Wyłudzanie danych w internecie to już od dawna domena działania profesjonalnych przestępców. Na łamach Bankier.pl niemal co tydzień donosimy o kolejnych próbach ataku na klientów instytucji finansowych. Wiele phishingowych pułapek nie ma w sobie nic oryginalnego – bazują na tym samym, powtarzalnym schemacie. Czasem jednak można trafić na przypadek, który wznosi się ponad przeciętność.
W niedzielny wieczór otrzymałem na swoją skrzynkę mailową wiadomość pochodzącą rzekomo od serwisu PayPal. „Drogi kliencie, mamy problem z Twoim rachunkiem” – tak brzmiał początek napisanego po angielsku komunikatu. Treść informacji przypominała klasyczny phishing. Była niepokojąca (coś dzieje się z moim kontem) i zawierała wezwanie do weryfikacji informacji, koniecznie za pomocą osadzonego w mailu linku.
Jak często bywa w przypadku wysyłanego na ślepo spamu, wiadomość trafiła na konto, które nie było połączone z moim rachunkiem PayPal. Postanowiłem jednak sprawdzić, jakie dane próbują wyłudzić przestępcy. Z każdym kolejnym krokiem moje zdziwienie rosło.
„Nie możemy załadować konta”
Link w mailu prowadził do podrobionej strony logowania do serwisu PayPal. Graficznie serwis był dokładną kopią oryginału. Warto jednak zwrócić uwagę na czytelne sygnały oszustwa – niewłaściwy adres serwisu oraz brak szyfrowanego połączenia (ikonki kłódki w pasku adresu, którą powinna poprzedzać nazwa firmy posiadającej certyfikat EV SSL).
Po „zalogowaniu” do fałszywej strony pojawił się groźnie brzmiący komunikat. „Twojego konta nie udało się załadować. Musisz potwierdzić swoje dane, aby naprawić ten problem”. Kliknąłem zatem odpowiedni przycisk, spodziewając się, że poza loginem i hasłem oszuści chcą zapewne uzyskać jeszcze dane karty płatniczej.
Myliłem się jednak. W następnym kroku pojawił się formularz zawierający pytania o pełny zestaw danych osobowych. Przestępcy życzyli sobie imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz numeru telefonu. Oszuści zadali sobie trochę trudu, sprawdzając, czy odpowiednie pola zostały wypełnione. Nie byli jednak specjalnie dokładni – obyło się bez walidacji typu poszczególnych danych (np. sprawdzenia poprawności numeru telefonu).
Na następnym ekranie okazało się, że to nie koniec. Teraz zostałem poproszony o wypełnienie formularza dotyczącego podstawowej karty płatniczej połączonej z kontem PayPal. Oszuści poprosili przy okazji o interesującą ich zapewne bardzo informację – czy transakcje potwierdzane są dodatkowym hasłem. Temu służy pole wyboru „VBV/MSC”. Skróty oznaczają odpowiednio „Verified by Visa” i „MasterCard SecureCode”.
Pełne dane identyfikacyjne, login i hasło, informacje o karcie płatniczej wystarczające do dokonywania zakupów w sieci – czy to już wszystko? Jeszcze nie. Kolejny formularz dotyczył rachunku bankowego. Nazwa banku, numer konta, login i hasło do bankowości internetowej – zestaw cennych danych, którego życzy sobie oszust powinien zapalić czerwoną lampkę w umyśle nawet najbardziej łatwowiernej ofiary. Jakby jednak tego było mało, dodatkowo przestępcy poprosili o podanie… numeru PIN do wypłat z bankomatów.
Jeśli jest jednak coś takiego jak „phishingowy szczyt bezczelności”, to autorzy opisywanego przeze mnie ataku osiągnęli go dopiero w następnym kroku. Tym razem ofiara miała wgrać na serwer pliki zawierające zeskanowany dowód tożsamości, kartę płatniczą (!) oraz rachunek potwierdzający miejsce zamieszkania. W połączeniu z poprzednim „urobkiem” tego rodzaju informacje mogą zapewne pozwolić na pełną kradzież tożsamości i założenie np. nowego rachunku bankowego lub wyrobienie karty kredytowej.
Po przesłaniu oszustom zestawu tapet na pulpit w jakości HD zostałem przepuszczony do ostatniego etapu. Moje „konto” odblokowano i mogłem bez przeszkód zalogować się do serwisu. Jak zwykle w tego rodzaju wyłudzeniach, strona po wyświetleniu komunikatu przeładowała się i wyświetlony został prawdziwy formularz logowania na oryginalnej stronie serwisu.
Chętni się znajdują
Mogłoby się wydawać, że niechlujne przygotowanie fałszywej strony i coraz bardziej absurdalne żądania przestępców wystarczą, aby większość potencjalnych ofiar szybko zauważyła podstęp. Z badań przeprowadzonych przez Google wynika jednak, że średnio 13 proc. odwiedzających phishingowe strony pozostawia tam swoje dane. Najlepiej przygotowane kampanie mogą pochwalić się jeszcze wyższym „wskaźnikiem konwersji”, sięgającym 35 proc.
Warto zatem przypominać najbardziej podstawowe zasady internetowej higieny:
- Ignorujmy wiadomości e-mail, w których wyraźnie skłania się do nas do kliknięcia osadzonego w treści linku. Zwłaszcza, jeśli instrukcje straszą nas negatywnym konsekwencjami (np. blokadą konta) i skłaniają do pośpiechu.
- Jeśli mamy nawet drobne wątpliwości, co do wiarygodności wiadomości, skontaktujmy się sami z usługodawcą (bankiem, serwisem e-płatności, firmą telekomunikacyjną).
- Sprawdzajmy poprawność adresu strony internetowej, na której się logujemy, zwracając uwagę także na certyfikat SSL i podmiot, dla którego został wydany.
