Biuletyn Harakiri – #3 2023

Film na Youtube resetował telefony

Właściciele telefonów Google (Pixel 6, 6a, 7) zgłaszali, że oglądanie jednego z filmów w aplikacji YouTube doprowadzało do zresetowania ich urządzeń.

Zgłoszenia o problemie zaczęły pojawiać się na Reddicie, gdzie użytkownicy Pixela 7 zauważyli, że ich telefon wyłącza się podczas oglądania tego filmu. Po dokładniejszych testach, okazało się że crashe występują również na Pixelach 6 i 6a.

Niektórzy użytkownicy zgłaszali, że po restarcie telefonu nie mogli się połączyć z siecią komórkową, jednak po kolejnym restarcie wszystko wracało do normy. Google zapowiedziało wydanie poprawki na ten problem, a według niektórych komentarzy na Reddicie, film da się już bez problemu odtworzyć na Pixelach.

Fałszywe SMSy od ApplePay

W Polsce pojawił się nowy rodzaj oszustwa, polegający na wysyłaniu fałszywych SMS-ów na iPhony udających powiadomienia z usługi ApplePay. W wiadomościach oszuści informują o nieudanej transakcji i grożą blokadą karty płatniczej, jeśli użytkownik nie kliknie w podany link.

Jeśli ofiara kliknie w link, zostanie przekierowana na stronę oszustów, gdzie zostaną wyłudzone jej dane karty płatniczej. Następnie, jej konto bankowe może zostać okradzione.

Warto pamiętać, że żaden bank czy usługa płatnicza nie prosi o potwierdzenie danych osobowych ani numeru karty płatniczej drogą elektroniczną. W przypadku otrzymania podejrzanej wiadomości, lepiej nie klikać w linki i skontaktować się bezpośrednio z bankiem lub usługą płatniczą, aby potwierdzić, czy wiadomość jest prawdziwa.

“James z Syrii” wyłudził od 57-latki 200 tysięcy złotych

Historia jakich (niestety) wiele. Mężczyzna, którego kobieta poznała niedawno, poprosił ją o pomoc w powrocie z Syrii do swojego kraju. Twierdził, że nie może zarządzać swoimi pieniędzmi i potrzebuje wsparcia finansowego na zakup biletu lotniczego i badania lekarskie związane z wyjazdem z Syrii.

57-letnia kobieta zgodziła się mu pomóc, a korespondencja między nimi odbywała się wyłącznie przez komunikator. Mężczyzna przekazał kobiecie kontakt do swojego przełożonego, aby bardziej uwiarygodnić swoją historię. Przełożony potwierdził, że mężczyzna jest w trudnej sytuacji, co skłoniło kobietę do wykonania kilku dobrowolnych przelewów na jego rzecz. Oszust wyłudził łącznie 200 tysięcy złotych.

Należy pamiętać, że w przypadku poznawania nowych osób przez internet trzeba zachować ostrożność i nie ufać wszystkim historiom. Istnieje ryzyko, że można paść ofiarą oszustwa, szczególnie jeśli ktoś prosi o pieniądze lub udostępnienie danych finansowych.

Oszustwa na awizo z kodami QR we Francji

Na LinkedInie francuski specjalista ds. cyberbezpieczeństwa opublikował post dotyczący nowatorskiej metody phishingowej, która polega na otrzymaniu fałszywego powiadomienia wyglądającego jak oryginalna poczta La Poste we Francji. Na dokumencie znajduje się kod QR, który kieruje użytkownika do złośliwej strony, gdzie proszony jest o podanie danych karty kredytowej w celu ponownej próby dostarczenia przesyłki. Jednak strona bankowa jest fałszywa, co oznacza, że użytkownik traci swoje dane finansowe.

Warto zauważyć, że ta metoda phishingowa z QR kodami była już wcześniej opisywana w internecie. Temat pojawił się na Twitterze już w sierpniu 2022 roku, a Flavio Perez opublikował pierwszy tweet na ten temat. Potwierdził on, że kod QR faktycznie kierował do złośliwej strony, która już nie istnieje.

Jednakże, ważną informacją jest to, że pierwsza część linku wskazywała na prawdziwą stronę La Poste, ale po ukośniku był już inny adres – cutt.ly, co jest legalną skracarką linków. Przestępcy wykorzystali podatność open redirect, co oznacza, że mogli wstrzyknąć dowolną stronę pod prawidłowy link. Niestety, sposób weryfikacji strony został błędnie zaimplementowany, co umożliwiło atak.

La Poste posiada narzędzie do przekierowywania użytkowników między różnymi stronami, ale narzędzie to nie posiada weryfikacji, która sprawdza, czy strona, do której użytkownik jest przekierowywany, znajduje się na białej liście stron dopuszczonych do przekierowania. W tym przypadku firma naprawiła przekierowanie po zgłoszeniu jednego przypadku w Montepellier.

Flavio, osoba spoza branży IT, był w stanie wykryć ten atak, ponieważ zadał sobie pytanie, dlaczego miałby płacić za ponowną próbę dostarczenia paczki, skoro go nie było w domu. Sprawdził również numer nadania przesyłki, który okazał się być przykładowym numerem dostępnym na stronie monitorującej przesyłki.

W Polsce, narodowy dostawca przesyłek nie korzysta z kodów QR, tylko z tradycyjnych kodów kreskowych, które nie mogą być adresami URL, co oznacza, że nie jest to metoda, którą można by wykorzystać w phishingu.

Uwaga na fałszywe SMSy od Revolut

Polacy znowu padają ofiarą masowego ataku phishingowego. Tym razem, oszuści podszywają się w SMS-ach pod popularną aplikację Revolut, a ich wiadomości wyglądają na pierwszy rzut oka bardzo wiarygodnie.

Co się stanie, gdy klikniesz w link w SMS-ie? Osoby, które to zrobią, zostaną przekierowane na stronę, gdzie zostaną poproszone o podanie swoich prywatnych danych, w tym takich jak selfie oraz skan dokumentu, a także hasła, w tym do swojej skrzynki pocztowej, oraz informacje dotyczące karty płatniczej. W konsekwencji, ofiary stracą swoje dane osobowe oraz pieniądze.

Fałszywe SMSy do klientów PKO

Polacy ponownie są celem ataku phishingowego, tym razem związane z bankiem PKO. Oszuści wysyłają wiadomości tekstowe SMS, podszywając się pod ten bank i informują o podejrzanej aktywności na koncie.

Co się stanie, jeśli klikniesz w link w SMS-ie? Zostaniesz przekierowany na fałszywą stronę, gdzie zostaniesz poproszony o podanie poufnych danych, w tym numeru PESEL, hasła i informacji dotyczących karty płatniczej. W konsekwencji, stracisz swoje dane osobowe oraz pieniądze.

Uważaj na wtyczki do ChatGPT

Osoby, które korzystają z technologii sztucznej inteligencji, muszą uważać na oszustów, którzy wykorzystują popularność tego tematu do tworzenia fałszywych aplikacji i dodatków do przeglądarek. Celem oszustów jest kradzież danych użytkowników. W ostatnich dniach otrzymaliśmy wiele zgłoszeń od osób, które straciły dostęp do swoich kont na Facebooku. Po dokładnej analizie zgłoszeń, okazało się, że przyczyną było zainstalowanie oprogramowania związanego z ChatGPT – albo w postaci wtyczek do przeglądarki, albo osobnej aplikacji.

Niestety, wiele z tych aplikacji i wtyczek nie wywołuje żadnych alertów antywirusowych, ponieważ systemy te nie są w stanie skutecznie wykryć nowych zagrożeń. Jednym z przykładów jest fałszywa aplikacja udająca ChatGPT, która pozwala oszustom na kradzież danych użytkowników.

W przypadku wtyczek sytuacja jest jeszcze gorsza. Chociaż Google regularnie usuwa złośliwe wtyczki ze swojego sklepu, część użytkowników padła już ofiarą oszustów.

Najczęściej ofiary zaczynają podejrzewać, że coś jest nie tak, gdy nie mogą zalogować się na swoje konto na Facebooku. Dlatego warto zachować ostrożność i korzystać tylko z zaufanych aplikacji i wtyczek.

Ponownie okradają swoje ofiary!

Złodzieje, którzy okradli już ofiary na platformach OLX lub Vinted, teraz próbują ponownie wyłudzić pieniądze, podszywając się pod instytucje państwowe, które oferują odszkodowania za szkody spowodowane przez oszustów.

Ofiary otrzymują SMS-y z treścią: „Uzyskaj odszkodowanie od państwa po działaniach oszustów: LINK”. Kliknięcie w link przekierowuje ofiarę na stronę internetową, która bardzo przypomina oficjalną stronę rządu. Ofiary są proszone o wybór swojego banku z listy.

Następnie ofiary zostają przekierowane na fałszywą stronę swojego banku, gdzie złodzieje proszą je o podanie loginu, hasła, numeru PESEL oraz nazwiska panieńskiego matki. Złodzieje wykorzystują te informacje, wraz z kolejnymi kodami autoryzacyjnymi, aby ponownie okraść ofiarę.

Należy być bardzo ostrożnym wobec tego typu oszustw. Zawsze należy sprawdzać adresy internetowe i nie udostępniać swoich danych, chyba że jesteśmy pewni, że strona jest bezpieczna i autentyczna. Ważne jest, aby pamiętać, że żadna instytucja państwowa nie będzie prosić o nasze hasła i wrażliwe informacje poprzez wiadomości SMS lub e-maile.

Fałszywa propozycja pracy wysyłana na iPhony

W ostatnich dniach zwiększyła się liczba zgłoszeń dotyczących spamu, który jest wysyłany do użytkowników iPhonów przez iMessage. Nadawcy tych wiadomości zwykle posiadają rosyjskie adresy e-mail, a same wiadomości zachęcają do podjęcia pracy.

Należy zwrócić uwagę, że interakcja ze spamowym nadawcą może prowadzić do kradzieży tożsamości lub straty pieniędzy. Nie należy wpłacać żadnych pieniędzy i nie wierzyć w „szybkie zwroty” lub „gwarantowane zyski”, ani w „testowe/weryfikacyjne przelewy”. Jeden z scenariuszy ataku polega na nakłonieniu ofiary do założenia kont, za pomocą których oszuści mogą okraść innych internautów.

W przypadku otrzymania takich wiadomości, należy je natychmiast usunąć i zablokować nadawcę. Warto również zgłosić to zdarzenie odpowiednim organom, takim jak policja lub odpowiedni dostawca usług internetowych, w celu zapobieżenia przyszłym incydentom.

Nowe oszustwa “na BLIK”

Oszuści podszywają się teraz pod BLIK i wysyłają fałszywe SMS-y informujące o przelewie na kwotę 300 zł. Aby odebrać pieniądze, odbiorca musi kliknąć w zamieszczony w wiadomości link.

Oszuści wykorzystują idealnie podrobione nazwy nadawców, co może wprowadzić w błąd odbiorców i sprawić, że wielu z nich będzie traktować takie wiadomości jako prawdziwe. W konsekwencji, osoby te mogą zostać okradzione. Niewiele osób zdaje sobie sprawę, że każdy może wysłać SMS z dowolnej nazwy, co dodatkowo utrudnia wykrycie oszustwa.

Co skrywa się za linkiem? Oczywiście, fałszywa bramka płatności, która ma na celu wyłudzenie wrażliwych informacji.

W przypadku otrzymania takiej wiadomości, należy ją od razu usunąć i nie klikać w link. Warto również poinformować odpowiednie służby, takie jak bank lub policję, w celu zwiększenia bezpieczeństwa swojego konta i innych użytkowników.

Oszustwa “na wnuczka” wsparte przez AI

Według informacji opublikowanych w The Washington Post, oszuści korzystają z sztucznej inteligencji, aby brzmieć bardziej przekonująco i przekonać ludzi do wysyłania im pieniędzy, podając się za członków ich rodziny w potrzebie. Niestety, wielu ludzi nabiera się na to i traci tysiące dolarów.

Przykładem jest Ruth Card, która otrzymała telefon od mężczyzny podającego się za swojego wnuka, Brandona. Mężczyzna twierdził, że jest w więzieniu bez pieniędzy ani telefonu komórkowego i potrzebuje gotówki na kaucję. Card uwierzyła w jego opowieść i zrobiła wszystko, co w jej mocy, aby pomóc, wysyłając mu pieniądze. Podobnie, Greg Grace została oszukana przez oszustów, którzy podszywali się pod jej brata i wyłudzili od niej 3000 dolarów kanadyjskich.

Wykorzystanie sztucznej inteligencji przez oszustów sprawia, że ofiary łatwiej nabrać. Należy pamiętać, żeby zawsze zachować ostrożność i nie wysyłać pieniędzy na prośbę nieznanych osób, zwłaszcza jeśli historia wydaje się podejrzana. Warto również potwierdzać tożsamość osoby dzwoniącej, zwłaszcza w przypadku, gdy prosi o przesłanie pieniędzy.

Wzmożone oszustwa na OLX

Obserwujemy obecnie wzrost liczby ataków na sprzedających na portalu OLX. Nawet po dwóch minutach od wystawienia ogłoszenia na stronie można otrzymać fałszywe SMS-y, które podszywają się pod nazwę OLX.

Oszuści doskonale podrabiają nazwę portalu, co powoduje, że fałszywe wiadomości SMS są wątkowane tuż obok prawdziwych wiadomości od OLX. Dlatego wiele osób, które pamiętają prawdziwą nazwę nadawcy, uważa, że to faktycznie portal OLX wysyła do nich SMS-y. Jednak nie jest to prawda, a internetowi oszuści korzystają z bramek, które umożliwiają każdemu wysłanie SMS-a z dowolnego numeru lub nazwy.

Jeśli klikniemy w link, zostaniemy przekierowani na fałszywą stronę, która przedstawia fałszywe instrukcje dotyczące odbioru pieniędzy za sprzedany przedmiot. Jeśli postępujemy zgodnie z instrukcjami, zostaną nam wykradzione dane dotyczące bankowości internetowej i zostaniemy okradzeni.

Obserwujemy również inne warianty ataku, w których oszuści zaczynają kontakt z ofiarą, wysyłając fałszywe SMS-y z nazwami firm kurierskich, takich jak DPD czy Inpost. Te fałszywe wiadomości również są wątkowane pod prawdziwymi SMS-ami od kurierów, co dodaje wiarygodności atakowi.

W celu uniknięcia takich oszustw, należy zachować ostrożność i nie klikać w linki wysyłane w podejrzanych wiadomościach SMS. W przypadku otrzymania podejrzanej wiadomości, warto ją usunąć i nie reagować na nią.

Współpracujesz z NFZ? Uważaj na fałszywe maile

Osoby i instytucje związane z ochroną zdrowia otrzymują e-maile, w których ktoś podszywa się pod NFZ i informuje o fałszywym wycieku danych. W wiadomościach oszuści zachęcają również do pobrania pliku “NFZ-Wyciek.xll”, sugerując, że pozwoli to sprawdzić, czy ktoś stał się ofiarą wycieku danych. Niestety, ten plik to trojan.

Warto zauważyć, że NFZ nie odnotował żadnego wycieku danych i nie informuje w ten sposób swoich klientów o ewentualnym naruszeniu ich prywatności. Pobranie i uruchomienie pliku “NFZ-Wyciek.xll” spowoduje infekcję urządzenia złośliwym oprogramowaniem.

Jeśli otrzymałeś taką wiadomość i próbowałeś uruchomić plik, natychmiast skontaktuj się z administratorem sieci, w której działa twoje urządzenie. To pomoże w zapobieżeniu dalszym szkodom i zminimalizowaniu ryzyka związanego z tym atakiem phishingowym.

Spółki wchodzące w skład GK Specjał padły ofiarą dużego ataku ransomware

Wybrane spółki wchodzące w skład grupy kapitałowej Specjał poinformowały, że doszło do naruszenia ochrony danych osobowych zgodnie z art. 34 RODO. Atak hakerski spowodował zaszyfrowanie danych na serwerach administrowanych przez spółki. W odpowiedzi na incydent, spółki poinformowały Urząd Ochrony Danych Osobowych i podjęły wewnętrzne postępowanie wyjaśniające.

Obecnie nie stwierdzono wycieku danych, jednak rodzaj ataku hakerskiego, który nastąpił, może skutkować taką możliwością. Ewentualne wycieki danych osobowych mogą prowadzić do naruszenia poufności danych przetwarzanych przez spółki w ramach prowadzonej działalności. Istnieje ryzyko naruszenia prywatności osób fizycznych, których dane zostały naruszone przez cyberprzestępców i mogą być wykorzystane przez osoby nieuprawnione.

Dostawca oprogramowania telefonicznego padł ofiarą ataku

3CX, dostawca oprogramowania telefonicznego, został zhackowany, co spowodowało, że atakujący zmodyfikowali aktualizację oprogramowania, umożliwiając w ten sposób przeniknięcie złośliwego kodu na komputery klientów 3CX. W odpowiedzi na incydent, firma zaleca swoim klientom odinstalowanie ostatniej aktualizacji.

3CX sugeruje, że problemem mogą być biblioteki wbudowane w aplikację z Gita, a antywirusy wykryły aktualizację 18.12.407 i 18.12.416 jako złośliwe. Firma informuje, że złośliwe domeny zostały wyłączone, a repozytoria ze złośliwymi bibliotekami zostały usunięte.

Chociaż 3CX twierdzi, że problem dotyczy tylko aplikacji na Windows, to według Crowdstrike złośliwą aktywność zaobserwowano również w przypadku aplikacji na MacOS.

Nieznane są szczegóły dotyczące zhackowanych klientów, ale atak prawdopodobnie był ukierunkowany na konkretną grupę odbiorców, a nie na działanie masowe. Crowdstrike sugeruje, że sposób działania wskazuje na rządowych hakerów z Korei Północnej.

Cyber Orient Express

Na koniec zapoznajcie się z ostatnim odcinkiem Cyber Orient Expressu, czyli przeglądu zagrożeń w polskim Internecie: