20:25
16/2/2018

2 dni temu, w Walentynki, ostrzegaliśmy Was przed nowym i całkiem sprytnym atakiem. Ktoś rozsyłał SMS-y “z numeru” PRZYPOMINAM prosząc o uregulowanie niewielkiej kwoty niedopłaty za rachunek. Dziś, dwiema godzinami, na telefony Polaków zaczęła być rozsyłana kolejna fala fałszywych SMS-ów. Tym razem pole nadawcy jest ustawione na nazwę “Rachunek“. I ta kampania jest jeszcze bardziej dopracowana od “walentynkowej”.

Na czym polega atak?

Ofiara (a jest ich sporo) na telefon dostaje taką wiadomość:

Nieuregulowanie zadluzenia 6zl spowoduje zablokowanie polaczen wychodzacych. Link do platnosci wazny 2h http://otworz.to/0Cxxx

W przeciwieństwie do kampanii sprzed 2 dni, tym razem SMS nie jest sprofilowany. Nie zaczyna się od imienia ofiary. To minus (dla przestępcy). Ale są też plusy — tym razem treść SMS-a jest bardziej składna, a sam docelowy serwis do wyłudzania płatności działa poprawnie. I znów wyglądem udaje DotPay’a:

Link w wiadomości prowadzi pod adres:
hxxps://paydot462523[.]info/2291ec1c83a719fce7602b9c1605fc_payment_3de88732a94a7c578/index.php?id=113XXX

Wybór większości z banków tym razem przenosi użytkownika na ich fałszywe ekrany logowania:

Jeśli bank wymaga hasła maskowanego, ofiara proszona jest o wpisanie …wszystkich znaków:

A potem — w przypadku każdego z banków — pojawia się kręcioła:

Na tym etapie — zgadujemy po długim czasie reakcji — złodziej ręcznie weryfikuje dane dostępowe. Skrypt nie jest więc jeszcze tak profesjonalny, jak mógłby być. Ale zapewne i przy takich opóźnieniach kilka ofiar da się podejść i — jeśli wreszcie doczeka się kolejnego ekranu — potwierdzi nie tą operację, którą myśli że potwierdza (por. Stracił 16 000 złotych, bo zalogował się do fałszywego banku). A więc jest to przykład phishingu z elementem ataku Man-in-the-Middle.

Przy okazji, skrypt ma jeszcze jeden ciekawy mankament. Część z ekranów banków została przez przestępcę podkradziona nie z interfejsu DotPay’a a …jego konkurencji, firmy PayU. Oto jeden z artefaktów jaki pozostał w przypadku wyboru banku Millenium.

Na koniec dodajmy jeszcze, że jeśli jakiś bank nie działa, ofiara jest przenoszona na stronę wyłudzającą dane karty:

Domena wykorzystana do ataku została zakupiona 14 lutego (czyli wtedy, kiedy miejsce miała pierwsza z kampanii), ale pierwsze przygotowania do kampanii oszust wykonał jeszcze 6 lutego:

Domain Name: PAYDOT462523.INFO
Registry Domain ID: D503300000066388956-LRMS
Creation Date: 2018-02-14T20:39:48Z
Registrar: OnlineNIC, Inc.
Registry Registrant ID: C217077463-LRMS
Registrant Name: Domain ID Shield Service
Registrant Organization: Domain ID Shield Service CO., Limited
Registrant Street: FLAT/RM A, 9/F SILVERCORP INTERNATIONAL TOWER, 707-713 NATHAN ROAD, MONGKOK, KOWHong Kong
Registrant City: Hong Kong
Registrant Postal Code: 999077
Registrant Country: CN
Registrant Phone: +852.21581835
Registrant Email: 354380227537684@domainidshield.com
Name Server: NS1.SKYDNS.NET
Name Server: NS2.SKYDNS.NET

i wskazuje na adres IP: 37.233.101.117 (RevDNS: verte.antoni23.p4.tiktalik.io) hostowany, podobnie jak poprzednia domena, w serwerownii TIKTALIK:

inetnum: 37.233.101.0 - 37.233.101.255
netname: TIKTALIK-3
admin-c: AM35650-RIPE
mnt-by: AM99976-MNT
created: 2014-08-14T11:52:14Z
person: Adam Mazur
address: Techstorage sp. z o.o.
address: Hoża 51
address: 00-681 Warszawa
address: Poland
phone: +48221005769

Co robić, jak żyć?

Rady takie same jak ostatnio.

  • Pamiętaj, że SMS-y mogą mieć ustawionego nadawce nie tylko na dowolny numer telefonu, ale i dowolną nazwę (tu: “Rachunek“, a w poprzedniej kampanii “PRZYPOMINAM“). Takie SMS-y może wysyłać każdy, a nie tylko operator, więc nazwa zamiast numeru w polu nadawcy to nie powód, aby bardziej ufać takim wiadomościom. One nie pochodzą od Twojego operatora.
  • Nigdy nie opłacaj żadnych rachunków po linkach, które otrzymujesz SMS-em albo e-mailem, jeśli to nie Ty przed chwilą zainicjowałeś płatność za coś samodzielnie. Nigdy.
  • Wszelkie rzekome zaległe kwoty czy długi, których się nie spodziewasz, weryfikuj kontaktując się z firmą od której pochodzą bezpośrednio. Nie odpisując na e-mail, czy SMS-a informującego o długu, ale w nowej wiadomości, a najlepiej dzwoniąc na infolinię.
  • I najważniejsze — jeśli logujesz się do istotnych serwisów (banku, skrzynki e-mail) to zawsze przed wpisaniem hasła popatrz na pasek adresowy przeglądarki i zweryfikuj domenę. Czy jesteś na stronie banku? Czy jesteś na stronie skrzynki pocztowej? W tym przypadku ciężko nie zauważyć oszustwa. Domena aż krzyczy, że jest “lewa”. Taka weryfikacja zabierze Ci sekundę więcej, ale może uratować dziesiątki tysięcy złotych na Twoim koncie. Aha — zielona kłódka i https nie mają znaczenia, one nie potwierdzają autentyczności domeny na której się znajdujesz a oznaczają jedynie, że dane przesyłane do oszusta są szyfrowane.

 


Aktualizacja 20.02.2018, 15:54
Nowa domena:

pay002491[.]info
176.119.61.56 (59163-1-a183b5-01.services.oktawave.com)


Aktualizacja 21.02.2018, 23:38
Nowa domena:
p563.info
p563.info has address 37.233.99.67
p563.info has address 192.64.119.52

Tym razem nadawca to: “ALERT” a skraczacz: “idz.do

Jeśli chciałbyś poznać inne ataki, jakie czyhają na polskich internautów oraz jak zabezpieczyć przed nimi swój komputer, smartfon i konta internetowe oraz bankowe, to zapraszamy na nasz otwarty trzygodzinny wykład pt. “Jak nie dać się zhackować?” który odbędzie się w:

Zapisy już ruszyły i liczba wejściówek jest ograniczona, więc zalecamy pośpiech. Wejściówki można zdobyć tutaj a z opiniami uczestników poprzednich edycji tego wykładu możecie się zapoznać tutaj.

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. Ja ostatnio dostalem SMS’a z infem o tym ze mam konto bitkoinowe i £4700 do odebrania :)

  2. Walentynkowy złodziejaszek. Skoro sprawdzają ludziom konta ‘ręcznie’ to gość nie może być ogarnięty technicznie.
    Ciekawe czy te wszystkie lewe dotpaye też pochodzą z jednego źródła. Model software as a service dotarł do troglodytów z polskiego podziemia?

  3. Po SSL też można rozpoznać czy domena jest zweryfikowana.
    Ale tylko po SSL EV.

    • Można sobie zweryfikować podobną, więc nie. Żaden certyfikat nie potwierdzi, że jesteś tam gdzie chcesz być.

  4. Czy jest jakiś sposób, by odróżnić, czy nazwa nadawcy została ustawiona, czy też pochodzi z książki adresowej telefonu?

  5. Też dostałem tego sms-a. Bardzo dbam o prywatność. Nie udostępniam nigdzie mojego numeru telefonu. Nie dostaję żadnych reklam na sms. Skąd mieli mój numer ?

    • no jak to skąd? “-Komputer Pana wylosował!” :-D

    • Ja też dbam i nie dostałem takowego. Na miejscu @Tomek przeanalizowałbym dokładnie gdzie podał swój nr bo w odróżnieniu od innych osób ma relatywnie mniej miejsc do sprawdzenia – a nuż uda się namierzyć przeciek.

  6. Kliknięcie w link nie zakończy się strata pieniędzy. To nie prawda. Trzeba wykonać kolejne czynności. Opisujecie niebezpieczeństwa zwiazane że współczesna technologia. Takim tytułem nie tylko wprowadzacie w błąd, ale ponieważ pełnicie rolę edukujaca, to uczucie ludzi głupot- powielanych, powtarzanych potem….

  7. Dostałem to samo, tylko z numeru “informacja” ;) dopiszcie do artykułu

  8. Brak polskich znaków w treści SMS, link domenie otworz.to, serio ktoś nabiera się jeszcze na takie wiadomości?

    • Jak widać, całe mnóstwo ludzi, nieogarniających technologii w najmniejszym stopniu. Kiedyś, żeby cokolwiek zrobić w komputerze i Internecie, trzeba było coś umieć, a wiedza nie sprowadzała się do punktów 1,2,3,4. Dziś technologia wali drzwiami i oknami, każdy ma internet w telefonie, wszystko jest do bólu proste. I ludzie starej daty i młodzi niedoinformowani… Na scamy nawet te banalne zawsze się ktoś złapie. To jest przykre, że ludzie są tak leniwi, że nie chce im się nauczyć podstawowych zasad bezpieczeństwa, czy to w internecie, czy na dworcu, czy w miejscowości turystycznej, czy nawet we własnym domu. A potem płacz.

  9. Akurat jak ktoś uważnie loguje się do ING to nie ma możliwości żeby poprosił o wpisanie wszystkich znaków hasła, zawsze losowo! Więc w tym wypadku wielki plus dla ING bo spostrzegawczy klient powinien się zorientować. Na ten przykład Mbank chce całość:(

  10. nie no te url przecierz wyglądaja legitnie :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.