Jak bardzo bezczelny może być phishing?

analityk Bankier.pl

Wyłudzanie danych w internecie to już od dawna domena działania profesjonalnych przestępców. Na łamach Bankier.pl niemal co tydzień donosimy o kolejnych próbach ataku na klientów instytucji finansowych. Wiele phishingowych pułapek nie ma w sobie nic oryginalnego – bazują na tym samym, powtarzalnym schemacie. Czasem jednak można trafić na przypadek, który wznosi się ponad przeciętność.

W niedzielny wieczór otrzymałem na swoją skrzynkę mailową wiadomość pochodzącą rzekomo od serwisu PayPal. „Drogi kliencie, mamy problem z Twoim rachunkiem” – tak brzmiał początek napisanego po angielsku komunikatu. Treść informacji przypominała klasyczny phishing. Była niepokojąca (coś dzieje się z moim kontem) i zawierała wezwanie do weryfikacji informacji, koniecznie za pomocą osadzonego w mailu linku.

Jak często bywa w przypadku wysyłanego na ślepo spamu, wiadomość trafiła na konto, które nie było połączone z moim rachunkiem PayPal. Postanowiłem jednak sprawdzić, jakie dane próbują wyłudzić przestępcy. Z każdym kolejnym krokiem moje zdziwienie rosło.

„Nie możemy załadować konta”

Link w mailu prowadził do podrobionej strony logowania do serwisu PayPal. Graficznie serwis był dokładną kopią oryginału. Warto jednak zwrócić uwagę na czytelne sygnały oszustwa – niewłaściwy adres serwisu oraz brak szyfrowanego połączenia (ikonki kłódki w pasku adresu, którą powinna poprzedzać nazwa firmy posiadającej certyfikat EV SSL).

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Po „zalogowaniu” do fałszywej strony pojawił się groźnie brzmiący komunikat. „Twojego konta nie udało się załadować. Musisz potwierdzić swoje dane, aby naprawić ten problem”. Kliknąłem zatem odpowiedni przycisk, spodziewając się, że poza loginem i hasłem oszuści chcą zapewne uzyskać jeszcze dane karty płatniczej.

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Myliłem się jednak. W następnym kroku pojawił się formularz zawierający pytania o pełny zestaw danych osobowych. Przestępcy życzyli sobie imienia i nazwiska, daty urodzenia, adresu zamieszkania oraz numeru telefonu. Oszuści zadali sobie trochę trudu, sprawdzając, czy odpowiednie pola zostały wypełnione. Nie byli jednak specjalnie dokładni – obyło się bez walidacji typu poszczególnych danych (np. sprawdzenia poprawności numeru telefonu).

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Na następnym ekranie okazało się, że to nie koniec. Teraz zostałem poproszony o wypełnienie formularza dotyczącego podstawowej karty płatniczej połączonej z kontem PayPal. Oszuści poprosili przy okazji o interesującą ich zapewne bardzo informację – czy transakcje potwierdzane są dodatkowym hasłem. Temu służy pole wyboru „VBV/MSC”. Skróty oznaczają odpowiednio „Verified by Visa” i „MasterCard SecureCode”.

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Pełne dane identyfikacyjne, login i hasło, informacje o karcie płatniczej wystarczające do dokonywania zakupów w sieci – czy to już wszystko? Jeszcze nie. Kolejny formularz dotyczył rachunku bankowego. Nazwa banku, numer konta, login i hasło do bankowości internetowej – zestaw cennych danych, którego życzy sobie oszust powinien zapalić czerwoną lampkę w umyśle nawet najbardziej łatwowiernej ofiary. Jakby jednak tego było mało, dodatkowo przestępcy poprosili o podanie… numeru PIN do wypłat z bankomatów.

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Jeśli jest jednak coś takiego jak „phishingowy szczyt bezczelności”, to autorzy opisywanego przeze mnie ataku osiągnęli go dopiero w następnym kroku. Tym razem ofiara miała wgrać na serwer pliki zawierające zeskanowany dowód tożsamości, kartę płatniczą (!) oraz rachunek potwierdzający miejsce zamieszkania. W połączeniu z poprzednim „urobkiem” tego rodzaju informacje mogą zapewne pozwolić na pełną kradzież tożsamości i założenie np. nowego rachunku bankowego lub wyrobienie karty kredytowej.

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Po przesłaniu oszustom zestawu tapet na pulpit w jakości HD zostałem przepuszczony do ostatniego etapu. Moje „konto” odblokowano i mogłem bez przeszkód zalogować się do serwisu. Jak zwykle w tego rodzaju wyłudzeniach, strona po wyświetleniu komunikatu przeładowała się i wyświetlony został prawdziwy formularz logowania na oryginalnej stronie serwisu.

Podrobiony serwis PayPal
Podrobiony serwis PayPal

Chętni się znajdują

Mogłoby się wydawać, że niechlujne przygotowanie fałszywej strony i coraz bardziej absurdalne żądania przestępców wystarczą, aby większość potencjalnych ofiar szybko zauważyła podstęp. Z badań przeprowadzonych przez Google wynika jednak, że średnio 13 proc. odwiedzających phishingowe strony pozostawia tam swoje dane. Najlepiej przygotowane kampanie mogą pochwalić się jeszcze wyższym „wskaźnikiem konwersji”, sięgającym 35 proc.

Warto zatem przypominać najbardziej podstawowe zasady internetowej higieny:

  • Ignorujmy wiadomości e-mail, w których wyraźnie skłania się do nas do kliknięcia osadzonego w treści linku. Zwłaszcza, jeśli instrukcje straszą nas negatywnym konsekwencjami (np. blokadą konta) i skłaniają do pośpiechu.
  • Jeśli mamy nawet drobne wątpliwości, co do wiarygodności wiadomości, skontaktujmy się sami z usługodawcą (bankiem, serwisem e-płatności, firmą telekomunikacyjną).
  • Sprawdzajmy poprawność adresu strony internetowej, na której się logujemy, zwracając uwagę także na certyfikat SSL i podmiot, dla którego został wydany.

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~On

Coraz więcej takich afer związanych z pishingiem, ale jak kolega zgłasza próby pishingu do jednego z większych banków w PL, to bank ma na to wyj**e, bo przecież nie musiał Pan podawać danych…..

Polecam przeczytać oficjalne stanowisko banku odpowiadające na podejrzenie wyłudzenia informacji.
http://www.wykop. pl/link/2743689/bezpieczenstwo-wg-bzwbk/

Jak nadal firmy będą tak reagować na zgłoszenia, to dalej oszuści będą zbierać żniwa.

Pokaż cały komentarz ! Odpowiedz
0 0 (usunięty)

(wiadomość usunięta przez moderatora)

! Odpowiedz
1 2 ~s6

Nie wolno klikać na odnośniki i wpisywać bzdur, bo teraz wiedzą, że adres mailowy, na który wysłali jest prawdziwy i aktywny, i będą posyłać znowu na ten mail. Jeżeli odebrałeś taki spam, to też znaczy, że operator skrzynki (maili) jest do niczego, bo filtr antyspamowy na serwerze powinien takie maile wrzucić automatycznie do spamu, a nie przepuszczać dalej do użytkownika. Artykuł ciekawy.

Pokaż cały komentarz ! Odpowiedz
4 4 ~zuzka

dobrze wiedziec, ja swojej karty z getin up uzywam na rozne sposoby i teraz bede na pewno bardziej zwracac uwage na to co i jak

! Odpowiedz
0 3 ~Daniel

Widać jak na dłoni jakimi ignorantami i "frajerami" są - co trzeci z nas!!!
Dziwić może tylko, że nie ma więcej takich "akcji"

! Odpowiedz
0 1 ~qwe

Jeżeli myślisz że ludzie są głupi to jesteś w błędzie
są dużo głupsi

T Lis
Nie lubie go ale rację trzeba mu przyznać

! Odpowiedz
8 46 ~endi

Gdyby była skuteczna kara na oszustów to by do takich sytuacji nie dochodziło , każdemu cwaniaczkowi powinno się publicznie odrąbywać łapy na rynku głównym tak , jak to się robi w Arabii Saudyjskiej

! Odpowiedz
4 8 ~access_denied

Co ci po karze dla tego konkretnego typu oszustów? Możesz im nawet głowy obcinać - problem w tym, że najpierw musisz ich złapać...

! Odpowiedz
0 14 ~bdn

W tym przypadku problemem jest to, że takie oszustwa są słabo wykrywalne/karalne.
Konta na słupa, używanie fałszywych/skradzionych tożsamości, uzyskiwanie dostępu do kont serwisów transakcyjnych.
I to wszystko możliwe w zaciszu "domowego" komputera z użyciem narzędzi anonimizujących korzystanie z internetu (vpny, TOR itp.)

Pokaż cały komentarz ! Odpowiedz
1 18 ~z0mbie

Wpierw musieliby okaleczyć większość sprzedawców usług finansowych.

! Odpowiedz
Polecane
Najnowsze
Popularne