Nowe zagrożenia i oszustwa internetowe – podsumowanie miesiąca kwietnia 2023

Kwiecień za nami, w końcu wiosna budzi się do życia, jest pięknie, ale… w internecie nadal mocno niebezpiecznie. Nie pozwól, aby długo wyczekiwane słońce i pozytywne wibracje uśpiły Twoją czujność. Przygotowaliśmy zbiór oszustw i zagrożeń, które w ostatnich 4 tygodniach dały się w Polsce we znaki – nie daj się nabrać!

#1 Fałszywe wiadomości z InPostu

Ostatnie dni kwietnia przyniosły wzmożoną aktywność oszustów podszywających się (niestety często skutecznie) pod wiadomości SMS od InPostu. Co gorsza, wiadomości są nadpisane nazwą “InPost”, przez co wyświetlają się jako ciąg dalszy prawdziwej korespondencji – jeśli taka oczywiście była. SMSy wyglądają następująco:

“Twoja paczka jest wstrzymana z powodu braku numeru ulicy na paczce. odnowic: LINK”

“Witam, paczka nie moze zostac dostarczona z powodu blednego numeru domu, prosze o aktualizacje: LINK”

“Twoje przesylki nie moga zostac dostarczone z powodu blednie podanego adresu. Prosimy o aktualizacje adresu w celu ponownej dostawy. LINK”

Linki przybierają skróconą formę, a po kliknięciu w nie, użytkownik zostaje przekierowany na stronę przewoźnika. I tutaj pierwsza lampka powinna zapalić się każdemu – bo nie jest to fałszywa strona InPostu. Nie jest to też fałszywa strona Paczkomatów. Użytkownik zostaje przekierowany na stronę… Poczty Polskiej, a dokładniej kuriera Pocztex. Kolejnym krokiem jest prośba o uzupełnienie danych w celu potwierdzenia adresu wysyłkowego i dokonania opłaty za dostawę. I na tym polega cały przekręt – oszuści chcą w ten sposób pozyskać dane karty płatniczej. Samo kliknięcie w link nie stanowi zagrożenia, jednak warto ostrożnie podchodzić do tego typu wiadomości.

#2 Podejrzany zwrot podatku

Z końcem kwietnia mija termin rozliczenia się z Urzędem Skarbowym. I ta okazja stała się dla hakerów świetnym powodem do działania. Masowo wysyłają fałszywe maile od PUESC informując o fałszywym zwrocie podatku – który należy odebrać skanując załączony do wiadomości kod QR.

“Od: PUESC Polska refundacja@puesc-pl[.]eu

Data: 4 kwietnia 2023

Dw: PUESC Polska refundacja@puesc-pl[.]eu

Temat: Potwierdzenie zatwierdzonego wniosku o zwrot podatku za okres od stycznia 2023 do marca 2023

Drogi Obywatelu,

Mamy zaszczyt poinformować, że Pański wniosek o automatyczny zwrot podatku za okres od stycznia 2023 do marca 2023 został pomyślnie zatwierdzony.

Aby odebrać zwrot podatku, proszę odwiedzić najbliższe biuro administracji podatkowej i przedstawić swoje dane identyfikacyjne lub zalogować się na nasz portal internetowy poprzez skanowanie poniższego kodu QR:

[KOD QR]

Prosimy o użycie tymczasowego hasła [HASLO] podczas logowania.

Zwracamy uwagę, że tymczasowe hasło wygaśnie 24 godziny po otrzymaniu tej wiadomości, jako środek ostrożności mający na celu zapewnienie bezpieczeństwa transakcji.

Jeśli mają Państwo jakieś dodatkowe pytania lub potrzebują pomocy, prosimy o kontakt z nami.

Z poważaniem,

PUESC Polska”

Co stanie się po zeskanowaniu kodu? Zostaniesz przekierowany na stronę służącą do… kradzieży Twoich pieniędzy. Nie jest już powiązana z PUESC – przypomina KAS (Krajową Administrację Skarbową). Aby jeszcze mocniej wpłynąć na ofiarę i przekonać ją do autentyczności wiadomości, po zeskanowaniu linku, należy wpisać tymczasowe hasło bezpieczeństwa podane w mailu. Następnie przestępcy przechodzą do wyłudzenia danych – proszą o podanie numeru identyfikacyjnego, numeru telefonu, wybranie swojego banku w celu dokonania rzekomej wypłaty, a dalej numeru PESEL i nawet nazwiska rodowego matki. Morał z tej historii – zanim zeskanujesz kod QR dokładnie sprawdź, czy rzeczywiście warto to zrobić i czy wiadomość pochodzi z zaufanego źródła.

#3 Ostrzeżenie o oszustwie przez telefon od… oszustów

Na łamach portalu LinkedIn pojawił się wpis pana Sebastiana ostrzegający o przebiegłości cyberprzestępców. Dane, które posiadali ewidentnie musiały być wynikiem jakiegoś wcześniejszego wycieku, co umożliwiło im przeprowadzenie bardzo wiarygodnie wyglądającej rozmowy. 

Jednak od początku – atak rozpoczynał się telefonem z banku (zapisanym w książce telefonicznej użytkownika!) potwierdzającym zaciągnięcie pożyczki gotówkowej. Gdy zaprzeczył, “pracownik banku” uruchomił procedurę zabezpieczającą – zadawał wiele pytań, które mogłyby wyjaśnić zaistniałą sytuację. 

Kolejnym krokiem były smsy od IPKO potwierdzające anulowanie umowy oraz zgłoszenie przestępstwa do organów ścigania. Pan Sebastian został następnie przekierowany do specjalistki ds. bezpieczeństwa, która ponownie dokonała weryfikacji sytuacji serią pytań, które miały pomóc w identyfikacji wycieku danych. Trzeba przyznać, że cała rozmowa do tego momentu w niczym nie zwiastowała zagrożenia. 

Dopiero teraz całość nabrała nieco ciemniejszych kolorów: pani w słuchawce poinformowała o blokadzie konta na 48 godzin, która jest związana z wyciekiem danych. Zaproponowała uruchomienie rachunku rezerwowego, aby Pan Sebastian nie został bez dostępu do środków. Numer rachunku został przesłany w wiadomości SMS, a pani po drugiej stronie poleciła przelanie wszystkich pieniędzy właśnie na ten rachunek. Całą rozmowa trwała ponad pół godziny i była na tyle wiarygodna, że mniej czujne osoby z pewnością dokonałyby przelewu. Całe szczęście Pan Sebastian postanowił w tym momencie zakończyć połączenie i skontaktować się osobiście ze swoim bankiem, który potwierdził, że żadna umowa kredytowa, ani żadne telefony ze strony konsultantów banku nie były w tym dniu wykonywane. Zachowajcie czujność!

#4 Popularna bramka SMS zhackowana

Wiele popularnych i dużych firm w Polsce korzysta z bramek SMS firmy SerwerSMS. Niestety pod koniec kwietnia padła ona ofiarą ataku hakerskiego, w wyniku którego hakerzy uzyskali dostęp do danych identyfikacyjnych firm współpracujących oraz fragmentu archiwum wysyłek wiadomości. Gdy tylko pojawił się atak, firma zareagowała natychmiastowo, szybko niwelując zagrożenie. Wzorowo poinformowała również swoich klientów o zaistniałym incydencie i krokach jakie podjęła dla zapewnienia bezpieczeństwa danych. 

Mimo szybkiej reakcji klienci firm (np. Agata Meble, DPD, InFakt, Telestrada, Psychomedic) powinni mieć się na baczności. Zwykle treść wysyłanych SMSów od firm nie zawiera zbyt wielu wrażliwych danych, jednak w przypadku np. firm medycznych wyciek może w przyszłości mieć jakieś konsekwencje (w zależności od danych zawartych w wiadomościach). Sam wyciek numerów telefonów może skończyć się np. niechcianym spamem, co samo w sobie nie jest bardzo groźne – raczej irytujące.

#5 Awaryjne łatki Apple

Apple wypuściło dwie łatki na podatności 0-day, które były wykorzystywane w prawdziwych atakach. Pierwsza dotyczyła możliwości dostania się do systemu operacyjnego z poziomu przeglądarki – aby tak się stało użytkownik prawdopodobnie musiałby wejść na jakąś spreparowaną stronę. Druga związana jest ze zwiększeniem uprawnień atakującego korzystającego z pierwszej luki – dzięki niej może dostać się do maksymalnego poziomu uprawnień czyli jądra systemu (kernela). Poprawki noszą nazwy iOS 16.4.1 i iPadOS 16.4.1 i są dostępne dla: iPhone’a 8 i nowszych, iPada Pro (wszystkie modele), iPada Air 3 generacji i nowszych, iPada 5 generacji i nowszych oraz iPada mini 5 generacji i nowszych.

Do zapamiętania

Kwiecień uczy, że wszystko co nawet wydaje się być prawdopodobne i legalne należy sprawdzić. Szybki telefon do banku, zapytanie wysłane do konsultanta za pomocą chatu 24/7 może pomóc w uniknięciu utraty danych i pieniędzy. Zanim podasz komukolwiek swoje wrażliwe dane, upewnij się, że ten ktoś ma na pewno czyste intencje i w rzeczywistości jest tym za kogo się podaje. Działania hakerów są coraz bardziej wyrafinowane i coraz trudniej odróżnić je od prawdziwych procedur. Niestety nic poza naszą czujnością i podejrzliwością nie jest w stanie ochronić nas przed tak szczegółowo przygotowanymi atakami.