21:23
26/11/2018

Wczoraj opisywaliśmy złośliwe SMS-y z numeru “OPERATOR” proszące o dopłatę 1 PLN. Dziś przestępcy postanowili zrobić kolejny postęp i w ich działaniach w końcu widać pewną świeżość i innowację. Tym razem podszywają się pod Profil Zaufany i informują, że “przyjęto zlecenie pożyczki pieniężnej w kwocie 20.000 PLN” które zostanie wypłacone w ciągu 60 minut. Ale oczywiście można je anulować, wystarczy tylko…

Profil Zaufany – Twoje zlecenie pozyczki pienieznej w kwocie 20.000 PLN zostało, pieniadze zostana wyplacone w ciagu 60 minut. Mozliwosc anulowania zlecenia przez internet https://profilzaufany[.]online/profil/

Ci którzy o pieniądze przez ProfilZaufany nie wnioskowali (czyli wszyscy odbiorcy tego SMS-a) pewnie mogą się poczuć nieswojo. I być może część z nich będzie chciała w pośpiechu pożyczkę anulować i kliknie w link z wiadomości. A pod linkiem wtedy ujrzy:

Nie jest to fałszywy panel Dotpay’a czy PayU, ale zasada jest ta sama… Co prawda logowanie przez “podpis kwalifikowany” nie działa i prowadzi pod taki link:

https://profilzaufany.online/profil/dt/login/login

to jak się domyślacie — z logowaniem przez banki nie ma żadnego problemu! Fałszywa strona logowania do PKO wygląda tak:

hxxps://profilzaufany[.]online/pko/?tid=ggoXfEeepgzHjlwQMhTAfEVV11K1uwT1
&gat=NES6hGkWD5CQhEz7
&highlo=i4mCE1SgejuGxCwnY3fWMRb9BWR8VjhpfC6M149142atJCTJ
&crypt=A49fhnOjmRWSkCWqnjrBhtQGfqGS6V5eJPuSAVZMJuR3wmfwcWywkQCB5y3mYObm
&tax=jNK0vks8gwh32cGmBFyTyGxBw23E8kufgef7yTOCyrklTBlg6v22IbJWtqt70hnaDHY7pYyx
&997582=1

Przestępcy w ten sposób wyłudzają login i hasło, a następnie kod z przesłanego przez bank SMS-a, dzięki któremu — jak się domyślamy — ustawiają na koncie ofiary “zaufanego odbiorcę” i …żegnaj gotówko.

Odważny trzeba przyznać to scam, zwłaszcza w kraju w którym mało kto wie czym jest Profil Zaufany… Ale może to jakaś wąska kampania, która wymierzona jest w ściśle zdefiniowaną grupę klientów? Nam informację o takim SMS-ie podesłał tylko jeden Czytelnik (póki co). Czy ktoś jeszcze dostał tę wiadomość “na Profil Zaufany”?


Ten atak z fałszywym SMS-em to tylko jeden z przykładów z oszustw w internecie, jakimi przestępcy obecnie nękają Polaków. Niestety inne “scamy” są bardziej wiarygodne i zbierają niemałe żniwo. Polacy tracą przez nie tysiące złotych. O wszystkich aktualnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?“, który niebawem odbędzie się w:

Serdecznie na niego zapraszamy, bo to jedyna okazja aby dostać całą potrzebną osobie korzystającej z internetu wiedzę za jednym razem, “w pigułce”. Lepiej wpaść do nas na wykład, niż wpaść w sidła cyberprzestępców.

Jeśli chcielibyście poznać opinie uczestników poprzednich edycji tego wykładu i poznać szczegółową agendę, to kliknijcie tutaj. Wejściówka na wykład świetnie nadaje się na prezent pod choinkę dla bliskich!

Dzisiaj lata też INPOST

Dziś Polacy otrzymują też fałszywe SMS-y z Inpostu z “dopłatą na 1 PLN” (to już kolejna fala). Wiadomość wygląda tak:

Wysylka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza anulowanie zamowienia. http://in3post[.]tk/b6s5avv/1

Pod adresem znajduje się fałszywy panel DotPay:

Dostaje SMS-y z linkami — co robić, jak żyć?

Pamiętaj, że nadawcę SMS-a można ustawić na dowolny napis lub numer. Tak spreparowane SMS-y zawątkują Ci się z poprzednimi od tego samego nadawcy (inPostu, Biedronki, Banku, DHL etc.). Dlatego najlepiej nie ufaj żadnym wiadomościom SMS a tym bardziej nie klikaj w linki, jakie się tam pojawiają.

Na stronę banku, operatora GSM, zakładu energetycznego czy profilu zaufanego zawsze wchodź samodzielnie wpisując adres serwisu. A jeśli adresu nie pamiętasz to znajdź go przez Google. Nigdy nie ufaj linkom w SMS-ach, niezależnie od tego od kogo pochodzą. W razie wątpliwości dzwoń do danej instytucji na infolinię.

Nie daj się wyprowadzić “szokującą treścią”. Przestępcy od lat albo starają się treścią fałszywych SMS-ów wzbudzić strach (por. Usługa Maluch została aktywowana) albo wziąć ofiarę na litość (por. Gapowata Ania pisze, że jej dziecko wpisało zły numer telefonu)

IoC

profilzaufany.online has address 104.24.119.207
profilzaufany.online has address 104.24.118.207
profilzaufany.online has IPv6 address 2606:4700:30::6818:76cf
profilzaufany.online has IPv6 address 2606:4700:30::6818:77cf
Creation Date: 2018-11-20T19:18:30.0Z
Name Server: STAN.NS.CLOUDFLARE.COM
Name Server: SARA.NS.CLOUDFLARE.COM
Pierwsza zanotowana aktywność domeny: 24 listopada

in3post.tk has address 213.252.244.208
208.244.252.213.in-addr.arpa domain name pointer 6624-13312.bacloud.info
Pierwsza zanotowana aktywność domeny: 19 listopada

Dziękujemy Wojtkowi i Konradowi za przesłanie informacji o obu atakach. Dzięki takim osobom jak Wy, reszta Polaków może się czuć bezpieczniej. A przestępcy częściej muszą kupować nowe domeny i serwery ;)

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Odnośnie profilu zaufanego – w ostatnim czasie sporo osób wyrabia profil zaufany w związku z wejściem w życie elektronicznych zwolnień lekarskich.

    Profil zaufany niezbędny jest zarówno dla lekarzy jak i asystentów medycznych, którzy to mają być upoważnieni przez lekarzy do wprowadzania zwolnienia do zusowskiego systemu.
    Sprawa dotyczy głównie lekarzy, którzy są w podeszłym wieku i obsługa komputera to dla nich zło konieczne więc chcą aby zwolnienia pisał asystent.
    A ze świadomością w kwestiach bezpieczeństwa w tej grupie jest słabiutko.

    • Dodatkowo od 1.2019 nie bedzie mozna wysylac plikow JPK bez certyfikatu albo profilu zaufanego (do konca 2018 mozna je podpisac “danymi autoryzujacymi” tj. nip, kwota przychodu za 2016 bodajze itp). Tak wiec kazda osoba prowadzaca dzialalnosc gospodarcza bedzie musiala posiadac profil zaufany (chyba ze wykopi sobie certyfikat kwalifikowany, co ze wzgledu na koszty bedzie pewnie znacznie rzadsze)

  2. Porada by szukać adresu w google też nie do końca trafiona, bo już było kilka przypadków gdzie przestępcy kupowali reklamy w adwords by być na 1 miejscu i podstawić fejkową stronę.

    • Zdarza się to, ale jednak bardzo rzadko. Dla pewności możesz szukać w 3 różnych wyszukiwarkach, albo nauczyć się odróżniać reklamy w twojej ulubionej wyszukiwarce ;)

  3. Z PKO to nie przejdzie, przy logowaniu zawsze pojawia się jeszcze obrazek, który trzeba wybrać przy zakładaniu konta. Chociaż pewnie jakieś gapy to oleją i wpiszą hasło. :/

    • I co ten obrazek zmienia w ataku Man in the Middle? Jak podasz login na fałszywej stronie to jest on wprowadzany na prawdziwej, gdzie przestępca widzi obrazek i go kopiuje na fałszywą stronę, gdzie ty go widzisz przed podaniem hasła.

    • Nie wiem jak to jest w PKO ale Wacek chyba jesteś w błędzie – przestepca widzi zbiór losowych obrazków + jeden wybrany i musi podać własciwy. Choć oczywiście może przesłać je wszystkie na lewą stronę – no wtedy juz Twój scenariusz ma rację bytu, ale musi to mieć zautomatyzowane a wystarczy, że np kod wyświetlający obrazki się będzie zmieniał i automatyzacje może szlag trafić.
      Inna rzecz że im wiecej utrudnień które przestępca musi skopiować tym bardziej wiarygodna staje się lewa strona…

  4. Tak trochę nie do końca na powyższy temat ale jest pakiet 25 ebooków za 13,21 EUR, które można kupić przez około 2 tygodnie na Humble Book Bundle, redakcja może oceni tytuły :)

    https://www.humblebundle.com/books/cybersecurity-packt-books

  5. Jakim cudem oni wysyłają smsy z nazwą nadawcy InPost. Przecież trzeba zarejestrować coś takiego u operatorów…

    • http://sms-api.pl/dokumentacja_sms_api.php
      Tu macie przykładowe API do integracji z aplikacjami. Nadawcę ustawia się po prostu arbitralnie po stronie API.

    • Kupujesz pakiet w dowolnej bramce sms za 20 zł i w polu nadawcy możesz sobie wpisać Andrzej Duda…

  6. Dziwi mnie brak mBanku na fałszywej stronie logowania do profilu zaufanego. To duży bank, i prawdopodobnie duża część użytkowników Profilu Zaufanego korzysta właśnie z niego do logowania.

    O tyle dobre to oszustwo że kod SMS przy profilu zaufanym jest wręcz oczekiwany. Po zalogowaniu można wyświetlić prośbę o podpisanie wiadomości (w celu anulowania wypłaty pożyczki), a po wybraniu opcji podpisz wysłać kod SMS w celu dodania zaufanego odbiorcy.

    • Brakuje mBanku i nie tylko, a jest np. BPS, którego nie ma na prawdziwej stronie logowania.

  7. Za chwilę pewnie poleci coś w imieniu nazwa.pl i letsencrypt. Nazwa weszła w jakąś współpracę z letsencrypt i wydaje mi się, że ktoś może to wykorzystać.

  8. […] pierwszy o sprawie poinformował serwis Niebezpiecznik.pl. Wyłudzenia pieniędzy za pomocą SMS-ów od osób podszywających się pod operatorów lub […]

  9. “hxxps://profilzaufany[.]online/pko/?tid=ggoXfEeepgzHjlwQMhTAfEVV11K1uwT1…”

    hxxps? I dlaczego kropki w urlach piszecie w nawiasach kwadratowych?

    • Pseudoprotokoły hxxp/hxxps to luźna propozycja IETF do oznaczania szkodliwych linków, których powinno się nie kliknąć przypadkiem :)

    • Żebyś przypadkowo nie kliknął.
      I żeby roboty sieciowe nie znalazły URLa.
      Czuwaj.

  10. W kwestii formalnej: kto na koncie bankowym ma GOTÓWKĘ?

  11. Ale polskich znaków to by się mogli nauczyć używać..

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.