Przegląd wybranych oszustw internetowych - Listopad  2024

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w listopadzie 2024 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • Twoja bankowość wygasa, czyli oszukańcze wiadomości SMS
  • odbierz 500 złotych, czyli podszycie pod Credit Agricole
  • wyjątkowa okazja, czyli zagubiona paczka za 9 zł
  • fałszywe sklepy, czyli Black Friday
  • kody QR na parkomatach w Katowicach


OFERTY FAŁSZYWYCH INWESTYCJI

Znanym od miesięcy, lecz nadal bardzo popularnym scenariuszem przestępczy są fałszywe inwestycje. W pierwszym etapie scenariusza, przestępcy reklamując rzekome inwestycje wykorzystują często wizerunki znanych osób oraz marek, ma to na celu zwiększenie efektu socjotechnicznego (rys. 1).

rys.  1 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Facebook

 

Po kliknięciu w link z reklamy, ofiara trafiała na stronę, na której przestępcy starali się wyłudzić dane kontaktowe (rys. 2).

rys.  2 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Facebook

Warto zwrócić także uwagę (wykres 2), na to że listopad’24 to kolejny miesiąc, w którym najwięcej wykrytych reklam dotyczyła drugiego etapu opisywanego schematu. Sytuacji, w której przestępcy oszukują, oszukane już wcześniej osoby, pod pretekstem rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, które już wcześniej dały się nabrać na ten scenariusz (rys. 3).

rys.  3 Fałszywe inwestycje - drugi etap schematu przestępstwa

W opisywanym schemacie atakujący nadal wykorzystują nagrania deepfake oraz fałszywe aplikacje, które nie infekują urządzeń, ale mają na celu zwiększanie wiarygodności przedstawianych przez nich treści (rys. 4).

rys.  4 Fałszywe inwestycje - wykorzystanie aplikacji mobilnych

 

ZIDENTYFIKOWANE KAMPANIE PRZESTĘPCZE

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

TWOJA BANKOWOŚĆ WYGASA, CZYLI OSZUKAŃCZE WIADOMOŚCI SMS

Listopad’24 był kolejnym miesiącem, w którym przestępcy wykorzystywali wizerunek polskich banków, aby zwiększać wiarygodność kampanii phishingowych. Atakujący podszywając się pod Bank Peako oraz Santander Bank Polska wysyłali wiadomości SMS informując o rzekomym wygaśnięciu dostępu do bankowości elektronicznej. Celem uniknięcia niedogodności zachęcali do kliknięcia w zawarty w wiadomości link. W rzeczywistości prowadził on na stronę phishingową, łudząco przypominająca prawdziwą stronę, w celu wyłudzenia danych logowania do bankowości elektronicznej.

Przykładowe wiadomości SMS oraz strony phishingowe wykorzystywane w opisywanej kampanii phishingowej (rys. 5-6).

 

rys.  5 Podszycie pod bank - wiadomość SMS oraz strona phishingowa 1/2

 

rys.  6 Podszycie pod bank - wiadomość SMS oraz strona phishingowa 2/2

 

ODBIERZ 500 ZŁ, CZYLI PODSZYCIE POD CREDIT AGRICOLE

Kolejną kampania minionego miesiąca, w której przestępcy wykorzystywali wizerunek polskiego banku, było podszycie pod Credit Agricole. Pod pretekstem możliwości wypełnienie ankiety, za która rzekomo otrzymać można było wynagrodzenie finansowe, atakujący wyłudzali dane logowania do bankowości elektronicznej.

 

Wizerunek stron phishingowych zawierającej ankietę oraz rzekomą stronę logowania do bankowości elektronicznej (rys. 7).

rys.  7 Podszycie pod Bank - ankieta i strona logowania

 

WYJĄTKOWA OKAZJA, CZYLI ZAGUBIONA PACZKA ZA 9 ZŁ 

Po raz kolejny przestępcy starali się wyprowadzać środki z rachunków, wykorzystując do tego „model subskrypcyjny”. Tym razem publikowali reklamy na platformie Facebook, informowali w nich o rzekomej możliwości odkupienia nieodebranej przez kogoś paczki, za jedyne 9zł (rys. 8).

rys.  8 Reklama - zagubiona paczka

Jeżeli ktoś dał skusić się ofertą i kliknął w link, trafił na stronę, na której proszony był o odpowiedź na kilka pytań (rys. 9).

rys.  9 Odpowiedź na pytania - paczka za 9zł

Następnie wyświetlał się formularz do wpisania danych osobowych oraz informacji o karcie płatniczej (rys. 10). 

rys.  10 Formularz wyłudzający dane osobowe oraz informacje o kartach płatniczych

 

 FAŁSZYWE SKLEPY, CZYLI BLACK FRIDAY

Przestępcy wykorzystując czas intensywniejszych zakupów, stworzyli fałszywe sklepy, podszywając się pod wizerunki znanych marek. Informacje o nich dystrybuowali poprzez reklamy w mediach społecznościowych, zachęcając wyprzedażami i promocjami. W rzeczywistości starali się wyłudzić dane kart płatniczych.

Należy się spodziewać, że w związku ze zbliżającymi się świętami, tego typu kampanie phishingowe będą wykorzystywane przez atakujących częściej, niż dotychczas.

Przykładowe reklamy oraz fałszywe strony wykorzystywane w opisywanych kampaniach phishingowych (rys. 11-12).

 

rys.  11 Fałszywe sklepy - wyłudzenie informacji o kartach płatniczych 2/2

 

rys.  12 Fałszywe sklepy - wyłudzenie informacji o kartach płatniczych 2/2

 

KODY QR NA PARKOMATACH W KATOWICACH

Jak możemy przeczytać w serwisie X, na profilu „Miasto Katowice” (https://x.com/miasto_katowice), w dniu 20.11.2024 r. zauważono na tutejszych parkomatach naklejki z kodem QR. Zeskanowany kod QR miał prowadzić do strony, która chciała wyłudzić dane (rys. 13).

 

rys.  13 Komunikat o kodach QR znajdujących się na parkomatach oraz docelowa strona po niego zeskanowaniu

Z kampaniami przestępczymi, dystrybuowanym poprzez fizyczne dostarczacie kodów QR mierzyliśmy się też już wcześniej. Oznacza to, że przestępcy nie ustają w wymyślaniu, zarówno kolejnych scenariuszy i schematów działań, ale i sposobów dystrybucji szkodliwej treści.

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.