20:50
16/4/2021

Otrzymujemy zgłoszenia w sprawie nowych treści wykorzystywanych w atakach SMS-owych wycelowanych w Polaków.

SMS od Tarcza

Nadawca: Tarcza
Masz do odebrania 800 zl z tarczy antykryzysowej. Aby odebrac wykonaj przelew potwierdzajacy tozsaomosc 1 PLN. Srodki otrzymasz w ciagu 24h. www.urzedy9[.]net/XXXX

Co ciekawe, ta sama domena jest wykorzystywana też w SMS-ie od “Policja”, który też jest teraz wysyłany:

Kliknięcie w link znajdujący się w SMS przenosi ofiarę na fałszywą stronę (domena kupiona dziś) udającą bramkę płatności PayU:

Jeśli ofiara, która już myślami jest na weekendzie, pełna radości że zaraz wpadnie jej 800 złotych nie zorientuje się, że to scam i wybierze bank oraz poda login i hasło do swojego konta, to zostanie poproszona o kody SMS-owe (haha, PSD2, wow takie silne!), tak jak w przypadku ataku sprzed tygodnia.

Podanie kodów SMS umożliwia atakującym kradzież środków z konta ofiary. Dlatego jeśli otrzymałeś takiego SMS-a, kliknąłeś w linka i podałeś dane logowania, jak najszybciej zadzwoń na infolinię swojego banku z innego smartfona.

Ostrzeż znajomych

O ile mechanizm ataku (fałszywa bramka płatności) to nic nowego, to pretekst “na tarczę antykryzysową” może u wielu osób uśpić czujność, po pierwsze z racji piątku, po drugie z racji informacji o tym, że rząd planuje kolejne zapomogi.

Ten atak ma jednak mniejszą skalę niż ataki tej samej grupy sprzed tygodnia. Czyżby złodzieje stracili część infrastruktury?

PS. Jeśli chcesz otrzymywać ostrzeżenia o aktualnych atakach na swojego e-maila zapisz się na nasz alarmowy newsletter “Aktywne Ataki”:



Bez obaw, Twoich danych nikomu nie przekażemy. Raz na jakiś czas, poza ostrzeżeniami o aktywnych atakach możesz od nas dostać inne informacje związane z bezpieczeństwem (np. zaproszenie na webinar o zagrożeniach w sieci). Jeśli lubisz czytać o RODO, kliknij tutaj.

Dziękujemy Grześkowi, Bartkowi i Ryśkowi oraz innym, którzy przesłali nam informację na temat tych ataków. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego, daj nam znać na redakcja@niebezpiecznik.pl

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Że też ktos się jeszcze na to nabiera? Smsy z dziwnymi linkami znane już od kilku lat to już się robi nudne. Mogliby wpaść na coś nowego bardziej ambitnego

    • Nie muszą, skoro to nadal działa i jest dochodowe najwyraźniej.

  2. A ja mam numer na kartę od ok 20 lat i nie przychodzą mi opisywane sms-y podany jest ali ,morelom i jeszcze byle gdzie dlaczego ?

    • Adam, bo wszyscy wiedzą, że taki ogarnięty chłopak się na to nie nabierze. Taka fama poszła po tym jak nie zagrałeś w trzy kubki na Grzybowskiej.

  3. Czy nie można tego ukrócić wprowadzając ustandaryzowany sposób informowania użytkowników w jakiej domenie są, pasek 1 cm na górze ekranu z nazwą na niebieskim tle na ten przykład i tyle i końcówką adresu. Nie wszyscy się orientują co się dzieje w różnych przeglądarkach z milionem wyskakujących powiadomień itd.

    • Na PC to już chyba bardziej nie da się ujednolicić sposobu wyświetlania domeny, gdyż wszystkie główne przeglądarki wyróżniają ją jaskrawym kolorem, gdy reszta adresu jest ciemniejsza/szara. Problem jest nieco w przeglądarkach mobilnych.

      Poza tym ludzie nie wiedzą, że sama kłódka przy adresie nie wystarcza do zapewnienia bezpieczeństwa. Przeglądarka musi zweryfikować certyfikat, czy na pewno należy do danej strony. Dopiero wtedy wyświetla adres na zielonym tle.

    • Do @Observer, zapewniam Cię, że się da. To musi być proste jak konstrukcja cepa. Beż żadnych http, kłódek i innych rzeczy, które w 99% są niepotrzebne.
      Jeden napis, być może zamieniany na znany zdefiniowany obrazek i koniec. Tyle większość ludzi ogarnie.

    • Obrazek, który ma się pojawić zamiast nazwy wybierasz na stronie banku, gdy zakładasz konto. Widzisz obrazek rozmawiasz ze swoim bankiem. Nie widzisz nie rozmawiasz ze swoim bankiem. I tyle. Dla bardziej zaznajomionych z tematem, sprawdź to co sprawdzasz zwykle. Znakomita większość ataków typu przekieruj na nieznaną stronę i zrób przelew w tym momencie się kończy.

    • @test
      Taki obrazek to kolejna rzecz do zapamiętania. Jak ktoś nie korzysta z banku w przeglądarce codziennie to potem się zastanawia ‘a co to ja wybrałem i czy czasem ostatnio nie zmieniłem’. Z resztą scamerom nie problemem będzie wyciągnąć ze strony banku takie obrazki i próbować brutforsować je ofiarom. Może bardziej czasochłonne i trochę ograniczy zasięg, ale na pewno komuś obrazek się zgodzi.
      To samo a nawet lepiej robi yubikey.

    • Nie bo obrazek pokaże się JEDYNIE wtedy gdy będzie właściwa domena. Mało do zapamiętania, bank nie musi wiedzieć jakie to obrazki nawet, mogą być wybierane z dysku.
      Nie chodzi mi o to, żeby zapamiętywać trzeba było obrazki, wystarczy, że sobie do banku przypisałem jakieś zwierzę.

  4. Czy nie można tego ukrócić wprowadzając ustandaryzowany sposób informowania użytkownika w jakiej domenie jest na przykład pasek 1cm na niebieskim tle na górze strony z końcówka nazwy? Nie każdy potrafi się zorientować wśród wyskakujących okienek i migającej zawartości.

  5. Zastanawiam się, jak działa cały mechanizm kradzieży środków z konta bankowego. Po podaniu danych logowania oraz hasła z SMS ofiara umożliwia przestępcom zalogowanie się na jej konto bankowe, ale to jeszcze nie jest ostatni krok? Przestępca próbując wykonać działanie na koncie (przelew wychodzący, ustanowienie zewnętrznego konta jako zaufanego itp.) będzie potrzebować przynajmniej jeszcze jednego kodu z SMS z banku od ofiary (a więc dalsza część oszustwa musi jeszcze nakłonić ofiarę do podania kolejnego kodu z SMS)?

    • No właśnie prosi, przelew autoryzacyjny na 1zł, podaj hasło sms

  6. Być może formularze bramek płatności powinny być rejestrowane jako własność intelektualna i weryfikowane na smart i tych innych (DRM?). Brak pozytywnej weryfikacji uniemożliwia przelewy. Branża tropiąca naruszania praw autorskich jest znacznie potężniejsza od wszystkich policji, efbijajów i siajejów.

  7. W dzisiejszych czasach sms’y tylko od babci, i to takie z aktualnym certyfikatem :p

  8. Chrome wyświetla ostrzeżenie o podejrzanej stronie, czerwony ekran powinien pomóc obudzić czujność myślących o weekendzie ;-)

    “Deceptive site ahead
    Attackers on urzedy9.net may trick you into doing something dangerous like installing software or revealing your personal information (for example, passwords, phone numbers or credit cards)’

    • Kampania trwa od co najmniej Piątku. Nie wiem kiedy Google wreszcie dodał tę stronę do swojej bazy niebezpiecznych, ale ktoś już mógł się naciąć.

    • Swoja droga, co za problem oznaczyc czy wydzielic (baza, lista) strony legalnie uprawnione do przeprowadzania niektorych akcji (np. logowanie sie do banku). Certyfikacja juz jest na miejscu, monetka obok kludeczki to nie jest jakies straszne wyzwania i nie chodzi juz nawet o to zeby uczyc ludzi nowych symboli ale z takim oznaczeniem juz nawet przegladarka mogla by zwietrzyc ze cos jest na rzeczy (ostrzegac przed proba wyslania informacji bankowych na “przypadkowe” adresy www)

    • Do @WkurzonyBialyMis90210 właśnie o taką bazę chodzi. Wypełnić taką bazę można by raz i ktoś przytomny musiałby to zrobić albo ktoś instruowany przez kogoś przytomnego. Potem warunek przytomności nie byłby wymagany. Może to dla kogoś dziwne, ale są ludzie, którzy nie odróżniają paska adresu od reszty strony, a Wy wymagacie, żeby oni kłódki sprawdzali.
      A z płatności internetowych będą w końcu korzystali wszyscy.

  9. nextDNS – usługa rozwiązywania domen używająca listy CERT Polska/KAD, zalecana konfiguracja: https://soo.bearblog.dev/nextdns/

    Ustawcie osobom zwłaszcza mniej technicznym oraz edukujcie ich o zagrożeniach w sieci!

  10. Przeceż 1 SMS pozwoli jedynie na zalogowanie do konta.
    Do dokonania przelewu potrzebny będzie kolejny SMS! Ten nie zostanie wygenerowany przez podstawioną stronę.

    • Jeśli zdaje się Tobie, że logowanie do banku wymaga podania SMS u każdego to może.

    • Przy czym to nie ma żadnego znaczenia, jeśli ktoś jest w stanie wpisać jednego SMSa byle gdzie to co go powstrzyma, żeby wpisać kilka?

  11. Ważne jest zatem, żeby nie wpisywali tych danych byle gdzie. Jeśli ktoś ma wpływ taki, że może podjąć inicjatywę, którą nakreśliłem to byłbym wdzięczny. Jeśli nie ma to czekamy na kolejnych 1000-artykułów o podobnej treści. A może i milion.

  12. Nie wiem kto i jak może przekonać gigantów, żeby zadbali o bezpieczeństwo finansowe użytkowników, a powinni.

  13. I nie, nie każdy będzie miał 2fa, 3fa, 5fa i nie wiadomo co jeszcze. Nie w ten sposób powinien być rozwiązywany ten problem. Te cuda mogą się przydać jak ktoś Wam ukradnie dane logowania, a nie wpisze mbonk zamiast mbank.

  14. “Dlatego jeśli otrzymałeś takiego SMS-a, kliknąłeś w linka i podałeś dane logowania, jak najszybciej zadzwoń na infolinię swojego banku z innego smartfona.”

    Dlaczemu z innego smartfona?

  15. Uwielbiam Waszą stronę, chociaż mam 72 lata i zaczęłam pracować na komputerze po 60 roku życia. Chodzę na informatykę 1 raz w tygodniu dla przyjemności. Pan, który prowadzi informatykę powiedział nam o ” niebezpiecznik.pl “. SUPER sprawa

  16. Gdy przyjdzie jakiś podejrzany SMS z prośbą o dopłatę 1 zł, po przekierowaniu na stronę (najlepiej nie swojego) banku w pole ID można wpisać jakieś cyferki, a w pole hasło: “Nie.Dam.Się.Nabrać-tY.złodzieju.xD” – ot takie info do cyberzłodzieja :D

  17. Moim zdaniem banki mogłyby łatwo rozwiązać sprawę. Problemem jest że kod potwierdzający ludzie przepisują w pośpiechu i bez zastanowienia. W treści SMSa jest podane do czego służy kod ale nikt tego nie czyta, lub nie czyta ze zrozumieniem.
    Moim zdaniem rozwiązaniem byłoby wysłanie SMSa w stylu:

    Oto kody autoryzujace. Użyj kodu obok operacji którą chcesz wykonać:
    Przelew na konto LOSOWYNUMER: 234567
    Przelew na konto XXXX: 123456
    Dodanie autoryzowanego uzytkownika: 987654

    Z tego dwa kody są nieprawidłowe do operacji których nie zlecaliśmy, ale wymuszają przeczytanie ze zrozumieniem.
    A najlepiej gdyby dodanie zaufanego odbiorcy było potwierdzane dwoma SMSami z dokładnym wytłumaczeniem co robimy – w końcu nie dodajemy takich odbiorców codziennie i to operacja która może nas kosztować najwięcej.

    No ale wątpię czy któryś bank naprawdę chce zadbać o bezpieczeństwo klientów bardziej niż minimum wymagane przez przepisy o ile sami nie będą na tym stratni.

  18. dziś takie SMS: NA 04.05 zaplanowano odłączenie energii elektrycznej. Zapłać 3.46 i tu adres

Odpowiadasz na komentarz test

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: