Przegląd wybranych oszustw internetowych - MAJ 2025

13 53

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w maju 2025 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • niekompletny adres, czyli podszycie pod Pocztex,
  • usługa hostingowa aulowana,
  • domena wygaśnie za 24 godziny,
  • problemy z dostarczeniem przesyłki, czyli podszycie pod DPD,
  • zaktualizuj dane płatności, czyli podszycie pod Spotify,
  • fałszywe wiadomości podszywające się pod Facebook,
  • dystrybucja złośliwego oprogramowania – podszycie pod nieistniejącą aplikację „IKO Lokata”.

OFERTY FAŁSZYWYCH INWESTYCJI

W maju  2025 roku analitycy CSIRT KNF zgłosili również do blokady 189 fałszywych profili (246 w kwietniu’25), które publikowały reklamy fałszywych inwestycji (rys. 1).

990

Rysunek 1 Reklamy fałszywych inwestycji

Po kliknięciu w reklamę ofiara trafiała na stronę z artykułem mającym na celu uwiarygodnienie inwestycji i zachęcenie do pozostawienia swoich danych kontaktowych. W kolejnym etapie oszustwa cyberprzestępcy kontaktowali się z ofiarami i wyłudzali środki finansowe użytkowników. W tym przypadku cyberprzestępcy, aby wzmocnić prowadzoną grę psychologiczną podszywali się pod Zakład Ubezpieczeń Społecznych. (rys. 2-3).

991

Rysunek 2 Fałszywe inwestycje – artykuł mający na celu uwiarygodnienie programu inwestycyjnego

 

992

Rysunek 3 Fałszywe inwestycje – formularz rejestracyjny

 

Powtarzającym się schematem jest również drugi etap omawianego oszustwa. W nim, przestępcy publikują informacje o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, której już wcześniej dały się nabrać na ten scenariusz (rys. 4).

993

Rysunek 4 Fałszywe inwestycje – drugi etap schematu przestępstwa

PODSZYCIA BEZPOŚREDNIO POD BANKI 

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W maju 2025 roku nadal wykorzystywali ten sposób.

"WYMAGANE DOKONANIE AUTORYZACJI"

Przestępcy podszywając się pod Santander Bank Polska przesyłali wiadomości SMS, w których informowali użytkowników o konieczności dokonania autoryzacji. Link, który znajdował się w wiadomości SMS prowadził na niebezpieczną stronę, gdzie cyberprzestępcy wyłudzali poświadczenia logowania użytkowników.

Wygląd fałszywej wiadomości SMS, którą przesyłali cyberprzestępcy (rys. 5):

 

994

Rysunek 5 Fałszywa wiadomość SMS, w której cyberprzestępcy podszywają się pod Santander Bank Polska

Wygląd strony phishingowej (rys. 6):

995

Rysunek 6 Fałszywa strona, na której cyberprzestępcy wyłudzali poświadczenia logowania użytkowników

 

PILNA AUTORYZACJA DANYCH 

Przestępcy podszywając się pod Santander Bank Polska wysyłali wiadomości SMS i  informowali o konieczności pilnej aktualizacji danych karty. W rzeczywistości link znajdujący się w wiadomości prowadził na stronę phishingową, podszywającą się pod stronę logowania do bankowości elektronicznej. W ten sposób atakujący wyłudzali poświadczenia logowania użytkowników.

Przykładowa wiadomość SMS wykorzystywana w opisywanej kampanii phishingowej (rys. 7).

 996

Rysunek 7 Wiadomość SMS podszywająca się pod Santander Bank Polska

Wygląd strony phishingowej (rys. 8):

997

Rysunek 8 Wygląd fałszywej strony wyłudzającej poświadczenia logowania

NIEKOMPLETNY ADRES CZYLI PODSZYCIE POD POCZTEX

Cyberprzestępcy podszywając się pod Pocztex informowali o rzekomej konieczności aktualizacji adresu dostawy. Oszuści zachęcali do kliknięcia w link, który w rzeczywistości prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych użytkowników.

Wiadomość SMS, którą wykorzystywali cyberprzestępcy w opisywanej kampanii (rys. 9):

998

Rysunek 9 Wiadomość SMS podszywająca się pod Pocztex

Przykład strony phishingowej (rys. 10):

999

 Rysunek 10 Strona phishingowa podszywająca się pod Pocztex

USŁUGA HOSTINGOWA ANULOWANA

Cyberprzestępcy przesyłali fałszywe wiadomości e-mail, w których podszywali się pod home.pl. Oszuści, w treści wiadomości informowali o tym, iż usługa hostingowa powiązana z kontem użytkownika została anulowana z powodu braku płatności. W rzeczywistości, po kliknięciu w link z wiadomości użytkownik trafiał na fałszywą stronę wyłudzającą dane kart płatniczych.

Przykładowa wiadomość e-mail, którą wykorzystywali cyberprzestępcy w opisywanej kampanii (rys. 11):

100

 

Rysunek 11 Fałszywa wiadomość e-mail, w której cyberprzestępcy podszywali się pod home.pl

 

Wygląd strony podszywającej się pod home.pl (rys. 12):

101

Rysunek 12 Fałszywa strona podszywająca się pod home.pl, wyłudzająca dane kart płatniczych

DOMENA WYGAŚNIE ZA 24 GODZINY 

Przestępcy podszywając się pod home.pl wysyłali także wiadomości e-mail, w których informowali, iż okres ważności domeny dobiega końca i konieczne jest uiszczenie opłaty. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową wyłudzającą dane logowania do kont użytkowników.

Przykładowa wiadomość e-mail wykorzystywana w opisywanej kampanii phishingowej (rys. 13):

102

Rysunek 13 Wiadomość e-mail, którą przesyłali cyberprzestępcy

Wygląd strony podszywającej się pod home.pl (rys. 14):

103

Rysunek 14 Fałszywa strona podszywająca się pod home.pl, wyłudzająca dane logowania do kont użytkowników

PROBLEMY Z DOSTARCZENIEM PRZESYŁKI, CZYLI PODSZYCIE POD DPD

Cyberprzestępcy podszywając się pod firmę Play przesyłali fałszywe wiadomości e-mail, w których informowali o wystawieniu faktury. Wiadomość e-mail zawierała niebezpieczny załącznik, w którym znajdował się link do niebezpiecznej strony wyłudzającej loginy i hasła użytkowników do konta.

Fałszywa wiadomość e-mail podszywająca się pod firmę Play (rys. 15):

104

Rysunek 15 Fałszywa wiadomość e-mail podszywająca się pod firmę Play

Wygląd strony phishingowej (rys. 16):

105

Rysunek 16 Strona phishingowa – podszycie pod firmę Play

"ZAKTUALIZUJ DANE PŁATNOŚCI", CZYLI PODSZYCIE POD SPOTIFY 

Cyberprzestępcy przesyłali fałszywe wiadomości e-mail, w których podszywali się pod serwis Spotify i informowali o problemach z przetworzeniem płatności. Oszuści wymagali wprowadzenia danych logowania do konta.  

Wygląd fałszywej wiadomości e-mail, w której cyberprzestępcy podszywali się pod Spotify (rys. 17):

106

Rysunek 17 Fałszywa wiadomość e-mail podszywająca się pod Spotify

 

Wygląd strony phishingowej wykorzystywanej w opisanej kampanii (rys. 18):

107

Rysunek 18 Strona phishingowa – podszycie pod Spotify

FAŁSZYWE WIADOMOŚCI PODSZYWAJĄCE SIĘ POD FACEBOOK

Cyberprzestępcy przesyłali do użytkowników wiadomości z informacją o rzekomym naruszeniu zasad portalu Facebook. Link z wiadomości prowadził na niebezpieczną stronę, na której oszuści wykradali dane logowania użytkowników. Przejęte w ten sposób konta wykorzystywane były do dalszych przestępstw.

Wygląd fałszywej wiadomości oraz stron phishingowych (rys. 19):

108

Rysunek 19 Fałszywa wiadomość na komunikatorze Messenger oraz strony phishingowe wyłudzające dane logowania

DYSTRYBUCJA ZŁOŚLIWEGO OPROGRAMOWANIA - PODSZYCIE POD NIEISTNIEJĄCĄ APLIKACJĘ "IKO Lokata"

W ostatnim miesiącu cyberprzestępcy publikowali fałszywe reklamy na portalu społecznościowym Facebook, zachęcające do pobrania złośliwej aplikacji na Androida. Malware podszywał się pod rzekomo oficjalną aplikację „IKO Lokata” – która nie istnieje. Po instalacji pobierany był kolejny złośliwy moduł i wymagane były uprawnienia Dostępności, co mogło prowadzić do przejęcia kontroli nad urządzeniem. Malware mógł wyświetlać fałszywą nakładkę na aplikację bankową, nakłaniając ofiarę do wprowadzenia kodu PIN.

Wygląd fałszywej aplikacji (rys. 23).

109

Rysunek 20 Wygląd fałszywej aplikacji

 

Zachęcamy także do zapoznania się z bieżącą analizą kampanii, a także potencjalnymi konsekwencjami zainstalowania złośliwej aplikacji na urządzeniu.

Materiał dostępny jest tutaj:
https://cebrf.knf.gov.pl/images/IKO%20Lokata%20Malware%20-%20Analiza.pdf

110

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook