Cyberprzestępcy nieustannie śledzą popularne i aktualne tematy, po to aby wykorzystywać je w swoich atakach. Głośne w ostatnim czasie planowane podwyżki za prąd stały się przyczyną do kolejnej kampanii przestępców.

Cały atak jest dosyć dobrze przygotowany. Przestępcy stworzyli stronę podszywającą się pod PGE, wykorzystali logo znanej marki oraz szatę graficzną z oryginalnej strony.

1-2

Oczywiście opisana strona jest blokowana przez BROWSERWALL. Jeśli dodacie to rozszerzenie do swojej przeglądarki, zwiększycie swoje bezpieczeństwo podczas korzystania z internetu.

Po załadowaniu się strony, pojawia się komunikat o tym, że mamy niewielką zaległość w płatności za prąd (8,45 zł), a opóźnienie w płatności wynosi już 44 dni. Jeśli kogoś to nie zmartwi, to poniżej znajduje się informacja, która dla wszystkich będzie niepokojąca:
Planowane odłączenie energii elektrycznej w dniu 05.02.2020

To socjotechnika stosowana przez przestępców, po to aby wzbudzić silny niepokój i zmusić potencjalną ofiarę do natychmiastowego działania, bez głębszego zastanowienia - kliknięcia Zapłać teraz.

2-1

Co ciekawe, cały atak został w miarę dobrze przygotowany. Fałszywą stronę PGE możemy znaleźć w wyszukiwarce Google. Jest ona pozycjonowana na trzecim miejscu w wynikach wyszukiwania!

GOOGLE_screen

Po kliknięciu Zapłać teraz następuje przekierowanie do strony szybkich płatności Dotpay, gdzie możemy uregulować zaległość. Jako odbiorcę płatności widzimy PGE Obrót S.A., tytułem Spłata zaległości nr XXX i kwota do zapłaty 8,45 PLN. To jednak nie świadczy o tym, że zrobimy taki przelew, bo strona jest FAŁSZYWA. W pasku adresu widzimy domenę ibok-pge.pl, a połączenie nie jest zabezpieczone (strona nie posiada certyfikatu SSL oraz SSL EV).

dotpay

Jak widzimy na screenie powyżej, na stronie mamy do wyboru tylko 12 bankowości. Co ciekawe, spośród wszystkich aktywnych było jedynie 5.
Po wybraniu z listy dostępnej bankowości, wpisaniu swoich danych i kliknięciu Zapłać 8,45 PLN następowało przekierowanie do fałszywej strony bankowości.

Pokażemy, jak dalej przebiegał atak na przykładzie jednej z bankowości. W pierwszym etapie, po przekierowaniu z fałszywej strony Dotpay, wyświetlał się następujący komunikat:
Ze względu na problem techniczny, przy płatności dla DOTPAY nie działa autoryzacja aplikacją mobilną. W celu dokonania transakcji prosimy o zmianę sposobu autoryzacji na kody SMS.

mbank1

Po zatwierdzeniu komunikatu, widzimy już fałszywy panel płatności mBanku. Jak widzimy na screenie poniżej, opcja płatności Blikiem jest niedostępna. Możemy jedynie skorzystać z tradycyjnej formy robienia przelewu.
To też jest celowe działanie przestępców. Nie chodzi im wcale o to, żeby ktoś przelał na ich konto taką drobną kwotę, a o to, żeby podać swoje dane logowania do bankowości na fałszywej stronie. Wówczas te dane natychmiast trafią w ręce przestępców, którzy z ich użyciem będą mogli zalogować się do naszej bankowości.

mbank2

Po wpisaniu identyfikatora oraz hasła, następuje przekierowanie do kolejnego etapu ataku, gdzie wyłudzany jest jednorazowy kod SMS otrzymywany z banku. Po wpisaniu kodu i kliknięciu Wyślij, nie zostaniecie ani zalogowani do bankowości, ani rzekoma płatność nie zostanie zrealizowana. Pojawi się komunikat, żeby wprowadzić jeszcze jeden kod SMS. Podane przez Was kody SMS trafią do przestępców, którzy będą mogli wykorzystać je do logowania, zlecenia przelewu lub dodania zaufanego odbiorcy.

mbank3

Podsumowanie

Dzięki naszej współpracy z firmami hostingowymi na całym świecie, fałszywa strona została już zablokowana. Jednak niebezpieczeństwo wciąż istnieje, a przestępcy mogą tworzyć kolejne takie same strony. Dlatego ważne jest, aby być świadomym zagrożenia. Zawsze sprawdzajcie wszystkie wiadomości SMS i email, jakie otrzymujecie. Zwłaszcza te, których się nie spodziewacie lub w których jest informacja o wymaganej dopłacie lub zaległości do uregulowania.

W przypadku otrzymania podejrzanej wiadomości SMS, email lub jeśli macie wątpliwości co do autentyczności odwiedzanej strony - poinformujcie nas o tym, za pośrednictwem ZGŁOŚINCYDENT. Zgłoszenie zostanie przez nas zweryfikowane, a w przypadku ujawnienia zagrożenia - podejmiemy odpowiednie działania, aby je zablokować.

Obecnie mamy także skuteczny sposób obrony przed fałszywymi stronami, a w rezultacie przed utratą poufnych danych oraz pieniędzy - BROWSERWALL. Jest to bezpłatny dodatek do przeglądarek, który blokuje oraz informuje użytkowników przed fałszywymi stronami.