Przegląd wybranych oszustw internetowych - STYCZEŃ 2025

890

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w styczniu 2025 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • „Dodatkowe pieniądze czekają, czyli podszycie pod mObywatel i administrację publiczną,
  • „Wykorzystaj swoje punkty premiowe”, czyli podszycie pod T-mobile,
  • „Uiszczenie opłaty dostawczej” czyli podszycie pod InPost,
  • powiadomienie o zwrocie, czyli podszycie pod PZU,
  • podszycie pod Pocztę Polską,
  • podszycie mail pod home.pl,
  • „Aktualizację danych płatności”, czyli podszycie pod Netflix,
  • dystrybucję złośliwego oprogramowania – podszycie pod OLX.

OFERTY FAŁSZYWYCH INWESTYCJI

W styczniu 2025 roku analitycy CSIRT KNF zgłosili do blokady 105 fałszywych profili (84 w grudniu’24), które publikowały fałszywe reklamy inwestycyjne (rys. 1).

891

Rysunek 1Fałszywe reklamy inwestycyjne

Cyberprzestępcy w fałszywych ofertach wykorzystywali motyw związany ze sztuczną inteligencją. Niejednokrotnie, cyberprzestępcy w publikowanych fałszywych reklamach oferowali rzekomą pomoc w odzyskaniu środków osobom, które padły już wcześniej ofiarami fraudu inwestycyjnego. Wszystko po to, ażeby prowadzić grę psychologiczną i nakłaniać do przekazania im kolejnych oszczędności. Dodatkowo przestępcy coraz częściej wykorzystują technologię deepfake do tworzenia swoich materiałów, mając na celu zwiększanie poziomu manipulacji. Dzięki wykorzystaniu tego typu technologii atakujący wykorzystują wizerunki znanych osób, generując nagrania video na których przedstawiona jest treść zachęcająca do rzekomych inwestycji.

Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane są poprzez:

  • reklamy na platformie Facebook,
  • reklamy w wyszukiwarce Google,
  • reklamy w wyszukiwarce MSN,
  • reklamy w serwisie społecznościowym Twitter.

Po kliknięciu w link ofiara trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Dane pozyskane przez cyberprzestępców w ten sposób umożliwiają im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków.

Zdarza się również, że innym sposobem na wzmocnienie prowadzanej gry psychologicznej, jest wykorzystanie wizerunku znanych osób. W styczniu 2025 przestępcy przygotowali fałszywe strony, na których informowali ofiary o rzekomej możliwości „bezpiecznego zarobku” (rys.2). Strony te dystrybuowane były przy wykorzystaniu reklam na platformie Facebook.


892

Rysunek 2 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Facebook

 

ZIDENTYFIKOWANE KAMPANIE PRZESTĘPCZE

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

PODSZYCIA BEZPOŚREDNIO POD BANKI

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W styczniu 2025 roku nadal wykorzystywali ten sposób.

FAŁSZYWE REKLAMY NA PLATFORMIE FACEBOOK

Przestępcy podszywając się pod polskie banki publikowali reklamy na platformie Facebook. Pod pretekstem rzekomej możliwości otrzymania dodatkowych +3% do już otwartej lokaty oraz uzyskania bonu upominkowego wyłudzali dane uwierzytelniające do bankowości elektronicznej.

Wygląd reklamy publikowanej na platformie Facebook (rys. 3):

 

893

Rysunek 3 Reklama podszywająca się pod Bank Pekao

Wygląd strony phishingowej wykorzystywanej przez oszustów (rys. 4):

 

894

Rysunek 4 Strona phishingowa - podszycie pod Santander Bank Polska

 

895

 

Rysunek 5 Reklama podszywająca się pod PKO BP

 

896

Rysunek 6 Strona phishingowa - podszycie pod PKO BP

 

DOSTĘP ZABLOKOWANY, CZYLI PODSZYCIE POD ALIOR BANK 

Przestępcy podszywając się pod Alior Bank wysyłali wiadomości SMS. Informowali w nich o rzekomym zablokowaniu dostępu z powodu podejrzenia nieprawidłowości. Oszuści zachęcali do kliknięcia w link, który prowadził na stronę phishingową podszywającą się pod serwis logowania do bankowości elektronicznej.

Reklamy na platformie Facebook:

Wygląd wiadomości SMS (rys. 7):

897

Rysunek 7 Wiadomość SMS- podszycie pod Alior Bank

Wygląd strony phishingowej wyłudzających dane logowania (rys. 8):

 

898

Rysunek 8 Strona phishingowa wyłudzająca dane logowania - podszycie pod Alior Bank

PODSZYCIE POD BNP PARIBAS

Przestępcy podszywając się pod Bank BNP Paribas wyłudzali dane logowania do bankowości elektronicznej. Tłumaczyli to rzekomymi względami bezpieczeństwa i koniecznością weryfikacji poprawności danych.

Wygląd strony phishingowej wyłudzających dane logowania (rys. 9):

899

Rysunek 9 Strona phishingowa - podszycie pod Bank BNP Paribas

 

PODSZYCIE MAIL POD BANK PEKAO

Przestępcy podszywając się pod Bank Pekao wysyłali wiadomości e-mail informowali o rzekomym wygaśnięciu hasła i konieczności jego aktualizacji. W rzeczywistości link ukryty pod przyciskiem „Zmień hasło” prowadził na stronę phishingową, podszywającą się pod stronę logowania do bankowości elektronicznej Banku Pekao. W ten sposób atakujących wyłudzali poświadczenia logowania.

Przykładowa wiadomości e-mail oraz wizerunek fałszywej strony wykorzystywany w opisywanej kampanii phishingowej (rys. 10):

 

900

 

 

 

 

901

Rysunek 10 Wiadomość e-mail i strona phishingowa - podszycie pod Bank Pekao

"DODATKOWE PIENIĄDZE CZEKAJĄ", CZYLI PODSZYCIE POD MOBYWATELI ADMINISTRACJĘ PUBLICZNĄ 

Cyberprzestępcy podszywając się pod mObywatel i  administrację publiczną publikowali fałszywe reklamy na portalu społecznościowym Facebook. Oszuści zachęcali do sprawdzenia dostępności świadczeń socjalnych, a w rzeczywistości przekierowywali na fałszywe strony, gdzie wykradali dane osobowe oraz poświadczenia logowania do bankowości elektronicznej.

Fałszywe reklamy publikowane przez cyberprzestępców (rys. 11):

902

Rysunek 11 Fałszywe reklamy zachęcające do sprawdzenia dostępności świadczeń socjalnych

Wygląd stron phishingowych(rys. 12):

 

903

 

Rysunek 12 Fałszywe strony wyłudzające dane osobowe oraz poświadczenia logowania do bankowości elektronicznej

 

"WYKORZYSTAJ SWOJE PUNKTY PREMIOWE", CZYLI PODSZYCIE POD T-MOBILE

Cyberprzestępcy przesyłali fałszywe wiadomości SMS, w których podszywali się pod T-Mobile. Linki w wiadomościach kierowały na fałszywą stronę, która wizualnie przypominała serwis Orange – zastosowano podobną szatę graficzną, a logo zostało lekko zmodyfikowane. Na niebezpiecznej stronie oszuści informowali o możliwości wymiany punktów, a w kolejnym kroku wyłudzali dane osobowe oraz informacje o kartach płatniczych.

Zrzuty ekranu z materiałów przestępczych (logo CSIRT KNF w ramach znaku wodnego):

Fałszywa wiadomość SMS podszywająca się pod T-Mobile (rys. 13):

904

Rysunek 13 Fałszywa wiadomość SMS – podszycie pod T-Mobile

 

Wygląd stron phishingowych(rys. 14):

905

Rysunek 14 Strony phishingowe - podszycie pod Orange

 

"UISZCZENIE OPŁATY DOSTAWCZEJ", CZYLI PODSZYCIE POD INPOST

Cyberprzestępcy podszywając się pod firmę InPost, informowali o rzekomej konieczności uiszczenia opłaty dostawczej. W rzeczywistości wyłudzali dane kart płatniczych. Podobna kampania phishingowa miała już nieraz miejsce w latach 2023 i 2024.

Wiadomości SMS wykorzystywane w opisanej kampanii (rys. 15):

 

906

 

Rysunek 15 Wiadomość SMS podszywająca się pod firmę InPost

 

Przykład strony phishingowej (rys. 16):

 

907

Rysunek 16 Strona phishingowa, podszywające się pod firmę InPost

POWIADOMIENIE O ZWROCIE CZYLI PODSZYCIE POD PZU

Cyberprzestępcy przesyłali fałszywe wiadomości e-mail (rys.17), w których informowali o możliwości otrzymania rzekomego zwrotu pieniędzy. Oszuści zachęcali do zeskanowania kodu QR, a w rzeczywistości kierowali na fałszywe strony wyłudzające dane kart płatniczych(rys. 18).

Wygląd wiadomości e-mail, którą przesyłali cyberprzestępcy:

908

Rysunek 17 Fałszywa wiadomość e-mail, podszywająca się pod PZU

 

909

Rysunek 18 Wygląd fałszywej strony wyłudzającej dane kart płatniczych

 

PODSZYCIE POD POCZTĘ POLSKĄ 

Cyberprzestępcy prowadzili znaną już w Polsce kampanię phishingową podszywająca się pod Pocztę Polską. W tym przypadku przesyłali fałszywe wiadomości e-mail, w których informowali o konieczności uregulowania należności celnych i podatków. Link znajdujący się w wiadomości prowadził do niebezpiecznej strony wyłudzającej dane osobowe oraz informacje o kartach płatniczych. 

Wiadomość e-mail zawierająca stronę phishingową (rys. 19).

910

Rysunek 19 Fałszywa wiadomość SMS podszywająca się pod Pocztę Polską

Przykłady stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 20).

911

Rysunek 20 Strony phishingowe - podszycie pod Pocztę Polską

PODSZYCIE MAIL POD HOME.PL

Cyberprzestępcy przygotowali kampanię phishingową, podszywającą się pod home.pl. Oszuści przesyłali fałszywe wiadomości e-mail, w których informowali o rzekomej konieczności aktualizacji systemu (rys.21). W rzeczywistości ich celem było wyłudzenie danych logowania do panelu klienta poprzez przekierowanie na podrobioną stronę (rys.22).

Przykładowa wiadomość e-mail przesyłana przez cyberprzestępców (rys.21).

912

Rysunek 21 Wiadomość e-mail – podszycie pod serwis home.pl

Wizerunek fałszywej strony wykorzystywany w opisywanej kampanii phishingowej (rys. 22).

913

Rysunek 22 Przykład fałszywej strony – podszycie pod serwis home.pl

"AKTUALIZACJA DANYCH PŁATNOŚCI", CZYLI PODSZYCIE POD NETFLIX

Przestępcy przygotowali kampanię phishingową i informowali o rzekomym zawieszeniu konta na platformie Netflix. Odblokowanie konta wymagało aktualizacji danych transakcyjnych. W rzeczywistości link z wiadomości e-mail prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych.

Wiadomość e-mail wykorzystywana w opisywanej kampanii phishingowej (rys. 23):

914

Rysunek 23 Przykład fałszywej wiadomości e-mail – podszycie pod serwis Netflix

Przykład fałszywej strony phishingowej podszywającej się pod serwis Netflix (rys. 24):

915

Rysunek 24 Przykład fałszywej strony – podszycie pod serwis Netflix

DYSTRYBUCJA ZŁOŚLIWEGO OPROGRAMOWANIA, CZYLI PODSZYCIE POD OLX

W styczniu 2025 roku miała miejsce kampania podszywająca się pod OLX Payments. Po jej uruchomieniu, użytkownik prowadzony był do instalacji kolejnej fałszywej aplikacji Google Services. W kolejnym kroku użytkownik trafiał na formularz wykorzystujący logotyp InPost i informujący o możliwości odbioru środków finansowych. Cyberprzestępcy w ten sposób próbowali wykradać dane logowania do bankowości internetowej.

Zachęcamy do zapoznania się z filmikiem, w którym pokazujemy sposób działania fałszywej aplikacji:

https://x.com/CSIRT_KNF/status/1882074515229807056

Wygląd fałszywej aplikacji (rys. 25).

916

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.