powiązanie z Ministerstwem Finansów są tak naprawdę grafikami. Ktoś zrobił screena ze strony ministerstwa i obłożył obrazkami swój formularz wyłudzający dane.

Kampania wygląda na mocno niedopracowaną i “tłumaczoną” automatycznie. Pozostałości w kodzie sugerują, że oryginalnym celem byli Francuzi.

Beznadziejny atak na bardzo małą skalę?

Ta kampania, podobnie jak i kampania sprzed paru dni, w której Polacy otrzymywali SMS-y podszywające się pod MediaMarkt ma na celu zebranie danych karty płatniczej. I szacujemy, że podobnie jak kampania MediaMarktu i tutaj złodziej niewiele wskóra. Polacy po prostu nie są przyzwyczajeni do płacenia kartą płatniczą w internecie i rzadko ją podają. Nie jest to odruch naturalny. Ba! Jest to mniej spodziewane zachowanie niż sam zwrot podatku ;)

Na koniec dodajmy, że zazwyczaj w przypadku różnych kampanii wycelowanych w Polaków dostajemy wiele informacji od naszych Czytelników. Informację na temat tego ataku przesłało nam póki co zaledwie kilku czytelników. Albo nie jest to szeroko zakrojona akcja, albo po prostu tak słabe wiadomości wszędzie wpadły do spamu. Przejrzycie swoje skrzynki i jeśli traficie na tę lub podobną wiadomość, dajcie nam znać.

Co ciekawe, już 13 kwietnia o tym ataku ostrzegało samo ministerstwo finansów, więc nie jest wykluczone, że rozesłanych zostało kilka wariantów wiadomości. W ostrzeżeniu występuje adres e-mail inny niż ten, który widzieliśmy:

polskie.podatki@kabelsurfer.com

Ale ja naprawdę czekam za zwrot podatku — co robić, jak żyć

Prawdziwy formularz Ministerstwa Finansów, który służy do weryfikacji, czy należy się wam zwrot nadpłaconego podatku PIT i który miał spore problemy z bezpieczeństwem bo wyciekał dane osobowe podatników, już działa poprawnie. Proponujemy więc z niego korzystać, jeśli ktoś chce sprawdzić na czym stanęła sprawa jego zwrotu i czy pieniądze mu się należą.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Na screenie zamazaliście adres maila, a później go wkleiliście ;)

    • Wysyłamy Czytelnikowi książkę w takim razie :)

    • Ok :) czekam na kontakt mailowy!

  2. jak szukasz pracy w Uk to stwórz nowy email potem będziesz dostawał na niego tonę spamu jakieś 20% ofert pracy sa tworzone przez spamerów. Alb CRB check praca od jutra 10funtów za godzinę przelej piniądze nam już dziś

  3. Podoba mi się podpis “Mateusza Morawieckiego” :D Ciekawe jak ten francuski “poborca” się nazywał.

    • No właśnie nie francuski… to podpis uwaga uwaga…
      Mustafy Kemala Atatürka

  4. Mustafa Kemal Atatürk- popatrz tutaj: https://pl.wikipedia.org/wiki/Mustafa_Kemal_Atat%C3%BCrk

  5. Przyszedł mi do głowy świetny (jak wszystkie przecież) pomysł – takie kampanie powinno organizować państwo. A osoby, które się na to nabiorą, powinny być z automatu ubezwłasnowalniane.

    • Gruuubooo!!!
      Ale tak serio. W dobie e-państwa i e-dostepu do wzelakiej ilości usług finansowych przez aparat władzy, kto wie może takie ataki będą miały ogromne powodzenie.

    • Ja bym im przydzielał opiekuna z urzędu…

  6. Najlepsza to jest kwota zwrotu xD
    718,725 PLN
    To może dlatego jest wymagana karta kredytowa, bo jak pani z okienka miałaby wypłacić pół grosza?

  7. To jest naprawdę groźny spam – prawie się udławiłem ze śmiechu.
    A ten rozjemca M. Morawiecki z podpisem Ataturka to jest arcydzieło sztuki spamowej. Powinni to wystawić w MOCAKu ;-)

  8. “dobry odbior!” – do mnie przemawia

    VY 73!

    • A do mnie przemawia:
      a) kwota z trzema miejscami po kropce
      b) “sa sa sa sa sa” itp. błędy kodowania UTF-8.

  9. Tylko 10 leczenia? To chyba po kacu.

  10. Nie byłoby podatków, nie byłoby zwrotów podatków, nie byłoby związanych z nimi oszustw :)

    • Nie byloby grawitacji, nie byloby i wypadkow lotniczych.
      Nie byloby ludzi na ziemi to i kradziezy by nie bylo. :P

  11. Ja większość e-maili traktuje jako spam, więc nieraz zdarza mi się nie zwrócić uwagi na te naprawdę ważne wiadomości.

  12. Firefox blokuje stronę z formularzem.

  13. Nie jestem zwolennikiem zbyt grzecznych mejli i przesady w zwrotach grzecznosciowych ale zaden urzednikim nie moze pisac i zwracac sie per ty. A tutaj mamy zwrot – “ci”. Moze dlatego zeby pasowalo zarowno do mezczyzny jak i kobiety. Podobnie jak – “Witam”.

  14. Język brzmi jak żywcem wzięty ze słownika nigeryjsko-polskiego. Skoro w kodzie są jakieś francuskie odnośniki/słowa/itd. to pewnie i tak tacy z nich Francuzi jak ze mnie Marokańczyk.
    Te “nigeryjskie” phishe to plaga nie od dziś i pewnie nie skończy się jutro.

  15. Kiepsko przetłumaczone, zapewne robota Niemców, u nich taki phishing jest bardzo popularny i nabiera się na niego wiele starszych osób korzystających z Internetu. U nas

  16. Właśnie dziś dostałam takiego maila i nie trafił do spamu.
    Pozdrawiam
    Dorota

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: