Mamy do czynienia z kolejną zuchwałą próbą oszustwa Tym razem przestępcy żerują na łatwowierności, przy okazji podszywając się pod sieć sklepów i bramkę płatności. W efekcie zyskują dostęp do kont bankowych, z których odprowadzają pieniądze.
To jeden z najlepiej przeprowadzonych i najgroźniejszych ataków phishingowych w ostatnim czasie. Za jego wykryciem stoi zespół CERT Polska.
Atak zaczyna się w momencie wejścia na adres "bony-biedronka.com". Internauta jest tam zachęcany do zdobycia bonu na zakupy do sieci sklepów Biedronka. Adres strony mogłaby nie budzić nawet podejrzeń, gdyby nie fakt, że Biedronka w rzeczywistości korzysta z domeny ".pl".
Prosty schemat ataku
Szablon strony został podrobiony w najdrobniejszych szczegółach. Strona na pierwszy rzut oka nie budzi żadnych zastrzeżeń, choć przyznać trzeba, że baner główny nie został zbyt starannie przygotowany. Wiarygodności dodaje fakt, że każdy z dostępnych powyżej linków przenosi na prawdziwą stronę Biedronki.
Podrobiona strona Biedronki fot. screen własny
Oszuści zapewniają, że w ramach promocji można zdobyć bon o wartości 50 zł na zakupy w Biedronce, płacąc dziesięciokrotnie mniej. Po kliknięciu w baner użytkownik przenoszony jest na stronę podszywającą się pod serwis Dotpay.
Fałszywa strona Dotpay również nie różni się od oryginalnej. Co więcej, posługuje się nawet certyfikatem SSL wystawionym przez Let’s Encrypt. To kolejny przykład na to, że obecność certyfikatu nie chroni przed atakami phishingowymi.
Podrobiona strona Dotpay fot. CERT Polska
Następnie ofiara jest proszona o zalogowanie się na swoje konto bankowe i przelanie wymaganej kwoty 5 zł. W tym momencie przestępcy przejmują nasze dane logowania (nazwa użytkownika i hasła), które pozwolą im przejąc kontrolę nad naszym kontem.
Fałszywa bramka prosi ofiarę o wybór swojego banku, aby w następnym kroku zaprezentować imitację formularza logowania do serwisu transakcyjnego. Kiedy użytkownik poda swoje dane, skrypt napisany przez napastników inicjuje równoległą sesję z danym bankiem, loguje się tymi danymi i podejmuje czynności mające na celu wyprowadzenie pieniędzy z konta ofiary na rachunek bankowy podstawiony przez atakujących
- tłumaczy zespół CERT Polska.
Podrobiona strona Biedronki wciąż jest dostępna w sieci. W tym momencie sfałszowany serwis Dotpay z formularzem płatności został zablokowany, ale niewykluczone, że w wkrótce oszuści przygotują jego kolejną wersję. Warto więc mieć się na baczności.
Atak na klientów sieci Biedronka fot. screen własny
Jak chronić się przed takimi atakami?
Ataki phishingowe są jednymi z najbardziej skutecznych, bo żerują na łatwowierności . Aby uniknąć podobnych ataków warto upewnić się komu podajemy poufne dane.
Przede wszystkim należy pamiętać, że certyfikat SSL (tzw. "zielona kłódka" na pasku adresu) nie chroni przed podaniem danych cyberprzestępcom. Zapewnia jedynie, że połączenie z danym serwisem internetowym jest szyfrowane.
CERT radzi, aby podczas podawania danych karty czy rachunku bankowego dokładnie upewnić się czy adres bramki płatności nie różni się od oryginalnego. W przypadku prawdziwej bramki Dotpay jest to "ssl.dotpay.pl" (potwierdzony certyfikatem SSL OV).
---
