Nowe zagrożenia i oszustwa internetowe – podsumowanie miesiąca – październik 2022

Wycieki danych, kampanie phishingowe, oszustwa SMS-owe, matrymonialne, inwestycyjne… w tym miesiącu hakerzy zdecydowanie nie próżnowali! Pomysłowość cyberprzestępców nie zna granic, a podejrzliwość i ostrożność użytkowników sieci musi być cały czas na najwyższym poziomie. Poznaj zagrożenia z ostatniego miesiąca i dowiedz się, na jakie sytuacje warto zwrócić uwagę.

1. Wyciek danych klientów Toyoty

Koncern Toyota poinformował o dużym wycieku danych klientów aplikacji T-Connect. Problem dotyczy ponad 296 tysięcy osób. Doszło do utraty takich informacji, jak adresy e-mail i numery klienta.

Jak informuje Toyota, wyciek dotyczy klientów, którzy zarejestrowali swoje adresy e-mail na stronie użytkownika T-Connect od lipca 2017 r. Równocześnie zapewnia, że inne informacje, takie jak imię i nazwisko, numer telefonu, karty kredytowa itp., nie zostały naruszone.

Do wycieku doszło w wyniku udostępnienia części kodu źródłowego aplikacji T-Connect, którą jeden z podwykonawców udostępnił w serwisie GitHub. Odkryto, że opublikowany kod źródłowy zawierał klucz dostępu do serwera danych, dzięki któremu można było uzyskać dostęp do adresu e-mail i numeru zarządzania klienta przechowywanego na serwerze danych. Po odkryciu problemu kod źródłowy został natychmiast utajniony na GitHubie, a następnie koncert Toyota zmienił klucz dostępu do serwera danych.

Koncern informuje, że będzie indywidualnie wysyłać przeprosiny i powiadomienia na zarejestrowany adres e-mail każdego klienta, którego adres e-mail lub numer klienta mógł zostać ujawniony. Dodatkowo Toyota przygotowała na swojej stronie specjalny formularz, który pozwala sprawdzić, czy dany e-mail uległ wyciekowi.

2. Fałszywa strona mBanku

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego ostrzega przed fałszywą stroną podszywającą się pod mBank. Strona jest łudząco podobna do oryginalnej, jednak ma inny adres URL.

Klienci mBanku są wabieni na fałszywą stronę za pomocą kampanii phishingowej. Celem jest oczywiście przejęcie danych logowania do bankowości elektronicznej, co może mieć opłakane skutki. Ofiarom grozi nawet utrata wszystkich oszczędności zgromadzonych na rachunku.

Pamiętaj – wprowadzenie poświadczeń logowania na spreparowanej stronie to poważne zagrożenie. Aby zachować bezpieczeństwo, nigdy nie wchodź na strony z linków niepewnego pochodzenia. Szczególną ostrożność zachowaj, logując się do banku. Zawsze dokładnie sprawdzaj adres URL. Warto również zabezpieczyć swoje urządzenia odpowiednim oprogramowaniem antywirusowym z funkcją ochrony bankowości.

3. Dostałeś SMS kuszący bonusem w wysokości 200 zł? Uważaj, to pułapka!

SMS-y to obecnie jedna z najczęstszych form rozpowszechniania kampanii phishingowych. Tym razem oszuści wysyłają fałszywe wiadomości informujące o możliwości odebrania bonusu w wysokości 200 zł za rejestrację. W rzeczywistości jest to groźna pułapka, mająca na celu okradzenie ofiar z oszczędności.

O niebezpieczeństwie ostrzega Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego. Jeśli klikniesz link wysłany w  podejrzanym SMS-ie, zostaniesz przekierowany na wiarygodnie wyglądającą witrynę, oferującą możliwość odebrania 200 zł za rejestrację. Pieniądze można rzekomo wypłacić na konto bankowe lub wymienić na kryptowalutę.

Jeśli zdecydujesz się na rejestrację, zostaniesz poproszony o podanie danych, a następnie ich weryfikację za pomocą niewielkiej wpłaty za pośrednictwem swojego konta bankowego. W ten sposób oszuści wyłudzają poświadczenia logowania do bankowości elektronicznej.

Warto zachować szczególną ostrożność przy każdej tego typu “okazji” – zwykle są to sposoby cyberprzestępców na okradzenie ofiar z ich oszczędności. Zachowaj ostrożność i zawsze dokładnie sprawdzaj każdą akcję, w której chcesz wziąć udział.

4. Nietypowe oszustwo matrymonialne

Catfishing i inne oszustwa matrymonialne to żadna nowość. Historii, w których przestępca podszywa się pod lekarza z zagranicy, bogatego inżyniera, żołnierza lub inną atrakcyjną postać, rozkochuje w sobie ofiarę, następnie prosi o niespodziewaną pomoc finansową i rozpływa się w powietrzu, można znaleźć w sieci na pęczki. Tym razem przekręt ma jednak wyjątkową formę.

Oszust upatrzyła sobie swoją 65-letnią ofiarę na Instagramie. Podczas rozmowy zadeklarował, że jest rosyjskim astronautą pracującym na Międzynarodowej Stacji Kosmicznej. Wirtualny związek szybko się rozwijał – mężczyzna zaczął deklarować kobiecie miłość i zaproponował małżeństwo.

Tu pojawił się “problem” – rzekomy astronauta twierdził, że potrzebuje środków na powrót na Ziemię z ISS. Kobieta dała się nabrać i przelała oszustowi łącznie około 150 tysięcy złotych.

Opisany przykład nie odbiega znacząco od standardowego schematu oszustwa matrymonialnego, jednak fakt wykorzystania w tym celu wizerunku rosyjskiego astronauty wydaje się wyjątkowy. Warto przy tej okazji uświadomić sobie, jak łatwo pod wpływem emocji dokonać nierozsądnych decyzji. Zanim przelejesz komukolwiek pieniądze, zawsze zastanów się, czy to faktycznie dobry pomysł.

5. Groźna luka w Microsoft Office 365

Eksperci z firmy WithSecure znaleźli niebezpieczną lukę w usłudze Microsoft Office 365 Message Encryption. Na czym polega problem?

Microsoft Office 365 Message Encryption to narzędzie, które pozwala szyfrować wiadomości wysyłanych zarówno wewnątrz, jak i na zewnątrz organizacji. Jest oparte na algorytmie Electronic Codebook (ECB). Niestety, znaleziona w nim luka daje cyberprzestępcom możliwość przechwycenia zakodowanych wiadomości e-mail, a następnie odszyfrowania ich i uzyskania wglądu w ich zawartość.

Co niepokojące, hakerzy mogą przeprowadzić analizę wiadomości nawet w trybie offline. Niebezpieczeństwo jest więc całkiem duże. Harry Sintonen, konsultant WithSecure i badacz cyberbezpieczeństwa, który odkrył lukę, zaleca na razie  rezygnację z korzystania z OME do czasu, aż Microsoft zareaguje na problem i udostępni stosowną łatkę bezpieczeństwa.

Pamiętaj – zagrożeń i oszustw internetowych nie brakuje. Zachowaj czujność i ostrożność za każdym razem, gdy korzystasz z sieci. Nie wierz w zbyt atrakcyjne oferty, nie klikaj w niepewne linki i załączniki, a także nie daj się zaślepić emocjom. Pamiętaj też o zabezpieczeniu wszystkich swoich urządzeń za pomocą solidnego pakietu antywirusowego sprawdzonej marki, np. Norton, Bitdefender, AVG, McAfee, Panda lub ESET.