Spółka P4 i BIG nie informowały o wpisie do rejestru długów, InPost nie pobierał dopłaty za dezynfekcję przesyłki, a Bank Millennium nie rozdawał po 900 zł nagrody. Internetowi oszuści tworzą kampanie nawiązujące do stanu epidemii - wykorzystują fałszywe witryny lub bramki płatnicze, podszywając się pod znane marki.
Czas epidemii COVID-19 szczególnie aktywnie wykorzystują internetowi oszuści, którzy - żerując na poczuciu niepewności i strachu - próbują wykraść nasze dane lub pieniądze, podszywając się pod różne instytucje, w tym finansowe. Schemat jest zwykle taki sam: tworzą fałszywe witryny lub bramki płatnicze, wykorzystując znane marki, by w ten sposób zdobyć nasze zaufanie. Chcą nakłonić do kliknięcia w link, zalogowania się do danej strony, podania danych albo przelania pieniędzy jakiejś instytucji.
W poniżej prezentowanych przykładach oszuści próbowali przekonać internautów, że rzekome nowe decyzje rządu, banku czy nawet firmy kurierskiej związane z epidemią wymagają dodatkowych opłat.
Ave Maria w fałszywym e-mailu
Informacje o nowych zagrożeniach w sieci publikuje zespół CERT Polska działający w strukturach Naukowej i Akademickiej Sieci Komputerowej. Na przykład analitycy zespołu donosili o kampanii, w której podszywano się pod Biuro Informacji Gospodarczej (BIG) i spółkę P4, operatora sieci komórkowej Play.
fałsz
Kampania polegała na rozsyłaniu e-maili pochodzących rzekomo od BIG, informujących o "wpisie do rejestru długów za niezapłaconą kwotę 1400 zł", który miał pochodzić od spółki P4. Powodem zaległości była "niezapłacona faktura". W wiadomości zamieszczono dwa linki odsyłające rzekomo do sprawdzenia szczegółów w załączniku.
Załącznik zawierał złośliwe oprogramowanie z rodziny Ave Maria. Jak wyjaśnił CERT, służy ono do zdalnego przejęcia kontroli nad komputerem i kradzieży danych, m.in. przez wykradzenie haseł z menedżera haseł zapisanych w przeglądarce Firefox i skrzynkach pocztowych.
"Po infekcji zarażony komputer łączy się z adresem 94.177.123[.]177 i tam wysyła wykradzione dane" – przestrzega CERT. Wymieniony we wpisie adres IP - według informacji ze strony IP Checker - jest zarejestrowany w Moskwie. Nie oznacza to, że oszuści pochodzą z tego kraju, ponieważ w swoich działaniach często wykorzystują sieć serwerów proxy zlokalizowanych w różnych państwach, by w ten sposób ukryć prawdziwe miejsce pracy.
Przeterminowane zadłużenie w US i ZUS
Inną próbą oszustwa będącą przykładem wyłudzenia pieniędzy w stanie pandemii była kampania, w której stworzono fałszywą stronę Ministerstwa Finansów. Jak opisuje CERT, na stronie tej wykorzystano prawdziwe regulacje wprowadzane przez rząd. Fałszerstwo widać było w adresie witryny. Zamiast oficjalnej domeny gov.pl, działała w domenie gov-24.com.
Witryna informowała: "Z tytułu wprowadzenia tarczy antykryzysowej od dnia 01.04.2020 informujemy Państwa o przeterminowanym zadłużeniu w Urzędzie Skarbowym". Kwota rzekomego długu wynosiła 7,20 zł.
fałsz
Oszuści przekonywali, że niespłacenie długu uniemożliwi objęcie rozwiązaniami tarczy, a także m.in. spowoduje "zmniejszenie wynagrodzenia o 60 procent".
Pod informacją, że "Kancelaria Prezesa Rady Ministrów zachęca do korzystania z ulg" znajdował się link oznaczony jako "zapłać zaległość". CERT informował, że link kierował do fałszywej strony podszywającej się pod panel operatora płatności online PayU. Strona w niczym nie różniła się od oryginalnej wersji, ale elementem wskazującym na oszustwo był adres: paqu24.com.
Nie było to pierwszy przypadek, gdy oszuści realizowali kampanię z użyciem instytucji publicznej i fałszywego panelu płatniczego. Wcześniej CERT ostrzegał przed identycznych schematem - wtedy podszywano się pod Zakład Ubezpieczeń Społecznych.
ZUS miał też rzekomo informować o spłacie niezbędnych 3,71 zł, które "uniemożliwiały dopłatę z tarczy antykryzysowej w kwocie 2000 PLN".
Dezynfekcja za 1,20 zł
Inna kampania, której celem było wyłudzenie pieniędzy, była prowadzona poprzez SMS-y. Nadawca o podejrzanej nazwie "Infosms" wysyłał wiadomość, że "z powodu dezynfekcji przesylka nr 002877399111 wymaga doplaty 1,20 PLN". Po wezwaniu o treści "Oplac, aby otrzymac dostawe" zamieszczono link do strony in-post.net/1.
Oszuści wykorzystali nazwę firmy świadczącej usługi pocztowe, ponieważ wiele osób realizuje obecnie zakupy za pośrednictwem Internetu z dostawą towarów przez kuriera lub do punktu. Wystarczy jednak wpisać tę nazwę w wyszukiwarkę Google, by już w pierwszym wyniku zobaczyć, że prawidłowy adres witryny to inpost.pl - a nie in-post.net.
Na oryginalnej stronie firma zresztą również apelowała o nieklikanie w linki rozsyłane SMS-ami. "InPost nigdy nie wysyła informacji o dopłatach w wiadomościach SMS!" – napisała. "Informujemy ponadto, że nie wysyłamy żadnych informacji mających na celu weryfikację paczek ze względu na zagrożenie koronawirusem" – dodano.
Schemat wyłudzenia w przypadku tej kampanii był podobny jak w przypadku Urzędu Skarbowego i ZUS. "Finalnie jesteśmy odsyłani do fałszywego panelu płatności" – wyjaśniał CERT Polska.
Oszustwo "na hojny bank"
Jeszcze inny kanał dotarcia do potencjalnych ofiar wykorzystywali oszuści podszywający się pod Bank Millennium. Kampanię prowadzili za pośrednictwem płatnych reklam na Facebooku, które docierają do bardzo szerokiego grona odbiorców.
Na taką właśnie reklamę natrafił jeden z naszych czytelników, który przesłał nam zrzut ekranu.
fałsz
W treści reklamy jest informacja, że bank przekazuje 900 zł na konto. By otrzymać nagrodę, użytkownik miał wejść na witrynę o adresie… producenta torebek wittchen.com.
O tym, że takie ogłoszenia są oczywistą próbą oszustwa, alarmował już na początku marca CERT. "Informujemy o złośliwej kampanii podszywającej się pod Bank Millennium, prowadzonej na Facebooku poprzez reklamy" – informował na swoich profilach w serwisach społecznościowych.
Pokazana przez CERT reklama miała jednak nieco inną treść: 900 zł nagrody obiecywano klientom, którzy mieli na koncie co najmniej 5000 zł. "Przestępcom oczywiście chodzi o przejęcie danych do logowania oraz wyłudzenie MilleKodu" – wyjaśniał CERT. Na załączonym zrzucie ekranu widać, że użytkownicy mieli wpisywać numer tego kodu na witrynie, do której kierował link.
Kluczem do wykrycia oszustwa po raz kolejny był niewiarygodny adres rzekomej witryny banku - w tym przypadku nie był to wittchen.com, tylko millbonusss1.fun.
Lista ostrzeżeń
By ułatwić weryfikację autentyczności i adresów danej witryny, CERT stworzył na swojej stronie "Listę ostrzeżeń przed niebezpiecznymi stronami". Każdy, kto natknie się na podejrzanie wyglądającą stronę, może sprawdzić, czy nie widnieje ona już w wykazie. Jeśli nie, można ją zgłosić do sprawdzenia ekspertom z CERT za pomocą formularza dostępnego na stronie incydent.cert.pl/phishing. Baza jest aktualizowana co pięć minut.
Autor: Michał Istel / Źródło: Konkret24; zdjęcie: Shutterstock
Źródło zdjęcia głównego: Shutterstock