To niesamowite, ale wciąż są osoby, które łapią się na najpopularniejszy od ponad roku atak “Na dopłatę 1PLN“. Na Niebezpieczniku opisywaliśmy go już dziesiątki razy w różnych wariantach. Stworzyliśmy nawet galerię SMS-ów do których wszystko się zaczyna. Ale ofiar, które tracą oszczędności CAŁEGO swojego życia, wciąż nie brakuje. Co gorsza, nawet niektórzy techniczni, pracujący w IT ludzie, nie do końca wiedzą na czym ten atak dokładnie polega.

Mamy więc do Was jedną, gorącą prośbę. Udostępnijcie, prześlijcie, wyszerujcie ten artykuł każdemu, kogo znacie. Zarówno Waszym technicznym, jak i nietechnicznym znajomym. Niech w końcu KAŻDY w Polsce, kto korzysta z internetu, będzie świadomy na czym polega ten przekręt. Przekręt, który wedle naszych szacunków wygenerował więcej strat w Polsce niż znana wszystkim metoda “na wnuczka”.

Zacznie się od linka do płatności przesłanego SMS-em

Atak, w jednym z najpopularniejszych wariantów zaczyna się od otrzymania wiadomości SMS proszącej o dopłatę, bo paczka okazałą się cięższa. Kwoty są różne, zazwyczaj małe (0,76PLN, 1PLN) i nie zawsze podawane w treści SMS-a:

Wysyłany przez złodziejów SMS jest podpisany nazwą znanej firmy, np. Inpostu, DHL lub Biedronki. To dlatego Twój telefon pokaże tego fałszywego SMS-a zaraz pod prawdziwymi SMS-ami, które otrzymałeś od tych firm. To dodaje wiarygodności, ale pamiętaj że SMS-a każdy może wysłać z dowolnej nazwy, niezależnie od tego, czy będzie to DHL, Inpost, KURIER, Mama, czy TVN. W polu nadawcy można wpisać cokolwiek.

Złodzieje w ramach jednej akcji rozsyłają tysiące SMS-ów na losowe numery Polaków. Ponieważ treść jest dość ogólna:

“Ze względu na wagę zamówionego przedmiotu, wymagana jest dopłata aby Twoja przesyłka ruszyła w drogę”

To wśród osób, które otrzymają takiego SMS-a na pewno będzie kilkadziesiąt, jeśli nie kilkaset, które właśnie czekają na jakąś przesyłkę. Część z nich pewnie dopiero co złożyła zamówienie w jakimś sklepie (jak w przypadku prezentowanym na zrzucie ekranu powyżej). Takie osoby będą najbardziej podatne na ten atak.

Jeśli nie zauważą, że link wcale nie prowadzi do prawdziwego adresu strony kuriera lub pośrednika w płatnościach (DotPay, PayU, Przelewy24), to stracą wszystkie pieniądze jakie mają na koncie w banku.

Nie zauważysz, że to nie jest prawdziwa strona pośrednika (DotPay, PayU, Przelewy24)

O pomyłkę nietrudno, bo strony podstawiane przez przestępców są wyglądem identyczne jak strony prawdziwego pośrednika w płatnościach, pod którego podszywają się przestępcy.

W dodatku, na małym ekranie telefonu, często adres strony (tzw. URL) znika po chwili od załadowania strony lub nie jest w pełni widoczny bo nie mieści się w całości na ekranie.

Na tym etapie, chcesz dokonać niewielkiej opłaty, żeby Twoja paczka ruszyła w drogę, działasz rutynowo. W końcu nie raz opłacałeś coś w internecie. Wiesz, że trzeba wybrać bank, podać login i hasło, a następnie przepisać kod, jaki bank Ci wyśle SMS-em lub przez aplikację mobilną. I wszystko wygląda tak, jak podczas prawdziwej płatności — poza adresem strony banku.

Nie zauważysz, że to nie jest prawdziwa strona Twojego banku

Myślisz, że logujesz się do swojego banku, ale logujesz się na stronie podstawionej przez złodzieja (popatrz na adres):

Dzięki temu, złodziej dysponuje już Twoim loginem i hasłem do konta w banku i w tej samej chwili loguje się na Twoje konto w banku. Po zalogowaniu, definiuje na Twoim koncie nim tzw. odbiorcę zaufanego, czyli rachunek, na który będzie można przesyłać pieniądze z konta ofiary BEZ konieczności każdorazowego potwierdzania takiego przelewu kodem z SMS. Ale żeby takiego odbiorce zaufanego zdefiniować na Twoim koncie, złodziej musi poznać kod jaki SMS-em przesyła Ci bank, aby potwierdzić operację dodania zaufanego odbiorcy.

I Ty złodziejowi ten kod podasz… Bo w tym momencie widzisz przed sobą formularz potwierdzania przelewu na tę złotówkę, którą musisz dopłacić kurierowi za “cięższą” paczkę:

Wiesz, że aby potwierdzić przelew, musisz przepisać kod z SMS-a przesłanego przez bank. I taki SMS w tym momencie otrzymujesz. Ale — co widać w treści SMS-a, a czego ofiary nie zauważają — nie jest to SMS dotyczący potwierdzenia przelewu 1 PLN z rachunku ofiary na rachunek kuriera. SMS z kodem, jaki ofiara otrzymuje, to SMS dotyczący transakcji, którą na jej koncie w tym momencie wykonuje złodziej, czyli wspomnianej wcześniej “definicji odbiorcy zaufanego”, co zresztą w treści SMS-a jest, niestety nie zawsze jasno, wskazane:

Tak wygląda to w mBanku w treści SMS:



Tak wygląda to w mBanku w aplikacji mobilnej:



Tak wygląda to w PKO BP w SMS:



Uważamy, że banki mają tu jeszcze pole do ulepszeń, jeśli chodzi o jasność komunikatów.

Nie przeczytasz uważnie SMS-a od banku i stracisz oszczędności całego swojego życia

Jeśli nie zorientujesz się, że kod w SMS dotyczy innej operacji (definicja odbiorcy zaufanego) niż tej, którą właśnie wykonujesz (przelew złotówki), bo zawsze odruchowo, rutynowo szukasz “tych podkreślonych cyferek na końcu SMS-a” i automatycznie je przepiszesz, byle szybciej, to prześlesz złodziejowi kod, którego on potrzebuje do zakończenia operacji dodania do Twojego konta odbiorcy zaufanego. Sekundę później na konto tego odbiorcy zaufanego złodziej prześle całą gotówkę, którą masz na swoich rachunkach.

W ten właśnie sposób Polacy tracą oszczędności całego swojego życia.

UWAGA!

Nie zawsze złodziej okradnie Cię przez “odbiorcę zaufanego”. Czasem od razu zrobi 1 szybki przelew na konto słupa. Wciąż jednak dokładnie czytając SMS-a będziesz w stanie wykryć rozbieżności w stosunku do tego, co widzisz na formatce przelewu który wykonujesz, a tego czego dotyczy SMS z banku.

Jak się przed tym atakiem zabezpieczyć?

Aby nie paść ofiarą tego ataku, zawsze przed potwierdzeniem każdej transakcji finansowej dokładnie przeczytaj treść SMS-a z banku (lub powiadomienia w aplikacji mobilnej banku) i upewnij się, że dotyczy ona takiej transakcji jaką właśnie wykonujesz. Zgadzają się zarówno kwoty jak i numerów rachunków. Jeśli nie — jak najszybciej zadzwoń na infolinię banku i opisz sytuację.

Uważne czytanie SMS-ów (i powiadomień w aplikacji mobilnej banku) to Twoja ostatnia deska ratunku, jeśli wcześniej nie zauważyłeś błędnego linku do strony pośrednika płatności w SMS-ie od złodziejów (zdarza się) i niepoprawnego adresu URL swojego banku podczas logowania się na telefonie komórkowym (zdarza się).

Możesz także zmienić limity dziennych transakcji na swoim koncie (dotyczy operacji na rachunkach i kartach). Każdy bank to umożliwia. Nie uchroni Cię to przed stratą pieniędzy w tym ataku, ale uchroni Cię to przed stratą wszystkich oszczędności, bo złodziej nie będzie mógł wytransferować więcej pieniędzy na rachunek “zaufanego odbiorcy” niż kwota dziennego limitu. Chyba, że ten limit będzie probował zmienić, ale to wymaga kolejnego SMS-a i daje ci jeszcze jedną szansę na zorientowanie się, że coś jest nie tak.

Prześlij ten artykuł znajomym!

Serio. Prosimy, błagamy! W imieniu kilkunastu ofiar każdego dnia od ponad roku. Wyślij linka do tego artykułu każdemu, kogo znasz i wiesz, że korzysta z internetu lub ma konto w banku. Choć takie ataki wykonywane są regularnie (nawet po kilka razy dziennie!) od ponad roku, to wciąż każdego dnia przestępcy okradają kolejnych Polaków. Wiemy, bo codziennie zgłaszają się do nas poszkodowani, z których każdy traci od kilku do kilkudziesięciu tysięcy złotych, a czasami i więcej. Następną ofiarą może być ktoś Tobie bliski. Więc jeszcze raz — prześlij każdemu znajomemu link do tego artykułu, aby (w kolejności od najważniejszych):

— zawsze czytali uważnie treść SMS-ów z banku

— zawsze sprawdzali adres strony podczas wpisywania hasła do konta w banku

— wyczulili się na SMS-y o dopłacie

— ustawili limity na transakcje w swoim banku już dziś

Ten atak to tylko jeden z kilku, którymi aktualnie cyberprzestępcy atakują i okradają Polaków. Dlatego…



Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.



Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach: WARSZAWA, 25 sierpnia 2020 Więcej na temat tego co będzie na wykładzie Więcej na temat tego co będzie na wykładzie dowiesz się stąd , a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj

PS. Wyślijcie ten artykuł także swoim technicznym znajomym. Nawet osoby pracujące w branży nie zawsze wiedzą na czym polega ten atak:

Przeczytaj także: