19:19
23/9/2021

Otrzymujemy setkitysiące (!!!) zgłoszeń w sprawie trwającej właśnie masowej wysyłki złośliwych SMS-ów na losowe numery telefonów należące do Polaków. SMS-y są o następującej treści:

Zostales skierowany do odbycia 10-dniowej kwarantanny z powodu zakazenia w Twoim najblizszym otoczeniu. Wiecej informacji na stronie https://cutt[.]ly/8Ezv3uy

Dawno nie widzieliśmy takiej skali ataku. W dodatku, SMS-y mają nadpis “Kwarantanna“, a to powoduje, że pojawiają się pod prawdziwymi SMS-ami, o ile wcześniej odbiorca otrzymał je z Sanepidu bo był skierowany na kwarantannę. To podnosi wiarygodność ataku, bo mało kto wie, że SMS-y każdy może wysłać z każdego numeru (lub nazwy).

Link w wiadomości prowadzi do strony nakłaniającej do pobrania aplikacji “Flash Player”. Aplikacja ta jest złośliwa, po instalacji dokonuje ataku na rachunki bankowe właściciela smartfona i okrada go z pieniędzy. Ale zaszkodzić może jedynie smartfonom z Androidem.


Jeśli nie zainstalowałeś aplikacji na swoim Androidzie, nie masz się czego obawiać. Samo wejście na stronę internetową też niczego złego (w tym przypadku) nie robi. Ale jeśli aplikację zainstalowałeś… to jak najszybciej wyłącz smartfona, a następnie z innego telefonu zadzwoń do swojego banku.

Chcesz zabezpieczyć smartfona (iPhona lub Androida)?

To rzuć okiem na nasz poradnik. Dowiesz się co warto zmienić w systemie, aby lepiej chronił dane i pieniądze oraz jakie apki podnoszące prywatność warto doinstalować. Z kodem ATAKSMS do końca dnia dajemy sporą zniżkę. Zobacz poradnik.


Aktualizacja 23.09.2021, 20:00
Równocześnie, do tej samej złośliwej aplikacji prowadzą też linki z takich SMS-ów (choć skala tego wariantu wydaje się być mniejsza):

Witam, dzis znalazlam portfel z pieniedzmi i dokumentami, w srodku byl ten nr. tel. tu zdjecie portfela czy to Pana/Pani ? https://cutt[.]ly/REzv2Pb

🚨 Subskrybenci cyberalertów już zostali ostrzeżeni

Z racji masowego charakteru tego ataku, rozesłaliśmy ostrzeżenie subskrybentom naszego newslettera dotyczącego aktualnych zagrożeń w internecie. Jeśli też chcesz być jako pierwszy informowany o aktualnych atakach wymierzonych w Polaków to zapisz się na nasze cyberalerty:


Bez obaw, Twoich danych nikomu nie przekażemy. Raz na jakiś czas, poza ostrzeżeniami o aktywnych atakach możesz od nas dostać inne informacje związane z bezpieczeństwem (np. zaproszenie na webinar o zagrożeniach w sieci). Jeśli lubisz czytać o RODO, kliknij tutaj.

Dziękujemy Waldkowie, Mai, Kasi, Bartłomiejowi, Alce, Olkowi, Michałowie i innym osobom, które przesłały nam informację na temat tego ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl

Przeczytaj także:

75 komentarzy

Dodaj komentarz
  1. Wooow

    • Szkoda tylko, że oryginalny SMS zawiera w sobie kłamstwo. Nie ma czegoś takiego jak ustawowy obowiązek pobrania aplikacji.

    • @mania

      No nie ma. Ale ludzie nie wiedzą, więc co za różnica czy prawda, skoro ta ściema działa.

  2. Właśnie takie coś otrzymałem :)

  3. Kochani,

    Mama nieopatrznie weszla na ta strone (dzieki Bogu nic nie pobrala!). Rozumiem, ze nie ma sie czego obawiac?

    Dzieki z gory za wyjasnienie!

    • Nie, raczej nie

  4. Czy coś się może stać po wejściu w sam link (bez pobrania aplikacji) ale z systemu iOS?

  5. Jak upewnić się ze nie mam zainstalowanej aplikacji? Skopiowałem link i ekran smarfona zaczal dziwnie mrugac. czy to może być objaw?

    • A co jeśli się zainstalowało??? Jak to usunąć Oprócz zablokowania konta

  6. Nie czepiam się, ale jest to trochę zabawne :)
    “Subskrybenci cyberalertów już zostali ostrzeżeni”
    Artykuł 19:19, alert 20:01 :))))

    • Wysyłka do kilkudziesięciu tysięcy osób trochę zajmuje… Ludzie z GMailem powinni dostać najszybciej.

    • 6 sekund do GMaila wliczając przejście przez serwer zewnętrzny.
      Najszybciej dostał RSS :)

      Pozdrawiam

    • Wysyłka maili mogła rozpocząć się dużo wcześniej. Nie wiem ile rekordów jest w tej bazie i jaką wydajność ma serwer wysyłkowy, z którego korzysta Niebezpiecznik, ale przy dużych wolumenach wysyłka trwa nawet kilka godzin.

  7. Dostałem podobnego sms ale treść dotyczy znalezienia portfelu w którym był mój nr telefonu. Uważajcie..

    • Przyszło i do mnie. Skąd wiedzą że mamy portfele a nie portmonetki…

    • @Viper

      Ta, ja też dostałem ten z portfelem :D

    • … a ja akurat zgubiłem gdzieś portfel i tam miałem numer telefonu dla uczciwego znalacy …

  8. Ktoś mi wytłumaczy jak to możliwe, że SMS przychodzi z numeru przypisanego do “Kwarantanna”?

    • Bo CallerID jest dziurawe jak sito

  9. Jakim cudem taki syf przechodzi przez sito operatora? Kto jest nadawcą? Czy operator zarabia na rozsyłaniu tych wiadomości?

    • Jakim cudem przechodzi? Pobudka! Jesli kasa sie zgadza, WSZYSTKO przechodzi – ograniczenia sa tylko dla zwyklych, niczego nie rozumiejacych ludzi. I tyle.

    • @p0k3m0n – otóż to! Kolejny wał robiony przy współudziale operatorów. W czasach internetu przez modem robili przekierowania na wysoko płatne numery a potem wmawiali ludziom, że świadomie klikali w takie płatne linki. Były w tej sprawie postępowania, które wykazały celowy udział operatora w tym procederze. Potem były SMS’y z linkami do aktywacji płatnych usług w zmanipulowanej formie. Wystarczyło kliknąć w link i aktywowała się usługa. Jak się ktoś nie zorientował na czas to mu doliczali do rachunku po 20 zł miesięcznie. Dla jednych to dużo dla innych mało, część się zorientowała a część nie. Jak się już ktoś zorientował to miła pani na infolinii tłumaczyła aksamitnym głosem, że przecież abonent sam chciał taką usługę więc ją ma ale jak już jej nie chce to oni łaskawie wyłączą ale najpierw jeszcze skroją abonenta za kolejne 2 miesiące bo to wynika z regulaminu. Teraz mamy wały na kwarantannę i jedno jest pewne – jutro też będą wały tylko nowsze i dostosowane do ducha czasów. Inne prawo dla nich a inne prawo dla nas.

    • @abra – trafiłeś w samo sedno! Kazik kiedyś śpiewał “Ręce do góry, daj całe złoto, które wieziesz ze sobą
      Ręce do góry, bez siły lub przemocą
      Minęły długie lata i nie ma już gościńca
      W tym samym teraz miejscu przebiega wzdłuż ulica
      I tylko zbóje dalej, ubrani doskonalej
      Czyhają na ofiarę by złupić ją bezczelniej heja ho”

  10. Czy ktoś może potwierdzić,że jest to atak celowany w osoby, które były już na kwarantannie/izolacji domowej więc ich numer telefonu był dostępny dla SANEPIDu czy też jest to nalot dywanowy i rozsyłają jak leci?

    • Dostałem takiego SMSa a nigdy nie byłem w żadnym systemie sanepidu, kwarantannie, izolacji – niczym.

    • Byłem w zeszłym roku na kwarantannie, a SMS przyszedł na numer firmowy, który nigdzie nie był wcześniej zgłaszany.

    • Jak leci, też dostałem a nie miałem żadnego kontaktu z sanepidem ;)

    • jak leci nie byłam na kwarantannie a dostałam

    • @Janusz

      Nie jest

    • Ja byłem na kwarantannie, a nie dostałem.

  11. Byłem na kwarantannie w marcu z i tego “numeru” dostalem kod do aplikacji Protego safe, moze to od nich wyciek ? W kazdym razie troche mnie to rozczarowalo bo myslalem, ze sobie posiedze 10 dni w domu a tu nic :(

  12. @Janusz Nie byłem na kwarantannie, nikt z najbliższej rodziny również, a dostałem smsa.

  13. …”Kwarantanna“, a to powoduje, że pojawiają się pod prawdziwymi SMS-ami, o ile wcześniej odbiorca otrzymał je z Sanepidu bo był skierowany na kwarantannę….” – tak dla ścisłości… to nie prawda. Ja nigdy nie byłam na kwarantannie, nigdy do mnie sanepid nie pisał, a też dostałam takiego SMS.

    • Nie zrozumiałaś przekazu,
      W wypadku gdy dostałaś kiedyś smsa o kwarantannie od nadawcy “Kwarantanna” tak jak ja, to będzie to kolejny sms wyświetlający się pod smsami urzędowymi w tym samym wątku, jak by był od tego samego nadawcy Jeżeli jest to twój pierwszy sms od nadawcy “Kwarantanna” to siłą rzeczy nie ma pod czym się wyświetlać.

  14. Jak zwykle nic nie dostałem. Jak to możliwe że ani jednego SMS ze scamem nie dostałem

  15. @Kemotes
    …a skąd wiedzą, że piszą do Pan/Pani mając Twoje dokumenty? :D

  16. Bardzo skoordynowany atak i ogromny zasięg w tym samym czasie.
    Robi wrażenie!
    Pytanie kto za tym stoi? Ukraina, Rosja? Służby?

  17. Jaki jest skutek kliknięcia na linki i jak sprawdzić czy telefon został zainfekowany ?
    Nieopatrznie kliknąłem na link, ale żadna strona się nie otworzyła, Eset antywirus też nie sygnalizuje infekcji. Da się sprawdzić czy telefon został zainfekowany ? Czy profilaktycznie przywrócić telefon do ustawień fabrycznych ?

    • Też weszłam w link, otworzyła mi się strona która chciała żebym zaktualizowała flasha, czego nie zrobiłam, bo wyglądało mi to mega podejrzanie, ale czy aby na pewno samo wejście w linka nic nie zrobi??

    • Ciekawa jestem jak u Was bo też kliknęłam odruchowo link (nie instalowałam nic ze strony), tym bardziej, że wcześniej miałam smsy od nadawcy pod nazwą kwarantanna :/ Odinstalowałam zaraz aplikację bankową ale muszę ją z powrotem zainstalować. Tylko zastanawiam się czy już jest bezpiecznie… Eset przeskanował mój telefon od tamtego czasu już ze 20 razy…

  18. Kowalskie oczywiscie czytaja takiego SMSa z ugietymi kolanami w pokornej postawie, bo przeciez od ponad roku sa urabiani w strachu, karnosci i bezmyslnosci. Musze przyznac, ze swietny pomysl ktos mial. To znacznie lepsze od “na ZUS” czy “na paczke”. Dooobre!

    • @p0k3m0n

      No bo tak działa przyzwyczajanie ludzi przez takie czy inne władze (dla wygody tychże), że nie wolno powiedzieć “nie”, że na wszystko trzeba się zgadzać. Potem wystarczy się podszyć.

  19. no dobra, ale jak ta szkodliwa aplikacja dobiera się do mojego konta ? jest w stanie sobie otworzyć dowolną apkę bankową ??

    • Dokładanie nad tym samym się zastanawiam. Skąd wiadomo, że aplikacja dobiera się do banku i jak to robi? Też dostałem wczoraj takiego sms-a, ale swój wywiad zakończyłem na ustaleniu, że atakujący zachęca do pobrania pliku APK :)

    • Podmienia apkę banku/logowania na tą która przejmuje dostęp do konta

  20. Mam linuxa, jestem bezpieczny?

  21. Więcej aplikacji bankowych, przecież to takie wygodne.
    Nawet mi was nie żal.

    • 100% poparcia.

  22. zobaczcie jakie ważne jest zablokowanie możliwości instalacji aplikacji z poza sklepu play. Czasem coś zainstaluję rodzeństwu z poza sklepu i jak nie pamiętam zeby przywrócić blokadę może być klops

  23. Nowe oblicze ataku hybrydowego. Biorąc pod uwagę dzisiejsze doniesienia o rozmieszczeniu przez Łukaszenkę wojsk specjalnych wyposażonych w broń snajperską przy naszej granicy, może to być dodatkowy element siania zamętu w naszym kraju. Nie będzie chyba lepszej sposobności żeby przymusić operatorów telefonii komórkowej do pro-aktywnego działania i weryfikacji masowych wysyłek noszących znamiona przestępstwa.

    • Tez uwazam, ze stoi za tym Lukaszenka. Mowil mi o tym Lenin.

    • @Tango

      Przypomina mi to, jak moja ciocia bała się “cyganów” (tak nazywała), a kury jej ukradła sąsiadka.

  24. Dzisiaj w telewizji Piotr udzielał smutnych odpowiedzi na smutne pytania i smutna konkluzja była taka, że jedyną skuteczną obroną przed takim atakiem jest wymiana androjda na ajtelephona :-)

  25. Wczoraj coś takiego dostałem i już miałem nadzieję na 10 dni wolnego ;) tylko link wydał się podejrzany. Dostał też kolega i do kierownika już chciał dzwonić. Wykorzystują to, że media trąbią o wzrostach liczby chorych i 4 fali.

  26. Naprawdę, zachęcają do zainstalowania rzekomego Flasha? To już mogli wybrać coś bardziej wiarygodnego… Przecież Flasha już od początku tego roku nie ma, i pisały o tym media nawet zupełnie niezwiązane z informatyką, więc jest to raczej powszechna wiedza…

    • Powszechna wiedza ? Smutny żart.

  27. “Dawno nie widzieliśmy takiej skali ataku. W dodatku, SMS-y mają nadpis “Kwarantanna“, a to powoduje, że pojawiają się pod prawdziwymi SMS-ami, o ile wcześniej odbiorca otrzymał je z Sanepidu bo był skierowany na kwarantannę. To podnosi wiarygodność ataku, bo mało kto wie, że SMS-y każdy może wysłać z każdego numeru (lub nazwy).”

    I to jest takzwana granda, bo panstwo wykorzystujace taka forme komunikacji wraz z operatorem telekomunikacyjnym umozliwiaja nic innego jak najzwyklejsze F-A-Ł-S-Z-E-R-S-T-W-O…

  28. Link we wiadomości jakiś z dupy wzięty. Śmierdzi na kilometr. Też to dostałem i od razu, bez czytania wiadomość potraktowana lotem koszącym (do kosza). Oryginalna wiadomość o kwarantannie wygląda nieco inaczej.

    • Przecierz to skrot. Teraz jest na nie boom i naprawde czesto laduja w oficjalnej komunikacji za sprawa szpanerstwa polaczonego z absolutnym imbecy*mem – dlaczego?

      1. Tresc wiadomosci nie weryfikuje prawdziwosci od czasow wymyslenia klamstwa
      2. Po skrocie nie ma mozliwosci sie zorientowac po to tylko platforma i losowy ciag znakow, ktory moze byc taki sam w czesci nielosowej i dla polskiego rzadu i dla pierwszego lepszego bandyty. Nawet wiecej, mozliwe jest ze link ktory w styczniu sciagal zalacznik z gov.pl w czerwcu sciaga juz plik schakój-mnie-prosie.eXe… (zalezy od dostawcy)
      3. Oczywiscie po nadawcy tez zorientowac sie nie mozemy
      4. Kwarantanna nie oferuje bota potwierdzajacego (w sensie reply -> “tak, replied on YYYY.MM.DD hh:mm:ss byl od nas”)

      No i du*, bo co pozostaje poza beszczelnym ignorowaniem prawa? Dla nieoznakowanych policjantow na jakims odludziu tez mam sie zatrzymywac do rutynowej kontroli?

    • Misiu, skróty w SMS będąużywane, bo wlaśnie są skrótami, a SMS ma tylko 160 znaków ze spacjami.
      OK, niech powstanie jakiś rządowy skracacz.

    • Sm’s sms’em, limit 160 znakow da sie omijac, a nawet jesli nie “skrót” jest niczym wiecej jak ominieciem problemu orginalnie dlugaśnego linka, sugerowanie przez ciebie usprawiedliwienie jedyne co zrobi to przenosi wine jeden poziom wyzej – nie ma powodu dla ktorego orginalny adres nie moze byc krotszy, ba ze wzgledu na to ze strony oferujace skróty to wielkie agregaty (duzo zawartosci do rozroznienia = dluzsze linki) siedzace na jednej do kilku domen, orginalny adres moze byc nawet krotszy…

      Swoja droga, przestepcy bez problemu notorycznie i na wielu poziomach technologicznie przepychaja “slonia przez dziurke od klucza” a jak rzad/dostawcy maja cos zrobic to nagle jest problem “zaadresowac wiecej niz 64KB”? przeciez to na kilometr smierdzi niekompetencja czy celowa zlą wolą… (nawet nie trzeba daleko szukac motywu, przestepcy skuteczniej naciagaja ludzi – czyli kupuja pakiety operatora – czyli operator moze je zaoferowac rzadowi taniej – i przestepcy skuteczniej naciagaja ludzi “wszyscy wygrywaja”)

    • @Kris

      Nie powinno być ani skrótów ani pełnych linków w smsach od instytucji. I tyle.

  29. Kolejny przykład, że edukacja o cyber zagrożeniach powinna wejść do nieco szerszej publiczności. Nie tylko na stronach internetowych jak niebezpiecznik, ale też w tv, radio etc.

  30. Przecież potwierdzenie skierowania na kwarantannę można zobaczyć na koncie pacjenta (.gov).
    I róbcie tak. Nie klikajcie bezsensownie. Zgodnie z przesłaniem – nie pierd….ić bez sensu …

    • “Przecież potwierdzenie skierowania na kwarantannę można zobaczyć na koncie pacjenta (.gov).”

      Tego ucza w szkole, bylo zawarte w wiadomosci oszustow czy regularnych brodcastach z “kwarantanny”? Brak informacji ze cos jest dostepne oznacza brak dostepnosci, inaczej wszyscy wygrywaliby w totka wpisujac po prostu prawidlowe numery…

      Pomijajac juz to, ze nie kazdy ma dostep do konta pacjenta (a ono same idealem nie jest).

  31. W lipcu – czyli całkiem niedawno padła Nasza klasa (I bardzo dobrze)
    Pewnie jakieś ciule wykupiły albo przechwyciły ich bazę danych no i masz
    leci kolejna fala syfu czy to na maile czy na SMS-y

    A nasi kochani operatorzy d**y nawet nie ruszą żeby coś z tym zrobić

  32. Szkoda tylko, że oryginalny SMS zawiera w sobie kłamstwo. Nie ma czegoś takiego jak ustawowy obowiązek pobrania aplikacji.

    • Dokladnie. Za kazdym razem kiedy “zaufany autorytet” kreatywnie naciaga rzeczywistosc, wykrycie prawdziwych oszustw staje sie trudniejsze. Wyobraz sobie, ze mennica panstwowa (?) w ramach oszczednosci zabezpiecza tylko 75% banknotow – powodzenia w identyfikowaniu falszywek…

  33. “To podnosi wiarygodność ataku, bo mało kto wie, że SMS-y każdy może wysłać z każdego numeru (lub nazwy)”

    Drogi autorze – a niby w jaki sposób? To co pisaliście o bramkach SMS 12 lat temu (!!!) dawno powinniście zdjąć z serwisu, bo bardziej nieaktualnych informacji dawno nie widziałem.

    Cały ten artykuł wygląda bardzo nieprofesjonalnie. Jest jak lead generator pod rabatowe kody do aplikacji z Waszego poradnika. Straszycie niczego nie tłumacząc i namawiacie, by ludzie zainstalowali Wasze aplikacje z poradnika. Dawno mnie tu nie było, ale kiedyś rozpracowywaliście tematy dokładnie czym zdobyliście mój szacunek. Dziś – nie podajecie żadnych informacji ani o tym w jaki sposób można się niby podszyć pod dowolnego nadawcę, ani o tym jak zainstalowanie jednej złośliwej apki powoduje automatyczne wyczyszczenie rachunków bankowych. Swoją drogą – ciekawy jestem co na to koledzy od bezpieczeństwa z sektora bankowego.

    • Działa to dokładnie tak samo jak 12 lat temu. Czy swoim komentarzem próbujesz wyciągnąć nazwy bramek bo sam nie potrafisz ich znaleźć? :) Nie podajemy ich celowo. Kto chce to znajdzie. Nie jest to trudne. A to jak działają bankery na smartfonach też zostało już wielokrotnie opisane i nie ma sensu tego powtarzać w każdym artykule który pełni rolę szybkiego ostrzeżenia a nie dogłębnej analizy ataku (te zostawiamy na mniej wtórne incydenty). Jeśli i to przegapiłeś to chyba musisz zacząć czytać regularniej :)

    • @Piotr Konieczny
      Co bylo by fajnym pomyslem, gdyby jakis bot po stronie serwisu przejrzal logi komentarzy, wyszukal takie pochodzace z tego samego zrodla (najlatwiej po IP) i jakos je oznaczyl (np. dodal pierwszy uzyty nick w nawiasie).
      Bo niektore komentarze wydaja sie pisane bardzo podobnym stylem a ich zawartosc polaczona tworzy pewna “agende” ktora nie przeszla by nigdy w pojedynczym poscie a w takich fragmentach.

      Przykladowa Analogia:
      Post 1: Wlamywacze to zlo absolutne, nie powinno sie ich rehabilitowac, a firmy w ktorych czesto sie zatrudniaja, produkujace bezpieczne zamki antywlamaniowe powinno sie pozamykac.
      Post 2: A moim zdaniem wlamywaczy powinno sie karac co najwyzej mandatami i to tylko tych zlapanych na goraczym uczynku bo po co obciazac sady i wydawac kase jesli chodzi o to zeby jej nie tracic.
      Agenda: Wlamywacze dbajacy o rozwoj wlasnej branzy…

  34. Jaki jest mechanizm działania aplikacji? Czy osoba, która nie ma zainstalowanej aplikacji banku i nigdy nie loguje się do banku ze smartfona może czuć się bezpiecznie?

  35. DNS_PROBE_POSSIBLE

  36. Wysłałem Niebezpiecznikowi.pl info o tym ataku. Gdzieś tak chyba na początku tej historii. Otrzymałem ciekawą odpowiedź od… bota! Nawet spinało się to w logiczną całość!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: