Apel CERT Orange: dokładnie czytaj wiadomości SMS

CERT Orange Polska ostrzega o fałszywych SMS-ach, w których oszuści próbują symulować komunikaty od banków. W najnowszej kampanii podszywają się m.in. pod Santander Bank Polska, ale to tylko przykład. W podobny sposób wykorzystane są także inne, popularne banki.

CERT Orange Polska ostrzega o świeżej kampanii fałszywych SMS-ów, które stanowią zagrożenie dla klientów Santandera. Atakujący próbują omijać zabezpieczenia działające po stronie operatorów i przygotowują spreparowane SMS-y, w których celowo wykorzystują litery niewpisujące się w automatyczny schemat blokowania.

W efekcie powstają komunikaty, w których oszuści informują na przykład o rzekomo wygasającej aplikacji mobilnej i zbliżającej się blokadzie konta, stosując litery z innych alfabetów. Takie wiadomości SMS mają dokładnie taką samą rolę, jak te sformułowane poprawnie. Atakujący liczą na to, że wywołają u odbiorców uczucie strachu i zmuszą ich do kliknięcia linku, co pomoże zabezpieczyć konto w aplikacji bankowej przed blokadą.

Ten komunikat nie ma jednak żadnego związku z autentyczną komunikacją z Santandera (lub innego banku w innych przypadkach), a link w treści to skrócone łącze prowadzące do fałszywej strony internetowej.

Dalsza część artykułu pod materiałem wideo

Docelowa witryna banku jest dobrze przygotowana pod kątem wizualnym. Użytkownik, który będzie bazować tylko na wyglądzie strony i nie będzie celowo doszukiwać się śladów przekrętu, bez problemu uwierzy, że trafił na prawdziwą stronę bankowości. W praktyce jednak to strona przygotowana przez oszustów. Podstęp widać już po analizie adresu www, co w większości przypadków pozwala wstępnie sprawdzić, czy strona jest prawdziwa.

Na stronie docelowej - jak zwykle w takich przypadkach - wyłudzane są dane klienta, w tym login i hasło do bankowości, a najprawdopodobniej również kod z jednorazowego SMS-a lub dane karty płatniczej (zależnie od formy oszustwa). Podając te dane, użytkownik przekazuje je na ręce atakujących, którzy w tle wykorzystają je do zalogowania się na autentyczne konto klienta lub wykonania płatności na koszt ofiary. Kradzież pieniędzy jest więc od tego momentu formalnością.