Uwaga na oszustów podszywających się pod mBank, Polsat Box i Apple

CERT Orange Polska ostrzega przed nową falą oszustw związanych z płatnościami, które wykorzystują podszywanie się pod znane marki. Tym razem przestępcy przygotowali trzy podobne scenariusze, uderzając w klientów mBanku, Polsat Box oraz Apple. W każdym przypadku punkt wyjścia jest ten sam: wiadomość e-mail, która ma wzbudzić niepokój i skłonić odbiorcę do szybkiego działania.

W wariancie wymierzonym w mBank oszuści straszą rzekomą koniecznością aktualizacji numeru telefonu, sugerując, że bez tego konto może zostać zawieszone. Link z przyciskiem „Zaloguj się” prowadził do strony hostowanej w chmurze Amazonu. Choć podczas analizy była już niedostępna, mechanizm jest dobrze znany: ofiara trafia na podstawioną stronę banku, wpisuje dane logowania, a te przejmuje przestępca. Kolejnym krokiem bywa próba zalogowania się na prawdziwe konto i wyłudzenie kodów uwierzytelniania dwuskładnikowego, co w praktyce może zakończyć się kradzieżą środków.

Drugi schemat dotyczy Polsat Box i rzekomej zaległości za fakturę. Tu również celem było skierowanie użytkownika na fałszywą stronę płatności, udającą bramkę do uregulowania należności. Takie strony zwykle służą do przejęcia danych karty płatniczej, a czasem są rozbudowane o dodatkowe etapy, na przykład podstawione logowania do banków. Domena wykorzystywana w kampanii nie była już dostępna, ale sam pomysł pozostaje aktualny: presja czasu, groźba konsekwencji i szybka „naprawa problemu” jednym kliknięciem.

Najbardziej dopracowany był wariant wykorzystujący markę Apple. W wiadomości pojawia się informacja o niedopłacie, a podana kwota odpowiada rzeczywistej cenie miesięcznego dostępu do Apple TV w trwającej promocji, co ma uwiarygodnić przekaz. Link znów prowadzi przez stronę hostowaną w chmurze Amazonu, a docelowo na osobną witrynę. Ta akurat była jeszcze dostępna w trakcie analizy. Po wpisaniu dowolnych danych logowania pojawiała się informacja o blokadzie, a następnie formularz płatności. Charakterystyczne jest tu zachowanie strony: reakcja na wpisane dane potrafi być opóźniona o kilka minut, bo przestępcy monitorują w czasie rzeczywistym, co ofiara wprowadza do formularza.

We wszystkich trzech przypadkach kluczowa jest ta sama zasada: zanim cokolwiek klikniesz lub podasz jakiekolwiek dane, sprawdź, kto naprawdę wysłał wiadomość i dokąd prowadzi link. Warto też zatrzymać się na moment i odpowiedzieć sobie na najprostsze pytanie: czy w ogóle korzystasz z usług firmy, pod którą ktoś się podszywa. W opisywanych kampaniach już pobieżna weryfikacja adresu nadawcy wystarczała, by jednoznacznie stwierdzić, że to próba oszustwa. Jeśli pojawia się presja, groźba blokady albo dopłata „na już”, najbezpieczniej pominąć link z e-maila i samodzielnie wejść na stronę lub do aplikacji danej firmy, wpisując adres ręcznie albo korzystając z oficjalnej aplikacji.