Wczoraj CERT Polska opublikował raport roczny za 2021 rok ze swojej działaności pod tytułem: "Krajobraz bezpieczeństwa polskiego internetu". Jego wyniki podsumowano krótko: Nowy raport, stare techniki. Cyberprzestępcy udoskonalili więc tylko te techniki, które najwyraźniej cały czas działają.
Moją uwagę w tym raporcie przykuła część poświęcona atakom na najpopularniejszej platformie społecznościowej, czyli na Facebooku. Celem tych ataków było przejęcie kont ofiar w tym serwisie, tylko po to by podszyć się pod nie i rozsyłać wiadomości na Messengerze do ich znajomych.
Tak wygląda początek jednej z najpopularniejszych w ostatnim czasie form ataku „na BLIKA”. Cyberprzestępcy wysyłają później do grona znajomych i rodziny z przejętego konta prośby o wsparcie jakąś kwotą. Tłumacząc to tym, iż znaleźli się w trudnej sytuacji i potrzebują pomocy, by się z nią uporać. W tym celu proszą o podanie kodu BLIK z naszej aplikacji bankowej, a ofiary powodowane współczuciem dla bliskiej osoby spełniają tę prośbę i z konta znikają im środki.
Oszustwo to jest na tyle popularne, iż sam BLIK na swoich stronach opisuje ten proceder w tych słowach:
Najczęściej fałszywy znajomy prosi o podanie kodu do szybkiej płatności – kodu BLIK. Powodów może być wiele – niewielka pożyczka, zgubiony portfel, brak wystarczającej kwoty na koncie, aby mógł za coś zapłacić. Po podaniu kodu oszust natychmiast wypłaca pieniądze w bankomacie i prosi o kolejne kody. Pretekstem może być np. brak wystarczającej kwoty na koncie lub błąd transakcji.
Osobiście sam raz spotkałem się z taką próbą ze strony znajomej na Facebooku, której ktoś włamał się na konto i rozesłał do jej kontaktów, w tym do mnie - taką o to wiadomość:
Znając już ten atak, skontaktowałem się z nią innym kanałem:
No dobrze, a jak cyberprzestępcy wykradają dostęp do kont na Facebooku, co jest tak naprawdę początkiem tego scenariusza ataku? To już możemy wyczytać z raportu CERT Polska. Chwyty są dość proste i bazują na emocjach potencjalnych ofiar, w poniższym przykładzie będzie to mieszanka strachu i oburzenia:
Co ciekawe, cyberprzestępcom udało się tu wykorzystać błąd w mechanizmie OGTag, dzięki czemu pod coverem fałszywego wpisu widzimy prawdziwą domenę wiadomosci.wp.pl, co zwiększyło na pewno skuteczność tego ataku - widać to po liczbie udostępnień.
Niemniej internauci nabierają się też na mniej wyrafinowane próby ataku przejęcia kont na Facebooku, bez dbałości o prawidłową domenę:
Jak dochodzi do przejęcia konta na Facebooku? Najczęściej linki te prowadzą do fałszywych stron, na których powielany jest post przypominający ten na Facebooku i aby obejrzeć jego zawartość ofiara proszona jest o zalogowanie się na Facebooku (na podstawionej stronie logowania), w celu potwierdzenia wieku z uwagi na drastyczne sceny na rzekomym filmiku.
Jak bardzo skuteczny jest to atak, możemy przeczytać we wczorajszym artykule na epoznan.pl, który informuje o ujęciu jednego z przestępców, który inkasował w ten sposób po kilkanaście tysięcy złotych dziennie. Jednorazowo mogły to być kwoty rzędu 600 zł, a więc codziennie ofiarami mogło padać po kilkanaście osób.
Policjanci, którzy zabezpieczyli dwa telefony stwierdzili, iż na jeden z nich cały czas przychodziły kody BLIK, wysyłane przez ofiary.
Dalej CERT Polska przytacza przykłady ataków w wiadomościach SMS wysyłanych na numery z wycieków danych z sieci, w których cyberprzestępcy informują o niedopłacie za przesyłkę czy konieczności uregulowania zadłużenia w opłatach za energię. Zawierają one fałszywy link do strony logowania do bankowości elektronicznej, w celu uregulowania niedopłaty. W ten sposób ofiary „wpuszczają” atakujących na swoje konta bankowe, rezultat prosty do przewidzenia.
Na koniec zerknijmy jeszcze na inne popularne w zeszłym roku oszustwo - na fałszywe inwestycje. Tutaj cyberprzestępcy kusili ofiary łatwym zarobkiem w ramach inwestycji w znane marki. W tym celu udostępniali im fałszywe strony z opisem tych inwestycji, z których skorzystały już rzekomo znane osoby:
Linki te wysyłane były również do znajomych z przejętych kont na Facebooku, co też miało uwiarygadniać ten przekaz lub prezentowane były w postaci reklam. Najczęściej wykorzystywano tu takie marki jak Orlen czy PGE:
Skuteczność takich ataków musiała być również spora, co widać na poniższych wykresach. CERT Polska podaje, iż Polacy najczęściej klikali w strony podszywające się pod Orlen.
Jak bronić się przed tymi atakami? Prócz zachowania zdrowego rozsądku i trzeźwej oceny sytuacji przy zapoznawaniu się z informacjami publikowanymi w sieci, nie klikania w podejrzane linki, a już na pewno nie wprowadzania na stronach docelowych swoich danych logowania do bankowości - żaden bank o to nie prosi w swojej komunikacji do klientów, warto też zabezpieczać swoje konta dwuskładnikowym uwierzytelnianiem, minimalizując w ten sposób ryzyko przejęcia swoich kont społecznościowych i stania się mimowolnie "słupem" w tego typu i podobnych atakach.
Źródło: CERT Polska.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
