InPost wciąż na tapecie oszustów – uwaga na fałszywe SMS‑y
Internetowi oszuści po raz kolejny (i nie pierwszy w tym miesiącu) zdecydowali się wykorzystać wizerunek firmy InPost, aby nakłonić odbiorców do odwiedzenia spreparowanej strony. Jak ostrzega Niebezpiecznik, tym razem kampania polega na wysyłaniu fałszywych SMS-ów do losowych osób z nadzieją, że trafią do kogoś, kto w danym momencie czeka na paczkę nadaną do paczkomatu.
Treść SMS-a sugeruje, że do odbioru przesyłki niezbędne jest wygenerowaniu kodu z poziomu aplikacji InPostu. Chociaż w oficjalnej aplikacji mobilnej faktycznie istnieje możliwość odczytania tego kodu, firma nie przypomina o takiej możliwości SMS-ami. Nieświadomy użytkownik da się jednak zapewne przekonać, że niezbędne jest odwiedzenie strony, do której link zamieszczono w SMS-ie. Niestety, witryna została spreparowana.
Na stronie, która nieudolnie udaje oficjalną witrynę InPostu, znaleźć można link do pobrania aplikacji. Ten kieruje do kolejnej spreparowanej strony – tym razem Sklepu Play. W chwili pisania niniejszego tekstu, witryna wciąż jest dostępna w internecie, ale przeglądarki ostrzegają już o fakcie, że jest niebezpieczna. Nie można jednak wykluczyć, że atakujący zarejestrowali więcej niż jeden adres i inne nie zostały jeszcze poprawnie oznaczone przez przeglądarki. Warto więc mieć się na baczności.
Jak nietrudno się domyślić, aplikacja InPostu nie jest autentyczna. Mowa w praktyce o pliku APK, który wymaga ręcznej instalacji w smartfonie i wyrażenia zgody na wgrywanie aplikacji z niezaufanych źródeł. Jeśli użytkownik nieświadomie lub machinalnie to zrobi, zamiast aplikacji pozwalającej wygodniej korzystać z paczkomatów, zainstaluje w telefonie szkodliwe oprogramowanie. Jak wynika z raportu Meta Defender, w tym przypadku jest to trojan bankowy Cerberus.
Zgodnie z ubiegłoroczną analizą CERT Polska, to oprogramowanie może zaszkodzić użytkownikowi na wiele sposobów. Uprawnienia pozwalają mu bowiem między innymi odczytywać SMS-y, wykonywać połączenia, odczytywać zawartość ekranu, czy przydzielać dalsze uprawnienia. W efekcie, szczególnie jeśli użytkownik obsługuje przez smartfon swoją bankowość, istnieje ryzyko, że atakujący zdobędą dane logowania do jego konta i w efekcie pozbawią og oszczędności.
Oficjalną aplikację InPost Mobile na Androida i iOS-a można znaleźć w naszym katalogu oprogramowania.