17:12
31/8/2020

Z racji koronawirusa coraz więcej osób kupuje w internecie, a to oznacza, że prawie każdy z Was czeka teraz na jakąś paczkę. Polacy chętnie wybierają wygodną dostawę przez paczkomaty (widzimy to w statystykach naszego sklepu internetowego z niebezpiecznikowymi gadżetami). Przestępcy wysyłają więc na ślepo SMS-y o takiej treści jak poniżej i liczą na to, że odbiorcy pomyślą, iż komunikat dotyczy właśnie TEJ przesyłki na którą właśnie TERAZ czekają:


Tym razem nadpis (czyli nadawca SMS-a) nie jest podrobiony idealnie, ale może być. Jeśli ofiara kliknie na link (hxxps://lnpost.kody-odbioru.com/pobierz/ — zauważyliście “l” użyte jako “I”?), zobaczy:

PL8372PAK
InPost: Przesyłka została dostarczona do paczkomatu. Kod odbioru wygenerujesz przez aplikację: [LINK]

Linki kierują pod fałszywą stronę sklepu Google (hxxps://lnpost.kody-odbioru.com/play.google/):

Stąd pobrać można nie aplikację “InPost Mobile” do zdalnego otwierania Paczkomatu, a złośliwe oprogramowanie. Po jego zainstalowaniu na telefonie z Androidem, aplikacja będzie m.in. wykradać dane dostępowe do internetowego konta w banku ofiary, a także SMS-y wysyłane przez bank do ofiary (te z kodami autoryzującymi transakcję).

Dzięki temu, przestępcy będą mieli wszystko aby okraść internetowy rachunek bankowy ofiary z wszystkich oszczędności.

Ten atak oczywiście nie dotyczy użytkowników iPhonów, ponieważ Ci ze względu na ograniczenia systemu operacyjnego, nie mogą (tak łatwo) zainstalować aplikacji spoza sklepu Apple.

Ile zarabiają przestępcy stojący za tym atakiem?

Dużo. Czy ten atak działa? Tak, działa. Oczywiście nie każdy się nabierze, ale nawet 1% ofiar to spory zarobek dla internetowych złodziejów. Patrząc na zgłoszenia osób, które dokładnie tym atakiem oberwały w ostatnich dniach, przestępcy średnio na ofierze zyskują od kilkunastu do kilkudziesięciu tysięcy złotych.

Analizujemy obecnie kilka przypadków takich kradzieży i być może niebawem opiszemy je w szczegółach. Jeśli i Tobie ukradziono pieniądze z konta internetowego w banku, daj znam znać pisząc na redakcja@niebezpiecznik.pl

Co robić, jak żyć?

Aby utrudnić przeprowadzenie tego ataku przestępcom na sobie lub swoich bliskich:

  • ustaw smartfona tak, aby instalacja aplikacji spoza sklepu Google Play nie była możliwa… lub (wariant prostszy) kup swoim mniej technicznym członkom rodziny iPhona
  • zadbaj o to by do obsługi swojego internetowego rachunku korzystać z aplikacji mobilnej Twojego banku i jednorazowe kody otrzymywać w formie powiadomień, a nie SMS-ów (te są łatwiejsze do przejęcia przez złośliwą aplikację).
W taki sposób jeden z naszych klientów zapowiadał nasz wykład dla pracowników, którzy podczas swoich obowiązków korzystają ze smartfonów.

Dziś na smartfonie trzymamy wiele informacji, dlatego warto go bezpiecznie skonfigurować, a niestety wiele osób tego nie robi, co ułatwia pracę internetowym złodziejom. Jak zabezpieczyć smartfona? Tego możesz dowiedzieć się oglądając nagranie naszego wykładu pełnego praktycznych porad i informacji o dodatkowych aplikacjach które warto zainstalować na swoim smartfonie aby podnieść swoje bezpieczeństwo i prywatność danych, które na nim przetwarzamy. Wykład trwa ok. 2h i prowadzony jest przystępnym językiem. Jasno wskazuje, co i gdzie warto ustawić i dlaczego. Na kod “INPOST”, do końca dnia udzielamy 35 PLN rabatu.

Patrząc na liczbę doniesień dotyczącą tej kampanii, zostałą ona wysłana do dużej liczby Polaków. Dlatego ostrzeż swoich znajomych, wysyłając im linka do tego artykułu, zanim będzie za późno…


Aktualizacja 17.09.2020, 23:23
Dziś ~godzinę temu ruszyła ponowna kampania. Zaobserwowaliśmy następujące URL-e:

https://inpost-kody[.]net/pobierz/
https://inpost-generator[.]net/pobierz/
https://inpost[.]dev/pobierz/
https://inpost-paczkomat[.]net/pobierz

Przeczytaj także:



54 komentarzy

Dodaj komentarz
  1. Właśnie wszedłem tutaj żeby was o tym ataku poinformaować, ale widzę, że właśnie napisaliście. Good job!

  2. Mam numer którego nigdzie nie używam tylko na olx i właśnie na ten numer dostałem dziś SMS.

    • O nie! Olx sprzedał Twój numer!!!!11
      Gdyby nie Olx, nikt nie dowiedziałby się, że ten numer istnieje!
      Ale mam gorszą wiadomość… Twój PIN do karty też już jest opublikowany…

  3. Przestępcy niestety nie śpią… Szkoda, że swojej energii i umiejętności nie wykorzystują, żeby zrobić coś dobrego dla innych. Ech, na szczęście inpost to jedna z tych firm, które same szybko reagują i od razu informują o scamach. Mam nadzieję, że oszuści kiedyś się od nich odczepią – mnie w każdym razie nie zraża to do korzystania dalej z paczkomatów, dla mnie to wciąż najwygodniejszy sposób odbioru i nadania przesyłki.

    • Uwaga – to mógł napisać PR-owiec Inpostu. Z całym szacunkiem dla zacnej firmy pana Brzoski.

  4. A ja się zastanawiam jakim cudem te pieniądze znikają? Nawet jeśli mają dostęp do kont bankowych to trzeba zrobić przelew. Nawet jeśli posiadają konta bankowe w rajach podatkowych czy innej dżungli to dalej muszą te konta na kogoś rejestrować. Nawet jeśli jest to dluga droga przelewów to banki powinny bez problemu pomoc w jej ustaleniu. Chyba ze wszystko ląduje na krypto to trop sie urywa…

    • Możliwości jest dużo – krypto, paysafecard, doładowania na konsole, które potem można opchnąć kilka zł taniej, szybka wypłata w bankomacie z konta na słupa…

    • @Tiss – w pewnym momencie pieniądze zostają wypłacone w bankomacie. Gotówka jest już nie do wyśledzenia i to jest ten moment, kiedy pieniądze “znikają” i bank tu już nie pomoże. A do wypłacenia używane są konta zakładane na “słupy” (proceder opisywany wielokrotnie, np. podczas fałszywej rekrutacji proszą Cię o przesłanie “kontrolnego” przelewu 1 zł na wskazane konto gdzie tak naprawdę aktywujesz konto na swoje dane, do którego dostęp mają przestępcy, i stajesz się “słupem”).
      Z kolei kryptowaluty nie są tak anonimowe jak powszechnie się myśli – każda transakcja w obrębie kryptowaluty jest rejestrowana i możliwa do prześledzenia. Oczywiście istnieją mechanizmy utrudniające takie śledzenie (tzw. cryptocurrency tumbler).
      Mam nadzieję, że wyjaśniłem.

    • Pieniądze lądują na kontach “słupów”, werbowanych pod pozorem pracy polegającej na “testowaniu bankowości elektronicznej”. Słupy wypłacają kasę i przelewają dalej metodami nie dającymi się tak łatwo śledzić (np. przekaz pocztowy, Western Union czy coś), albo od razu kupują BT. Było o tym wielokrotnie i tu, i na z3s.

      Słupy oczywiście wpadają dość szybko, ale co z tego, skoro kasy już nie ma.

    • łapią jakiegoś słupa, niby testowanie usług bankowych, niby testowe przelewy na testowe konta itp

  5. Ten atak trwa już przynajmniej od 24 lipca – z tego dnia mam pierwszego SMSa. 3 sierpnia dostałem kolejny i od tego czasu już cisza…

  6. Na tzw. “Słupy” zakładają konta

  7. […] Więcej szczegółów na ten temat znajdziesz na stronie niebezpiecznik.pl […]

  8. I na prawdę nie da się z tym niczego zrobić? W jakiś sposób namierzyć kto to robi?

  9. Zgłosiłem mój przypadek do Plusa, i otrzymałem taką odpowiedź:

    Szanowny Panie,

    dziękuję za przesłaną wiadomość.

    Chciałabym poinformować, że wspomniany SMS jest z przesyłek (paczek) InPost.

    W przedmiotowej sprawie proszę się kontaktować z InPost.

    Z poważaniem
    M..a K……k (ukrywam imię i nazwisko, żeby nie robić kłopotów)
    Zespół Obsługi Korespondencji Elektronicznej

    Co za niekompetencja w Polkomtelu.

  10. Rozwiązanie: kup wszystkim ajfona…
    Serio?

  11. co zrobić jeśli ktoś dał sie na brać i niestety kliknął w link???

  12. Wystarczy, że taki słup (niekoniecznie świadom swojej roli – wspomniane wyżej przelewu testowe) wypłaci pieniądze w bankomacie i wpłatomatem wpłaci na inne – już nie ma ciągłości. A jak policja dotrze do słupa, to on się będzie tłumaczył, że o niczym nie wie, że on tylko wykonuje swoją pracę.

    • Jeżeli słup skorzysta z wpłatomatu to tylko po to aby przelać środki do kolejnego słupa.
      Aby urwał się ślad to przestępcy korzystają z pośredników do przesyłania gotówki typu WesternUnion.

  13. Tak się zastanawiam po co przestępcy zrobili lnpost.kody-odbioru.com przez małe “L”, przecież tutaj zarządzając domeną kody-odbioru.com mogli założyć cokolwiek, a w szczególności normalny “inpost.kody-odbioru.com”. LNPOST’u bym się raczej spodziewał w adresie typu “kody-odbioru.lnpost.pl”, chyba, że inpost przezornie zarejestrował też domenę lnpost, mogliby o tym pomyśleć.
    Pozdro!
    JD

  14. @czaryone
    Możesz kupić używanego. Dla tych opornych na wiedzę jest to jakieś rozwiązanie. Poza tym nawet z aplikacji bankowej na Androidzie można podejrzeć co się dzieje gdy telefon zostanie przejety. W ajfonie jest to trudniejsze.

  15. Mnie śmieszy sytuacja, gdzie niby poważne firmy (np. Epic) zachęcają do instalacji oprogramowania pobranego jako apk przez ich stronę. Że do tej pory nikt nie wykorzystał fakt Fortnite do zarażania smartfonów.

  16. Szczerze, ciężko mi trochę uwierzyć, że ktoś mógłby się na to nabrać, podczas gdy IP trąbi od długiego czasu, że nie wysyłają tego typu sms-ów nigdy.

  17. Dziwne, byłem przekonany że Android domyślnie ma wyłączoną możliwość instalowania aplikacji spoza sklepu Play i trzeba ją explicite włączyć w ustawieniach.

    • Kiedyś trzeba było samemu grzebać w ustawieniach. Niestety w nowszych wersjach Androida niepotrzebnie ułatwili sprawę i wystarczy tylko kliknąć kilka razy. Chociaż tam na tych ekranach jest wszystko jasno napisane jakim jest to obarczone ryzykiem. Niestety ludzie przeważnie tego nie czytają.

    • A czy od samego kliknięcia w link bez robienia czegokolwiek na stronie może coś się stać na Androidzie?

  18. Mam nadzieję, że nikt się na to nie nabierze, bo naprawdę żenująca próba oszukiwania ludzi.. masakra

  19. Dobrze wiedzieć, kiedyś były podobne maila z poczty polskiej z oprogramowaniem szyfrującym wszystkie pliki na dysku :|

  20. No a nie jest to czasem tak, że wykonywanie transakcji bankowej ORAZ odbieranie kodu potwierdzenia, nie ważne w jaki sposób, na TYM SAMYM urządzeniu jest po prostu z definicji immanentnie niebezpieczne?

    Wydaje mi się to dość oczywiste, że przejęcie kontroli nad tym urządzeniem daje pełne możliwości wykonywania lewych transakcji. Czy nie na tym właśnie bazowało założenie bezpieczeństwa transakcji on-line: jednym fizycznym kanałem idzie zlecenie, drugim potwierdzenie? Przejęcie kontroli nad oboma kanałami jest chyba znacznie trudniejsze, prawda?

    Pozdrawiam,
    Tomasz

    • Zgadza się. Ale tutaj chodzi tylko o możliwość przejęcia treści SMS do czego zwykła aplikacja potrzebuje jedynie zezwolenia użytkownika. Nikt nie mówi o tym, że wymagana była jeszcze instalacja aplikacji banku. A przejęcie transmisji danych z aplikacji do banku to już wyższa szkoła jazdy.

  21. Też dostałam tego smsa, ale zignorowałam go oczywiście, nie wyglądało to w ogóle wiarygodnie, ja nie wiem jak się ludzie na to biorą

  22. @Tomasz Masz w pełni rację, ale telekomy zainwestowały miliardy zielonych w 4G, 5G i niebawem w 6G i trzeba powoli użależniać ludzi o internetu mobilnego, bo to przecież przyszłość ludzkości, a nie jakieś tam papierowe hasła jednorazowe, tokeny czy klucze sprzętowe. Papier jest passe!

  23. Najprostszy sposób to nie używać smartfona do płacenia i operacji bankowych.
    Obecne reklamy są strasznie wkurzające – jedno “miźnięcie” palcem i pożyczka czy też kredyt wzięty.

  24. “…aplikacja będzie m.in. wykradać dane dostępowe do internetowego konta w banku ofiary”
    Czy może ktoś wyjaśnić jak aplikacja wykradnie dane dostępowe do konta? Z dostępu przez www (co oczywiste) czy też przez aplikację banku (np logowanie daną biometryczna)? Czy wykradnie dostępu przez aplikację jest wogole możliwe?

  25. Akurat dostępne programy jako apk to nie jest zła rzecz. Dobrze by było, gdyby firmy i dostawcy różnych “publicznych” usług dla obywateli też mieli takie na swoich stronach… Wiem, że Play kiedyś coś miał, teraz chyba już nie… Nie wszyscy lubią być wpychani w nieetyczny monopol.

  26. Chyba większość osób ma ustawione, żeby nie pobierać innych aplikacji niż te bezpośredni ze sklepu Google Play, a jak nie ma, to mieć powinno, zwłaszcza osoby młode i starsze, bo to głównie one są narażone na taki atak, trzeźwo myśląca osoba raczej się nie da zrobić w bambuko zwłaszcza zważając na to jak często InPost i jego klienci padali ofiarą tego typu ataków.

  27. Fajnie ze o tym się mówi i uprzedza wszystkich bo jakby nie patrząc nie każdy o tym wie

  28. otworzyłam link, ale nie pobrałam aplikacji, czy mogę mieć z tym problem ? czy problem zaczyna się wtedy kiedy zainstaluję się aplikację

  29. Ludzie są coraz bardziej świadomi tego co się dzieje i nie dają się już tak łatwo nabrać

  30. Często dostaję tego typu wiadomości, ale na szczęście łeb na karku jest, więc tak łatwo się nie dam oszustom. Niestety, nie ma co ufać w tego typu wiadomości, do wszystkiego trzeba podchodzić z dozą nieufności i sceptycyzmu

  31. Dzisiaj dostałem sms od INP8409K
    Treść:
    In Post: Przesylka juz jest w paczkomacie. Kod odbioru wygenerujesz przez aplikacje: bit.ly / 3hrQ0eQ
    Link prowadzi do stronki: inpost.sklep-play. net / pobierz/

  32. Miałem coś takiego ale co dziwne wtedy faktycznie zamawiałem towar w tym okresie. sms był wysyłany z nieznanego numeru a linki do zobaczenia paczki był wtedy kierujący na jakieś dziwną stronę z numerkami w adresie.

  33. […] Poza tym należy generalnie uważać z wszelkimi próbami isntalowania oprogramowania na naszych urządzeniach. Niedawno ostrzegaliśmy przed SMS-ami podszywającymi się pod InPost, które sugerują pobranie złośliwego pliku APK. […]

  34. ja dostalem 2 smsy. jedne go bez linka, a drugiego z hxxps://inpost-paczkomat.net/pobierz/

  35. Dostalam wczoraj wieczorem SMSa z linkiem https://inpost-kody[.]net/pobierz/
    z dziwnego numery i chcialm to wrzucic na czarną liste, ale przewijając palcem ekran niechcący sie telefon wyłapał to jak klikniecie linka i strona sie otworzyla, od razu dalam wstecz. Ale wlasnie nie wiem czy samo klikniecie linka powoduje ze juz sie cos instaluje i lepiej zrobic reset do ustawień fabrycznych, czy samo przejście na strone jeszcze nic nie szkodzi? A takze czy jak sie robi reset telefonu, a pozniej backup to złośliwe oprogramowanie nie wraca?

  36. Dostałem wczoraj SMS-a o podobnej treści, z tym samym linkiem co w komentarzu @Asiek powyżej, ale bardzo niepokoi mnie zbieżność czasowa.
    Zamawiałem kilka dni wcześniej herbatę w sklepie czasnaherbate.net i wczoraj ok. godz. 14:00 dostałem e-mailowe potwierdzenie zarówno ze sklepu, jak i z InPostu o wysłaniu przesyłki. O 22:01 tego samego dnia był natomiast ten fałszywy SMS. Prawdziwy SMS z InPostu z kodem do odbioru przesyłki przyszedł natomiast dziś o 7:22 rano.
    Jest bardzo mało prawdopodobne wg mnie, żeby taka zbieżność czasowa była przypadkiem. Nigdy wcześniej żadnych tego typu fałszywych SMS-ów nie dostawałem (a ataków podszywających się pod InPost było sporo), w ogóle rzadko kupuję cos przez Internet, a teraz SMS przyszedł dokładnie w momencie kiedy faktycznie coś zamówiłem. Nawiasem mówiąc, nie mam smartfona, więc tej fałszywej aplikacji i tak nie mógłbym użyć, nawet gdybym chciał :)
    Wygląda to tak jakby ktoś miał dostęp do systemu InPostu i mógł na bieżąco śledzić numery telefonów osób, do których wysyłane są przesyłki, i wysyłać im te fałszywe SMS-y.

  37. Dostałem z INP9374K, z linkiem shortcutowym: https://bit.ly/{kod}

  38. Metoda ataku to jedno, bardziej interesująca jest metoda pozyskania danych do uruchomienia scamu. Małżonka otrzymała takiego smsa kilka minut przed otrzymaniem smsa od Inpostu, czyli w momencie kiedy kurier upychał paczki do paczkomatu, a jej paczka nadal czekała na pace furgonetki. Wygląda to tak, jakby ktoś uzyskiwał fizyczny dostęp do przesyłek na otwartej i niepilnowanej pace. Wszystkie niezbędne dane, czyli dane osobowe, numer telefonu i numer paczki są na etykiecie. I teraz powstaje bardzo ważne pytanie, czy te dane są tam niezbędne w sytuacji kiedy paczka kierowana jest do paczkomatu? Powinien wystarczyć kod kreskowy. Rozumiem dodać dane nadawcy, i moooże nazwisko odbiorcy, ale pozostałe dane w tym numer telefonu są psu na budę, a scammerowi radość :)

  39. Ktos mi moze podpowiedziec, czy przez samo przypadkowe klikniecie tego linka juz moj telefon jest zagrożony? A co do wielu komentarzy po mnie, to ja kupowalam wielokrotnie i korzystalam z InPost, ale takiego SMSa dostalam pierwszy raz, a wlasnie tego dnia o 18, tez pierwszy raz nadałam cos bezposrednio z paczkomatu wpisując telefon moj jak i odbiory, wczesniej korzystalam z gotowych kodów.

  40. Tysiąc komentarzy jak oszukują, z którego konta na które – cały przepis jak oszyć ludzików a żaden spec nie odpowie czy jak się kliknęło w linka czy się automatycznie zainstalowało i czy jest czym się niepokoić…

  41. Ani nawet jak sobie z problemem poradzić…

  42. Taki dostałam sms

  43. Dostałem z INP9374K, z linkiem: https://bit.ly/3hSCwcd
    Czy przez samo klikniecie tego linka powoduje, że mój telefon jest zagrożony?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: