Phishing na Ministerstwo Finansów - Wniosek o zadośćuczynienie

Cyberprzestępcy, powołując się na rzekome rozporządzenie Ministerstwa Finansów informują o możliwości otrzymania zwrotu odszkodowania w ramach zadośćuczynienia. W rzeczywistości wyłudzają poufne dane jak np. numer PESEL, a w późniejszych krokach także dane logowania do bankowości internetowej.

Phishing na Ministerstwo Finansów - Wniosek o zadośćuczynienie

Według oszustów na mocy rozporządzenia Ministerstwa Finansów od 25.11.2022 można ubiegać się o jednorazowy zwrot zadośćuczynienia z uwagi na sytuację migracyjną w Polsce wywołaną wojną za naszą wschodnią granicą. Tak naprawdę takie rozporządzenie nie istnieje, nie ma także możliwości otrzymania z tego tytułu "zwrotu odszkodowania". Jest to pretekst do budowania narracji na potrzeby kolejnej kampanii phishingowej przez hakerów. W niniejszym artykule przedstawiamy schemat ataku phishing, w którym oszuści wykorzystali temat zwrotu jednorazowego odszkodowania obywatelom Polski, ze względu na wysoki poziom migracji obywateli Ukrainy do RP w związku z inwazją rosyjską.

Fałszywa strona Ministerstwa Finansów

Cyberprzestępcy na potrzeby omawianego ataku phishing stworzyli stronę (codziennie powstają kolejne) podszywającą się pod serwis rządowy gov.pl, a dokładniej podstronę Ministerstwa Finansów.

Fałszywa strona Ministerstwa Finansów

Na niej to została umieszczona informacja o nieistniejącym rozporządzeniu w sprawie jednorazowego "zwrotu odszkodowania". Fałszywa strona została przygotowana bardzo starannie. Zawarte są np. prawdziwe informacje o kierownictwie ministerstwa, czy dane kontaktowe.

Fałszywa strona Ministerstwa Finansów - Kierownictwo_Ministerstwa
Fałszywa strona Ministerstwa Finansów - Informacje o ministerstwie

Można powiedzieć, że zawartość oryginalnej strony rządowej została skopiowana, co jest już normą i do czego oszuści zdążyli nas przyzwyczaić. Z tego powodu dość trudno jest rozróżnić stronę stworzoną przez hakerów od oryginału. Warto więc weryfikować adres strony internetowej, na której się znajdujemy.
W celu odebrania wspomnianego "zwrotu za zadośćuczynienie" należy uzupełnić krótki formularz dostępny na fałszywej stronie.

Fałszywa strona Ministerstwa Finansów - Formularz zgłoszeniowy

Należy podać imię i nazwisko, numer PESEL, adres zamieszkania, numer telefonu i adres e-mail. Ponadto należy wybrać z listy bank, na który konto otrzymuje się wynagrodzenie (czy też zasiłek w przypadku osób bezrobotnych).

Fałszywa strona Ministerstwa Finansów - Formularz zgłoszeniowy - wybór banku

Po wprowadzeniu danych i wyborze banku należy jeszcze rozwiązać test CAPTCHA i nacisnąć przycisk Wyślij. Po chwili pojawi się komunikat, że formularz został wypełniony poprawnie i należy oczekiwać na dalsze instrukcje w wiadomości e-mail lub SMS.

Fałszywa strona Ministerstwa Finansów - Formularz zgłoszeniowy - potwierdzenie wypełnienia

W większości przypadków jeszcze w tym samym dniu na wskazany numer telefonu użytkownik powinien otrzymać wiadomość w sprawie wniosku.

Wiadomość SMS z informacją o przyznaniu dofinansowania

Na podany w formularzu numer telefonu użytkownik otrzymuje wiadomość SMS z informacją, że wniosek o zwrot zadośćuczynienia został zatwierdzony i przyznano 3010 zł.

Treść wiadomości SMS:
Wniosek o przyznanie 3010 zł potwierdzony: hxxps://odciatisa[.]ml /?EE9RK/

fałszywy SMS
W wiadomości zawarty jest link. Kliknięcie w niego powoduje przekierowanie do strony phishing.

Fałszywa strona bankowości internetowej

Użytkownik zostaje przekierowany do strony, która podszywa się pod wybraną bankowość z formularza zgłoszeniowego. Poniżej kilka fałszywych paneli logowania do bankowości internetowej.

Strona phishing Alior Bank
Strona phishing iPKO
Strona phishing ING Bank

W większości przypadków cyberoszuści wyłudzają dane logowania, jak login/numer klienta i hasło oraz numer PESEL. Po wprowadzeniu tych danych i zatwierdzeniu przyciskiem Dalej wyświetlony zostaje komunikat, że transakcja jest przetwarzana.

Strona phishing ING Bank - przetwarzanie transakcji

Opisywany atak phishing jest złożony i widać, że oszuści nie poszli na łatwiznę i dość dobrze się do niego przygotowali. Na początku użytkownik zasypywany jest informacjami, które mogą wydawać się rzeczywiste i zachęcany jest do złożenia wniosku (aby nie było zbyt prosto) o "zwrot odszkodowania" w formie formularza. Następnie otrzymuje potwierdzenie o przyznaniu kwoty odszkodowania i jedyne co trzeba zrobić to odebrać te środki na wybrane konto bankowe. Głównym celem hakerów jest wyłudzenie danych logowania do bankowości internetowej, co w konsekwencji może im umożliwić kradzież zgromadzonych tam środków.

BrowserWALL DNS

Fałszywe strony internetowe podszywające się pod rządowe serwisy są przez nas blokowane w BrowserWall DNS. Informacje na temat aktualnych złośliwych stron są dostępne w CTI Feed. Baza danych o aktywnych cyberzagrożeniach jest przez nas aktualizowana na bieżąco.

CTI Feed

Jak ustrzec się przed zagrożeniem? Oto kilka wskazówek

  • Sprawdzaj dokładnie stronę, a przede wszystkim jej adres, na której się znajdujesz. Jeśli wydaje Ci się ona podejrzana lub adres w żaden sposób nie jest kojarzony z zawartością, opuść ją niezwłocznie. Oszuści tak przygotowują złośliwe strony, aby w jak największym stopniu przypominały te, pod które próbują się podszyć.
  • Nie wprowadzaj żadnych poufnych danych na stronach co, do których masz wątpliwości ich oryginalności. Zawsze istnieje możliwość skontaktowania się z daną instytucją (np. z Ministerstwem Finansów) poprzez oficjalne kanały komunikacyjne i potwierdzenie informacji.
  • Pod żadnym pozorem nie klikaj w linki przychodzące w wiadomościach SMS. Hakerzy, informując np. o przyznaniu rzekomego "zwrotu odszkodowania" przesyłają link do złośliwej strony.
  • Weryfikuj adres strony podczas logowania do bankowości, poczty email, czy też innych serwisów - możesz zapisać oryginalny adres w formie zakładki i przechodzić tylko przez nią. Unikaj przechodzenia z przekierowania, z linków zawartych w wiadomościach SMS, e-mail, czy innych źródeł.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.