Kody QR jako narzędzie w oszustwach phishingowych: Alarmujący wzrost zagrożenia
Firma Cofense, specjalizująca się w cyberbezpieczeństwie, zauważyła znaczący wzrost kampanii phishingowych, w których wykorzystuje się kody QR. Wśród celów tych ataków znalazło się wielkie przedsiębiorstwo z sektora energetycznego w USA, jak również organizacje z innych branż, takich jak produkcja, ubezpieczenia, technologia i finanse.
W omawianej kampanii atakujący wysyłali do pracowników firm e-maile z załączonym kodem QR w formie obrazu PNG. E-maile sugerowały, że w ramach procedur bezpieczeństwa, konieczne jest aktywowanie dwustopniowej weryfikacji (2FA) przez zeskanowanie kodu QR. Problem polegał na tym, że po zeskanowaniu kodu, użytkownik był kierowany do fałszywej strony, która miała na celu wyłudzenie danych logowania.
Oszuści użyli przekierowania URL za pośrednictwem domeny Bing.com, co dodatkowo wprowadzało w błąd. Takie przekierowania są powszechnie używane w działaniach marketingowych i na pierwszy rzut oka wydają się zaufane, ponieważ domena Bing.com jest związana z Microsoftem.
Uwaga na oszustwa z Paysafecard
Ostrzegamy przed nowym rodzajem oszustwa z wykorzystaniem doładowań Paysafecard, które ostatnio zaczyna zyskiwać na popularności. Chociaż wiele oszustw opiera się na sprawdzonych i starych metodach, od czasu do czasu pojawiają się nowe taktyki. W tym przypadku, oszuści wydają się kierować swoje działania na taksówkarzy i dostawców usług na zamówienie.
Oszustwo zaczyna się od zamówienia usługi, takiej jak przejazd taksówką, przez popularną aplikację. Po zaakceptowaniu zamówienia przez taksówkarza, oszust kontaktuje się telefonicznie z dostawcą usługi. Zamiast potwierdzić szczegóły związane z przejazdem, prosi on o zakup towarów, takich jak papierosy, oraz o doładowanie konta na Paysafecard. Taki rodzaj prośby nie jest z założenia podejrzany, ponieważ wielu taksówkarzy jest skłonnych wykonać drobne zakupy dla klientów.
Następnie taksówkarz udaje się do sklepu, często znanego sieciowego sklepu, by dokonać zakupu i doładowania. Tu oszust stosuje dodatkową sztuczkę: prosi, aby sprzedawca w sklepie wprowadził szczegóły doładowania. W ten sposób, płatność od razu trafia na konto oszusta. Taksówkarz otrzymuje jedynie potwierdzenie transakcji z kodem, który nie ma żadnej wartości poza informacyjną.
Eksponowanie Danych Osobowych w Getin Banku: Luka w Systemie czy Zaniedbanie Ministerstwa?
Upadłość Getin Noble Banku, która jest szeroko komentowana w mediach, ujawniła poważną lukę w systemie zgłaszania wierzytelności przez Krajowy Rejestr Zadłużonych (KRZ), prowadzonym przez Ministerstwo Sprawiedliwości. Problem polega na tym, że wnioskodawcy, nawet ci posługujący się niekompletnymi lub fałszywymi danymi, mają możliwość uzyskania dostępu do akt postępowania upadłościowego, w których znajdują się poufne dane osobowe. Wygląda na to, że prawa do prywatności tysięcy osób mogą być naruszone w wyniku tego procederu.
Według ustaleń, wystarczyło wypełnić wniosek zgłoszeniowy z fałszywymi danymi i wysłać go bez podpisu oraz opłaty, by otrzymać dostęp do wrażliwych informacji. W aktach znajdują się zarówno PESELe, nazwiska, jak i adresy osób uczestniczących w postępowaniu. W przypadku Getin Banku, liczba uczestników postępowania znacznie wzrosła w ostatnich dniach, a tym samym setki tysięcy osób mogą być narażone na naruszenie prywatności i potencjalne oszustwa, w tym ataki phishingowe.
Jest to szczególnie niepokojące, gdyż w zasadzie każdy może zgłosić wierzytelność i uzyskać dostęp do tych danych, nie będąc w rzeczywistości wierzycielem banku. Chociaż prawo umożliwia dostęp do takich informacji dla uczestników postępowania, obecny system nie zapewnia żadnej weryfikacji tożsamości wnioskodawców. Dostęp jest przyznawany automatycznie, co jest niezwykle ryzykowne z punktu widzenia ochrony danych osobowych.
RADIO STOP: Żarty z Polską Koleją czy Słabość Systemu Bezpieczeństwa?
W kilku miastach Polski w ciągu ostatnich tygodni Pojawiły się opóźnienia w ruchu kolejowym wynikające z niespodziewanego zatrzymywania pociągów za pomocą sygnału RADIO STOP.
Sygnał RADIO STOP jest mechanizmem awaryjnego zatrzymywania pociągów w Polsce. Jest to jawna informacja, dostępna dla każdego, kto chce się z nią zapoznać. Co więcej, sygnał ten nie jest ani zabezpieczony, ani szyfrowany, co oznacza, że można go nadawać za pomocą zwykłej krótkofalówki. Taki sygnał może zatrzymać pociąg, który go odbierze, uruchamiając systemy awaryjne.
Choć nie jest trudno nadawać sygnał RADIO STOP, jest to działanie ryzykowne. Można zlokalizować źródło sygnału, a konsekwencje prawne mogą być surowe. W ostatnich dniach, dwóch podejrzanych zostało aresztowanych w Białymstoku, a nieautoryzowane użycie sygnału zauważono również we Wrocławiu.
Uwaga na podróbki znanych komunikatorów
Niepokojące odkrycie dotyczy użytkowników Androida w Polsce i na świecie. Firma ESET zidentyfikowała dwie złośliwe aplikacje – Signal Plus Messenger i FlyGram – zawierające szpiegowski kod BadBazaar. Co gorsza, te aplikacje były dostępne w oficjalnych sklepach, takich jak Google Play i Samsung Galaxy Store.
Aplikacje miały na celu wydobywanie danych osobistych użytkowników. FlyGram mógł uzyskać dostęp do list kontaktów, rejestrów połączeń i informacji o kontach Google. Signal Plus Messenger, z kolei, był nastawiony na szpiegowanie komunikacji na Signalu.
Złośliwe oprogramowanie początkowo celowało w użytkowników z Azji, ale ESET zauważył, że najnowsze ataki są skierowane również na Europę. Dzięki analizie geolokalizacji, ESET wykrył infekcje w Polsce, Niemczech, Hiszpanii, Portugalii, Litwie i Holandii, a także w USA i Australii.
Badacze ESET są zdania, że za atakiem stoi chińska grupa APT, znana również jako GREF, która wcześniej była powiązana z innymi atakami malware. Istnieją jednak również dowody wskazujące na jej związek z grupą APT15.
Choć firmy jak Google i Samsung podejmują kroki, aby usunąć złośliwe aplikacje ze swoich platform, użytkownicy muszą być bardziej ostrożni. Nie wystarczy zaufać oficjalnym sklepom; zawsze warto sprawdzić opinie innych użytkowników i poziom uprawnień, jakich aplikacja wymaga.
Ciasteczka z Lidla kierowały na strony dla dorosłych
Supermarket Lidl postanowił wycofać z oferty ciasteczka z popularnym motywem dla dzieci „Psim Patrolem” po tym, jak okazało się, że adres URL na opakowaniu kieruje na stronę nieodpowiednią dla dzieci.
Adres URL na opakowaniu ciasteczek, appykidsco[.]com, odnosił się do strony z treścią wyłącznie dla dorosłych. Lidl tłumaczy, że „URL dostawcy został zaatakowany”. Rzeczywiście, w 2022 roku domena prowadziła do strony Appy Kids Co., producenta artykułów spożywczych dla dzieci.
Najbardziej prawdopodobna jest teoria przejęcia porzuconej domeny, co nie jest zjawiskiem rzadkim w sieci. Możliwe jest również przekierowanie domeny na treści dla dorosłych przez inny mechanizm, jak to miało miejsce w przypadku polskiego rządowego serwisu loterii paragonowej.
Sklep szybko podjął kroki w celu wycofania produktu i poinformował o tym opinie publiczną. Nie jest jednak jasne, czy i ile dzieci mogło zostać naraziło na nieodpowiednie treści.
Nowa metoda ataku phishingowego na klientów PKO
Ostatnie doniesienia wskazują na wykorzystanie przez cyberprzestępców nowej metody ataku. Ofiarą padli klienci banku PKO, jednak każdy bank może być potencjalnym celem. Początek jest typowy – przestępcy wysyłają SMS informujący o konieczności aktualizacji aplikacji bankowej.
Jednak, to co następuje później jest nieoczywiste. Kliknięcie na link w SMS przenosi na stronę, która sugeruje instalację rzekomej aktualizacji. Co interesujące, po wybraniu opcji „ZAINSTALOWAĆ”, użytkownik zobaczy:
- Na Androidzie – podrobioną stronę Google Play, która proponuje instalację aplikacji (WebAPK).
- Na iPhone – komunikat z instrukcją sugerującą dodanie skrótu do aplikacji na ekran główny smartfona (PWA).
Wykorzystanie aplikacji w postaci PWA/WebAPK sprawia, że ofiara ma wrażenie, że rzeczywiście zainstalowała aplikację. W rzeczywistości utworzony w telefonie nowy skrót będzie prowadził do strony internetowej udającej aplikację do bankowości online. W tym momencie zaczyna się tradycyjny phishing.
Korzystasz z Booking? Uważaj na oszustwa!
Na platformie Booking.com zauważono nową, skomplikowaną technikę oszustwa. Przypadek, który zasługuje na szczególną uwagę, został zgłoszony przez użytkownika, który regularnie korzysta z tej popularnej platformy do rezerwowania noclegów.
Większość osób korzystających z Booking.com potwierdzi, że serwis jest intuicyjny i łatwy do obsługi, choć czasem wymaga zarządzania wieloma rezerwacjami jednocześnie. W związku z tym, użytkownik, którego dotknęło oszustwo, nie był zaskoczony, gdy otrzymał e-mail, w którym poproszono go o kliknięcie linku w celu potwierdzenia rezerwacji. Na pierwszy rzut oka, e-mail wyglądał na wiarygodny – zawierał logo Booking.com i używał podobnego do oryginalnego układu i kolorystyki.
Po kliknięciu w link, osoba ta została poproszona o podanie numeru karty kredytowej. Mimo że rezerwacja została już wcześniej opłacona, a karta była zablokowana, zdecydował się podać te dane. Następnie otworzył się czat, na którym poproszono go o potwierdzenie poprzez kliknięcie w wiadomość push na telefonie. Znajdowała się tam informacja o dodatkowej płatności w wysokości 600 euro.
Użytkownik odmówił zapłacenia dodatkowych pieniędzy, na co osoby na czacie odpowiedziały, że nie jest to płatność, a jedynie potwierdzenie i należy kliknąć.
Zaniepokojony sytuacją użytkownik, zalogował się na swoje konto na Booking.com, gdzie znalazł kopię wiadomości, ale bez linku do płatności. Skontaktował się z gospodarzami noclegu, którzy zapewnili go, że jest to błąd na stronie Booking.com, gdyż oni otrzymali już płatność i nie potrzebują od niego żadnych dodatkowych potwierdzeń.
Ta historia jest ostrzeżeniem dla wszystkich użytkowników Booking.com i podobnych platform. Zawsze bądźcie ostrożni podczas otrzymywania takich wiadomości. W razie wątpliwości, zawsze skontaktujcie się bezpośrednio z platformą lub gospodarzem. Pamiętajcie, że żadna wiarygodna platforma nie poprosi o ponowne podanie danych karty kredytowej czy innych danych wrażliwych poza bezpiecznym systemem płatności.
Polski dyplomata, samochód na sprzedaż i rosyjska operacja cybernetyczna
Badacze z PaloAlto Unit42 opisali intrygującą kampanię cybernetyczną, która zaczęła się od niewinnego ogłoszenia o sprzedaży samochodu.
Początek operacji jest niezwykle błahy. Dyplomata pracujący dla polskiego Ministerstwa Spraw Zagranicznych wysłał do różnych ambasad propozycję sprzedaży swojego samochodu w Kijowie. Zainteresowani mogli pobrać plik „BMW 5 for sale in Kyiv – 2023.docx”, który zawierał szczegóły oferty. Plik był zupełnie bezpieczny, nie zawierał żadnego szkodliwego oprogramowania.
Jednak w nieustalony sposób, rosyjskie służby zdobyły tę wiadomość i skopiowały jej treść, wprowadzając jedną kluczową zmianę. Dodano link do „większej liczby zdjęć samochodu”, który prowadził do strony w domenie t[.]ly.
Po pobraniu i otwarciu zdjęć okazywało się, że są one plikami .lnk (skrót do aplikacji). Ponieważ jednak system Windows domyślnie ukrywa rozszerzenia plików było to trudne do zauważenia. Otwarcie skutkowało uruchomieniem szkodliwego oprogramowania.
Na koniec, badacze ujawnili, że zmodyfikowane wiadomości e-mail z ogłoszeniem zostały wysłane do co najmniej 22 placówek dyplomatycznych różnych krajów w Kijowie.
„Złośliwe” kody QR na krakowskich parkomatach
Na początku lipca Kraków stanął w obliczu niecodziennej formy oszustwa, w której przestępcy naklejali „złośliwe” kody QR na miejskich parkomatach, próbując wyłudzić płatności za parkowanie. Informacje o tym niecodziennym przestępstwie zostały udostępnione 13 lipca na oficjalnym profilu miasta na Facebooku.
Podczas trwania incydentu, urzędnicy postanowili nie usuwać kodów QR, oczekując na interwencję policji, która miała „zabezpieczyć ślady”. W międzyczasie, wyłudzenia płatności nadal miały miejsce.
Kod przekierowywał do strony ckrakowparking[.]pl, a następnie na kkrakowparking[.]website, gdzie wyłudzane były dane dotyczące płatności.
Profil prezentera Radia ESKA skopiowany w celach phishingowych
Dziwny wpis na profilu autorskim jednego z prezenterów Radia ESKA S.A., wzbudził podejrzenia czytelnika. Po dokładnej analizie okazało się, że nie doszło do hakerskiego włamania, jak się początkowo podejrzewało, lecz do sprytnego oszustwa. Przestępcy stworzyli fałszywą kopię profilu oraz utworzyli dodatkowe konta, które chwaliły się zdobywanymi nagrodami i zyskami. Oszuści wykorzystali te profile, aby zachęcić użytkowników do wzięcia udziału w konkursie phishingowym.
Profil publikował skrócony link, który kierował użytkowników na stronę o adresie bit[.]ly/m/radio-eska. Strona zawierała błędy językowe i słabej jakości zdjęcia, co mogło wskazywać na oszustwo.
Sam Filip „Rudanacja” Antonowicz, pod którego podszywali się oszuści informował już wcześniej na swoim prawdziwym profilu, że nie uczestniczy w żadnych tego typu konkursach.
Białoruska grupa APT atakuje za pomocą kampanii phishingowej
Białoruska grupa APT (Advanced Persistent Threat) od dłuższego czasu prowadzi zaawansowaną kampanię cyberataków, która opiera się na wyrafinowanych działaniach phishingowych. Eksperci z firmy Talos opisują, że ta nieustanna kampania obejmuje rozsyłanie maili phishingowych z załącznikami w postaci plików ppt i xls, które zawierają złośliwe makra.
Atak rozpoczyna się od wysłania wiadomości e-mail, której treść jest przemyślnie spreparowana, np. podając się za instytucje rządowe lub oferując rzekomy zwrot podatku VAT. W treści e-maila znajduje się załącznik, który wydaje się być zwykłym druczkiem do wypełnienia. Jednak plik ten zawiera złośliwe makro, a użytkownik jest zachęcany do uruchomienia makr w celu uzyskania żądanej informacji.
Eksperci z Talos wskazują, że kampania ta jest ciągle aktywna i stanowi poważne zagrożenie dla wielu organizacji oraz instytucji.
Klonowali dowody osobiste i wyłudzali pożyczki
Stołeczna policja donosi o sukcesie wspólnych działań, które doprowadziły do zdemaskowania przestępczej grupy zajmującej się wyłudzeniami pożyczek i zakupów sprzętu na kradzione dane. Podejrzani, działając jako małżeństwo, pozyskiwali pożyczki oraz dokonywali zakupów sprzętu ratalnie, wykorzystując dane różnych osób. W rezultacie banki i firmy pożyczkowe poniosły straty w wyniku niekorzystnych transakcji.
Niejasne jest, w jaki sposób przestępcy zdobyli dostęp do danych osób-ofiar, ale raport policji sugeruje, że mogli sklonować ich dowody osobiste. Zdolność przestępców do wykorzystania skradzionych informacji w celu uzyskania pożyczek i dokonania zakupów wskazuje na precyzyjnie przeprowadzone działania i zorganizowaną strukturę grupy przestępczej.
Podczas przeszukania mieszkania podejrzanych policjanci zabezpieczyli m.in. drukarkę do druku na plastikach, fałszywy dowód osobisty, czyste plastiki w formacie i kształcie dowodu osobistego, mogące służyć do wydrukowania fałszywych dokumentów.
Pamiętajcie by być czujnym i zachowywać ostrożność w udostępnianiu swoich danych osobowych.
***
Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.
Poprzednie wydania biuletynu znajdziesz tutaj.