Przegląd wybranych oszustw internetowych - WRZESIEŃ 2024

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych we wrześniu 2024 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia SMS pod BNP Paribas,
  • dodatkowe 3% do lokaty, czyli oszukańcze reklamy na platformie Facebook,
  • „zbiórka dla powodzian”,
  • Chcesz paczkę? Kliknij w link,
  • sensacyjne wiadomości na Facebooku.

 

OFERTY FAŁSZYWYCH INWESTYCJI

Znanym od miesięcy, lecz nadal bardzo popularnym scenariuszem przestępczy są fałszywe inwestycje. To schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości mają na celu narażanie ofiary na wysokie starty finansowe.

Dodatkowo, we wrześniu 2024 roku analitycy CSIRT KNF zgłosili również do blokady 345 profile na profilu Facebook, które publikowały fałszywe reklamy inwestycyjne (rys. 1).

 

Rysunek 1 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Facebook

 

Fałszywe reklamy publikowane były również na portalu Instagram (rys. 2).

 

Rysunek 2 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Instagram - materiał deepfake

Po kliknięciu w link z reklamy, ofiara trafiała na stronę, na której przestępcy starali się wyłudzić dane kontaktowe (rys. 3).

 

Rysunek 3 Fałszywe inwestycje - strona wyłudzająca dane kontaktowe

Podobnie sytuacja miała miejsce w reklamach publikowanych za pośrednictwem Google. Dla przykładu zaprezentowano podszycie pod Orlen (rys. 4).

Rysunek 4 Fałszywe reklamy inwestycyjne dystrybuowane poprzez reklamy w Google

 

Zdarza się również, że innym sposobem na wzmocnienie prowadzanej gry psychologicznej, jest wykorzystanie wizerunku znanych instytucji. We wrześniu 2024 roku obserwowaliśmy kampanie podszywające się m.in. pod Bank Peako (rys. 5), Narodowy Bank Polski (rys. 6), czy Komisję Nadzoru Finansowego (rys. 7).

Rysunek 5 Fałszywe inwestycje - podszycie pod Bank Peako

Rysunek 6 Fałszywe inwestycje - podszycie pod NBP

 

Rysunek 7 Fałszywe inwestycje - podszycie pod NPB oraz KNF

 

Powtarzającym się schematem jest również drugi etap omawianego oszustwa. W nim, przestępcy publikują informację o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, które już wcześniej dały się nabrać na ten scenariusz (rys. 8).

 

Rysunek 8 Fałszywe inwestycje - drugi etap oszustwa

 

 

ZIDENTYFIKOWANE KAMPANIE PRZESTĘPCZE

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

PODSZYCIA BEZPOŚREDNIO POD BANKI

 

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  We wrześniu 2024 roku ulubionymi sposobami dystrybucji fałszywych stron podszywających się pod banki były reklamy w mediach społecznościowych oraz wiadomości SMS.

 PODSZYCIA SMS POD BNP PARIBAS

Przestępcy podszywając się pod Bank BNP Paribas wysyłali wiadomości SMS informując o rzekomym wygaśnięciu dostępu do bankowości elektronicznej. Celem uniknięcia niedogodności zachęcali do kliknięcia w zawarty w wiadomości link. W rzeczywistości prowadził on na stronę phishingową, łudząco przypominająca prawdziwą stronę, w celu wyłudzenia danych logowania do bankowości elektronicznej.

Przykładowe wiadomości SMS wykorzystywane w opisywanej kampanii phishingowej (rys. 9).

Rysunek 9 Wiadomość SMS - podszycie pod BNP Paribas

Wizerunek przykładowej fałszywej strony wykorzystywanej w opisywanej kampanii phishingowej (rys. 10).

Rysunek 10 Strona phishingowa - podszycie pod Bank

 

Rysunek 11 Strona phishingowa - podszycie pod Bank

 

DODATKOWE 3% DO LOKATY, CZYLI OSZUKAŃCZE REKLAMY NA PLATFORMIE FACEBOOK

Przestępcy podszywając się pod Bank BNP Paribas oraz Bank Pekao publikowali reklamy na platformie Facebook. Informowali w nich o rzekomej możliwości otrzymania dodatkowych 3% do lokaty. W rzeczywistości link zawarty w reklamie prowadził na stronę phishingową, podszywającą się pod stronę logowania do bankowości elektronicznej wymienionych wcześniej banków. W ten sposób atakujących wyłudzali dane logowania do bankowości elektronicznej.


Przykładowe reklamy publikowane na platformie Facebook (rys. 12).


Rysunek 12 Reklamy publikowane na platformie Facebook - podszycie pod BNP Paribas oraz Bank Peako

 

"ZBIÓRKA DLA POWODZIAN"

 

Cyberprzestępcy publikując reklamy na platformie Facebook informowali o rzekomej zbiórce na pomoc osobom dotkniętym powodzią (rys. 13).

 

Rysunek 13 Fałszywa reklama - zbiórka dla powodzian

 

Jeżeli ktoś uwierzył w zbiórkę i chcąc pomóc kliknął w link, trafił na stronę, która nielegalnie wykorzystywała wizerunek Wielkiej Orkiestry Świątecznej Pomocy (rys. 14).

Rysunek 14 Fałszywa strona – fałszywa zbiórka dla powodzian

Następnie wyświetlał się formularz do wpisania informacji o karcie płatniczej (rys. 15).  

Rysunek 15 Wyłudzenie danych o karcie płatniczej - fałszywa zbiórka dla powodzian

CHCESZ PACZKĘ? KLIKNIJ W LINK

Przestępcy wykorzystując wizerunek firm kurierskich (InPost oraz DHL), informowali o rzekomo niedostarczonej paczce. Pod pretekstem możliwości dostarczenia paczki, zachęcali do kliknięcia w link, który w rzeczywistości prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych.


Przykładowe wiadomości SMS oraz fałszywe strony wykorzystywane w opisywanych kampaniach phishingowych (rys. 13-16-17).

Rysunek 16 Wiadomość SMS i strony phishingowe podszywające się pod InPost

 

Rysunek 17 Wiadomość SMS i strony phishingowe podszywające się pod DHL

 

SENSACYJNE WIADOMOŚCI NA FACEBOOKU

Cyberprzestępcy publikowali fałszywe posty na portalu Facebook, zwierające sensacyjne informacje. Po wejściu w taką informację użytkownik trafiał na stronę z rzekomym artykułem, na której, aby możliwe było zapoznanie się z nagraniem video, należało rzekomo potwierdzić swój wiek poprzez zalogowanie się do konta. Ofiara wprowadzając swoje poświadczenia logowania na tej stronie pozwalała oszustom na przejęcie konta. Następnie przestępcy mogą publikować w imieniu ofiary kompromitujące treści, bądź wysyłać wiadomości do jej znajomych w celu wyłudzenia pieniędzy.

 

Fałszywy post na portalu Facebook (rys. 18):

Rysunek 18 Fałszywy post na portalu Facebook, zawierający sensacyjną informację

Strona phishingowa, na której wymagane było wprowadzenie swoich poświadczeń logowania do portalu Facebook (rys. 19):

Rysunek 19 Strona phishingowa – wyłudzenie danych logowania do portalu Facebook

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook.