SMSing, Vishing i QRishing, oszustwa z wykorzystaniem Smartfonów

Poprzednio omówiłem czym jest Phishing i jak się przed nim bronić. Ale Phishing ma wiele twarzy. W dobie dzisiejszych Smatfonów, które coraz częściej zastępują komputery, istnieje możliwość oszukania użytkownika Smartfona i dokonania kradzieży jego pieniędzy. Przypominam, że „Phishing” nie jedno ma imię i bardzo często oszustwa drogą elektroniczną chodzą parami i łączą się. Jest to dodatkowe zagrożenie, ponieważ może uśpić czujność użytkownika. Tym bardziej, że w przypadku SMShingu może dojść do podszywania się pod np. Bank (Spoofing, o którym niebawem) i osoba, która padła celem oszustów może wykonywać polecenia otrzymane SMSem, gdyż uzna, że „no przecież to Bank do mnie napisał”. I na tym wydawałoby się, że to koniec oszustw z wykorzystaniem Smartfona. Wtedy pojawia się „on” odziany w czerń i biel – kod QR.  

Czym jest Vishing?

Jest to oszukańcze pozyskanie poufnej informacji z wykorzystaniem telefonu. Przestępca podszywa się pod osoby lub instytucje godne zaufania. Jest to rodzaj ataku opartego na inżynierii społecznej, mającego swoje podstawy w phishingu. Nazwa Vishing to zlepek słów z wyrażenia ‘voice phishing’ - phishing głosowy.

Jedną z metod ataku jest rozesłanie wiadomości zawierającej numer telefonu, pod którym odbiorca e-maila lub SMS-a ma zaktualizować swoje poufne dane. Po połączeniu się z podanym numerem telefonu włącza się automat, który poprosi o podanie nazwy użytkownika i hasła do aplikacji bankowej lub dane o karcie płatniczej takie jak numer kart, data własności, PIN.

Inna metoda ataku polega na wykorzystaniu programu, który sam telefonuje do Klienta korzystając z listy pozyskanych wcześniej numerów telefonów. Podobnie jak w poprzednim ataku następuje uruchomienie automatu odtwarzającego informacje mające przekonać ofiarę o konieczności podania poufnych danych.

Pierwsze primo, jeśli masz wątpliwości czy osoba dzwoniąca jest pracownikiem banku, nie podawaj swoich poufnych informacji. Zadzwoń do banku w celu potwierdzenia tożsamości osoby dzwoniącej. Numery telefonów znajdziesz tutaj: http://www.ingbank.pl/kontakt.

Drugie primo, zachowaj zdrowy rozsądek. Traktuj z dystansem wszystkie maile, SMS’y i telefony, w których jesteś proszony o dane osobowe, PIN czy hasło. Jeśli zostałeś poproszony o podanie danych, o które do tej pory bank nie pytał, zadzwoń do banku i sprawdź czy na pewno o te dane pyta bank!

Nie korzystaj z numeru podanego przez osoby dzwoniące i nie oddzwaniaj na numer, jeżeli nie jesteś pewien co do jego źródła. W przypadku podejrzeń o wyłudzenie danych udaj się do placówki banku lub innej instytucji celem zweryfikowania osobiście informacji

Czym jest SMShing

Kolejną formą oszustwa jest wspomniany przeze mnie SMShing, w którym wykorzystuje się wiadomości tekstowe na telefon komórkowy, aby nakłonić ofiary do oddzwonienia na fałszywy numer telefonu, odwiedzić fałszywe strony internetowe lub pobrać złośliwą zawartość za pośrednictwem telefonu lub sieci.

Dla prostszego zrozumienia zagrożenia przybliżę kilka przykładów.

1.     Pierwszy przykład, który przychodzi mi do głowy to sytuacja, gdzie w trakcie logowania się do banku osoba po wpisaniu loginu i hasła została przekierowana na kolejną stronę (już na komputerze doszło do podszycia się pod bank i/lub wykorzystanie niesprawdzonego linku), gdzie osoba poproszona zostaje o podanie kodu, który przyjdzie SMSem. Rzeczywiście kod może przyjść z Banku. Po nie sprawdzeniu wiadomości i wpisaniu kodu osoba, tak naprawdę może wyrazić zgodę na przelew pieniędzy.

2.     Kolejny przykład, gdy osoba podszywająca się pod: Bank, stronę, na której posiadamy skrzynkę e-mail, a także serwis społecznościowy, informuje Nas w SMSie, że usiłowano dokonać nieautoryzowanego zachowania i jesteśmy proszeni o kliknięcie w link i zalogować się, żeby zobaczyć co się dzieje.

3.     Przykład, który pojawił się na stronie sfora.biz na temat ataku smshingowego.

„Klienci bankowości internetowej, korzystający z przesyłanych SMS-em kodów do autoryzacji transakcji, narażeni są na działanie nowej wersji trojana Zeus/Zbot – ostrzega ING Bank Śląski”

Przestępcy podszywając się pod banki proszą drogą SMSową o uzupełnienie danych które wynikają z wprowadzenia nowego systemu zabezpieczeń. Każdy klient który „złapie się na haczyk” otrzymuje sms-a z linkiem do pobrania nowego certyfikatu bezpieczeństwa. Owy „certyfikat bezpieczeństwa” jest trojanem kontrolującym pracę telefonu. Daje on możliwość przejęcie wiadomości z hasłami do kont i swobodnego upłynnienia znajdującej się tam gotówki.

Bank przypomina, że nie prosi klientów o podawanie informacji na temat używanego do autoryzacji telefonu oraz nie wymaga instalacji żadnego oprogramowania – informuje „Rzeczpospolita”.

Najskuteczniejszą obroną jest Ostrożność, czytanie SMSów oraz brak zaufania.

Jak wspomniałem wcześniej zdarza się, że oszustwa mogą się łączyć. Bardzo dobry przykład podaje niebezpiecznik.pl

Przekręt na niechcianą usługę SMS. Oszuści "na pałę" wmawiali ofiarom, że się na coś zapisały (np. na informacje o pogodzie) i dawali możliwość “wypisania się” przez przesłanie SMS-a, który w rzeczywistości — dopiero wtedy — zapisywał ofiarę na usługi Premium SMS.

Obecnie, tego typu scam nie ma racji bytu ze względu na świeżowprowadzone limity po stronie operatorów GSM dotyczące Premium SMS-ów oraz mniejszy zysk z tego typu oszustwa. 

Kody QR

Te kwadratowe czarno-białe obrazki można zauważyć w marketingu. Wykonanie zdjęcia kodu QR specjalną aplikacją na Smartfonie przekieruje Cię na odpowiednią stronę, zapisze kontakt telefoniczny lub pobierze aplikację. Nie tylko osoby zajmujące się marketingiem uwielbiają tę technologię za jej prostotę. Kody QR są również w zainteresowaniu cyberprzestępców, dlatego należy zachować szczególną ostrożność korzystając z kodów.

Kody QR (ang. quick response – szybka reakcja) mogą zawierać wiele informacji tekstowych i/lub odnośniki do źródeł internetowych. Zdarzały się sytuacje, gdy oryginalne kody QR zostały starannie podmienione szkodliwymi. Ta praktyka ma wiele wspólnego z powszechnie już znanym phishingiem, dlatego została nazwana QRishingiem.

          Nie trzeba zbytnio wytężać swojej wyobraźni, aby dostrzec, jak niebezpieczne mogą się okazać takie fałszywe kody QR – zwłaszcza że mogą one być umieszczane w miejscach publicznych: metro, lotnisko, dworzec kolejowy, bank, czy nawet bankomat. Większość ludzi ma nadal bezwzględne zaufanie do reklam i nie jest w stanie wyobrazić sobie, że w budynku popularnego banku może istnieć jakieś zagrożenie.

         Gdy użytkownik robi zdjęcie kodu QR, na ekranie urządzenia jest wyświetlany powiązany z nim odnośnik. Cyberprzestępca może jednak użyć serwisu skracającego linki (jak na przykład bit.ly), aby ukryć prawdziwy adres witryny. W ten sposób kod QR może zaprowadzić użytkownika np. na szkodliwą stronę kradnącą poufne dane logowania lub do serwisu phishingowego.

Sytuację dodatkowo komplikuje fakt, że mobilna przeglądarka nie zawsze jest w stanie wyświetlić pełny adres URL otwieranej strony. W przypadku próby weryfikacji, czy dana strona jest zaufana, stanowi to prawdziwą udrękę. Co gorsza, urządzenia mobilne często nie są tak dobrze chronione przed szkodliwym oprogramowaniem.

Siedem "szczęśliwych" kroków dla szczęśliwego użytkownika Smartfona i nie tylko:

1.     Za wszystko płać kartą płatniczą. Nie pośrednikami, nie BLIK-ami, kartą. O ile ważniejsze dla Ciebie jest bezpieczeństwo Twoich pieniędzy, a nie 30 sekund krótszy czas płatności. Powód jest prosty: nie wszystkie skrypty fałszywych pośredników w płatnościach z których korzystają przestępcy wspierają wykradanie kart. Ale nawet jeśli ktoś wykradnie dane Twojej karty i ją obciąży, to nie stanowi to dla Ciebie żadnego problemu. Całość środków odzyskasz reklamując transakcję (nawet do 90 dni od incydentu). Płacenie kartą chroni Cię też przed lewymi sklepami internetowymi. Płać. Kartą. Zawsze.

2.     Na swoim koncie w banku ustaw limity. Przestępcy, którym uda się pozyskać Twoje dane logowania do bankowości, aby Cię okraść na większą kwotę będą musieli wykonać więcej operacji. Większość skryptów z których korzystają do ataku nie wspiera (jeszcze) operacji zdejmowania limitów, a Ty dzięki temu masz większe szansę na zorientowanie się, że coś jest nie tak. Najpierw dostaniesz SMS z banku w sprawie podniesienia/usunięcia limitu, a potem SMS-a o dodaniu zaufanego odbiorcy. Dwa SMS-y przy transakcji przelewu na 1PLN niektórym zapalą czerwone światło w głowie. Taka “wydłużona” ścieżka okradania z limitami do pokonania po drodze jest też pomocą dla banku — transakcja może być sprawniej oznaczona jako podejrzana przez systemy antyfraudowe banku.

3.     Zawsze uważnie czytaj SMS-y z banku. Wszystkie znane nam ofiary tego typu oszustw nie zauważyły, że w treści SMS-a (lub notyfikacji push w aplikacji mobilnej banku) zamiast spodziewanego “przelew na 1 PLN” znajdowało się “dodanie nowego odbiorcy zaufanego” lub “zmiana numeru telefonu”. Ofiary gubi rutyna, zmęczenie. Każdemu może się to zdarzyć (jeśli nie płaci kartą za zakupy w internecie ;P).

4.     Zablokuj Premium SMS. Dzięki temu będziesz wiedział, że SMS o rzekomym zapisaniu Cię do jakiejś usługi jest bzdurą. Blokada Premium SMS na takie niechciane subskrypcje nie pozwoli — o ile włączysz ją poprawnie. Pamiętaj, że aby stracić pieniądze za pomocą premium SMS wcale nie trzeba nikomu podawać swojego numeru telefonu. Wystarczy wejść na zwykłą stronę internetową i w nic nie klikać. Płatność SMS mogą Ci “nabić” złośliwe reklamy, które pojawiają się nawet na znanych i zaufanych serwisach internetowych. Instrukcję jak zablokować Premium SMS u każdego z polskich operatorów znajdziesz w tym artykule.

5.    Bądź ostrożny. Zanim zeskanujesz kod QR, upewnij się, że nie jest zakryty przez inny kod. Jeżeli masz jakiekolwiek wątpliwości – zeskanuj go raz jeszcze.

6.     Po otworzeniu sklepu z aplikacjami lub strony internetowej w przeglądarce upewnij się, że kod QR przeniósł Cię do miejsca, w którym chciałeś się znaleźć. Jeśli masz zamiar zainstalować jakąś aplikację, upewnij się, że została ona opracowana przez firmę, której reklamę widziałeś lub o której czytałeś informacje. Sprawdź oceny i komentarze od jej użytkowników. Jeżeli jest ich niewiele lub nie ma żadnej, najlepiej wstrzymaj się z instalacją. Jeśli kod prowadzi do strony internetowej, sprawdź pełen adres URL, w przeciwnym razie możesz stać się ofiarą phishingu. Zachowaj szczególną ostrożność zwłaszcza wtedy, gdy planujesz wprowadzić swoje dane osobowe lub loginy i hasła (poczta e-mail, dane bankowe).

7.   Jeśli Twój smartfon umożliwia instalację aplikacji bezpieczeństwa, które sprawdzają strony pod kątem szkodliwych treści oraz weryfikują wiarygodność aplikacji – zainstaluj je bez wahania. Jest to szczególnie zalecane dla smartfonów z systemem Android, które obecnie są głównym celem ataków tysięcy wersji szkodliwych programów.

https://niebezpiecznik.pl/post/uwaga-polscy-przestepcy-polaczyli-2-scamy-w-jeden/

https://www.ingbank.pl

https://plblog.kaspersky.com/kody-qr-wygodne-i-niebezpieczne/2466/