Uwaga na fałszywe SMS‑y. Nadawcą jest INP0ST – to nie firma kurierska
Do Polaków rozsyłane są SMS-y, w których ktoś próbuje podszyć się pod firmę kurierską inPost. Nadawcą jest "INP0ST" (cyfra zero w pisowni jest nieprzypadkowa) lub "WAZNE", a celem nakłonienie odbiorcy do odwiedzenia strony z załączonego linku. Docelowo użytkownik ma pobrać szkodliwą aplikację na Androida, która pozwoli atakującym między innymi odczytywać wiadomości, które są wysyłane przez bank.
O szczegółach poinformował serwis Niebezpiecznik. W rozsyłanej wiadomości sugerowana jest konieczność pobrania nowej aplikacji, aby otrzymać kod odbioru [paczki – przyp. red.]. Co ciekawe, link w żaden sposób nie stara się nawet przypominać wiarygodnego hiperłącza firmy kurierskiej. Osoby, które się nad tym nie zastanowią i klikną łącze, zostaną przekierowane na spreparowaną stronę, która tylko udaje faktyczną witrynę firmy inPost.
Tu pojawia się krótki opis z numerem paczki (nie wiemy, czy prawdziwym, ale na tym etapie zapewne i tak mało kto zwróciłby na to uwagę) oraz przyciskiem uruchamiającym pobieranie rzekomej aplikacji. Jak podał Niebezpiecznik, jest to plik InPost.apk do bezpośredniej instalacji w smartfonie z Androidem. To szkodliwe oprogramowanie, które po pierwsze może odczytywać SMS-y, a po drugie – po ponownym uruchomieniu urządzenia – pozwoli atakującemu na zdalne wykonywanie kodu.
Inne ataki z "inPostem" w roli głównej
Warto zauważyć, że opisywana kampania nie jest jedyną, która dotyczy firmy kurierskiej inPost. Niebezpiecznik ostrzega także przed inną serią SMS-ów, w której odbiorcy są wzywani do uiszczenia niewielkiej opłaty za rzekomą procedurę BHP w centrum przeładunkowym.
W tym przypadku link prowadzi do spreparowanego serwisu płatności PayU – jeśli użytkownik tego nie zauważy i wypełni wszystkie wyświetlone formularze, umożliwi atakującym swobodny dostęp do swojego konta bankowego, jak w przypadku szerokiej gamy innych ataków tego typu.
Obydwa opisywane ataki bazują przede wszystkim na braku spostrzegawczości i machinalnym działaniu odbiorców SMS-ów. Pośpiech nie jest tutaj jednak dobrym doradcą. Każdą wiadomość warto uważnie przeczytać, by nie narazić się na problemy.
W przypadku wiadomości zachęcających do pobrania rzekomej nowej aplikacji, nadawcy nawet nie starali się stworzyć adresu, który przypomina oryginalne linki inPostu. Wystarczy więc chwila skupienia, by odróżnić spam od prawdziwych wiadomości od firmy kurierskiej.
Oficjalną aplikację InPost Mobile na Androida i iOS-a można znaleźć w naszym katalogu oprogramowania.