Uważaj na takie wiadomości. Oszuści znają nawet twoje imię
Wszystko zaczyna się od jednego, bardzo wiarygodnego SMS-a. Stracić można wszystkie oszczędności.
15.02.2018 08:37
O nowym, bardzo groźnym ataku pisze Niebezpiecznik. Najpierw ofiara otrzymuje SMS-a, informującego o niedopłacie za telefon. Podany jest też bezpośredni link do serwisu płatniczego, gdzie od razu można przelać zaległe 6 zł. Również na tym polega spryt oszustów - suma nie jest wysoka, więc wiele osób dla świętego spokoju zechce dokonać transakcji. W końcu 6 zł to niewiele, a ryzykuje się zablokowaniem połączeń - oszuści straszą, że tak się stanie, jeśli nie dokona się wpłaty.
Jednak nie to jest najbardziej podstępną rzeczą w tej wiadomości. Oszuści zwracają się do ofiary po imieniu i nazwisku. Skąd znają dokładne dane? Nie wiadomo. Ale niekoniecznie muszą pochodzić z wycieków. Takie informacje, jak imię, nazwisko i numer telefonu, można pozyskać chociażby z serwisów z ogłoszeniami. Czasami niektórzy na Facebooku w komentarzu proszą o kontakt, podając do siebie numer. W ten sposób można łatwo zdobyć sporą bazę numerów.
Co dzieje się, gdy ofiara kliknie w podstawiony link? Przenoszona jest na stronę, która swoim wyglądem przypomina DotPay. Uśpić czujność może zielona kłódka, teoretycznie będąca sygnałem, że ze stroną jest wszystko w porządku. Zwróciliśmy jednak niedawno uwagę na to, że coraz częściej przestępcy mogą zdobyć certyfikat i zielona kłódka wcale nie oznacza, że strona jest bezpieczna. Tak jest tym razem.
Wybierając swój bank, ofiara proszona jest o podanie danych do przelewu. Następnie wyświetla się komunikat o awarii systemu i dlatego nakłania się do płatności kartą. Cyberprzestępcy liczą, że w ten sposób uzyskają dane do karty płatniczej.
Inny możliwy scenariusz przedstawia serwis Zaufana Trzecia Strona. Po wybraniu banku następuje próba zalogowania się na konto. Gdy ofiara wpisze swój login i hasło, oszuści natychmiast przechwytują dane - ofiara widzi komunikat o wpisaniu błędnych danych - i ustawiają na rachunku przelew zaufany albo zdejmują możliwe limity. Oczywiście ofiara musi potwierdzić wszystko kodem SMS, ale jeśli nie przeczyta wiadomości od banku i potulnie poda kod przestępcom, to pozwoli wyczyścić swoje konto.
Portal Zaufana Trzecia Strona wyjaśnia, jak działają takie oszustwa. Okazuje się, że szablon do strony imitującej serwis płatniczy można po prostu… kupić. W ogłoszeniu, cytowanym przez ZTS, czytamy, że fałszywą stronę kupić można za 10 tys. zł. “Przechwytuje dane do logowania kod sms i ladnie dziekuje za platnosc. Wszystko sie robi samo” - zachwala swój produkt sprzedający (zachowano oryginalną pisownię).
Oszustwa są więc coraz sprytniejsze i coraz powszechniejsze. Jak się więc chronić? Przede wszystkim nie klikać w linki do serwisów bankowych, przesyłanych w SMS-ach czy wiadomościach. Uważnie sprawdzajmy, na jakiej stronie się znajdujemy. W tym przypadku sygnałem, że coś jest nie tak, mógł być fakt, że strona chodzi kiepsko. Pamiętajmy też, by wyjaśniać wszystkie wątpliwości - zaległe opłaty, faktury czy informacje związane z kurierem - z prawdziwą firmą. Nie odpowiadajmy na wiadomość, lepiej skontaktować się z serwisem poprzez oficjalną stronę internetową, gdzie znajdziemy odpowiednie namiary.