Komunikat CERT Polska. Dotyczy wszystkich
CERT Polska apeluje, by nie reagować na wiadomości SMS, w których ktoś wzywa do "weryfikacji konta". Nadawca podszywa się pod MSWiA i próbuje zmusić odbiorcę do kliknięcia linku udającego łącze do rządowego serwisu w domenie gov.pl. W praktyce można w ten sposób trafić na fałszywy formularz.
23.07.2024 12:00
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
CERT Polska wydał ostrzeżenie skierowane do wszystkich Polaków. Trwa kampania phishingowa, w ramach której oszuści rozsyłają do losowych osób SMS-y i podszywają się w nich pod MSWiA. Deklarują konieczność "zweryfikowania konta", grożąc jego zablokowaniem. Oczywiście w treści pojawiają się typowe dla socjotechniki elementy, w tym sugestia, że działania trzeba podjąć możliwie szybko, bo w przeciwnym razie konto zostanie zablokowane jeszcze tego samego dnia. Naturalnie jest to fałsz.
Wiadomość SMS sama w sobie nie sugeruje, o jakie konkretnie konto chodzi. Zważywszy jednak na wykorzystanie motywu fałszywej strony w domenie gov.pl i podrobioną stronę logowania otoczoną typowymi grafikami dla rządowych serwisów, można zakładać, że oszuści próbują wciąż wykorzystać wątek aplikacji mObywatel i przedłużania certyfikatów bezpieczeństwa.
Jeśli odbiorca wiadomości SMS nie zorientuje się, że jest to oszustwo, na stronie docelowej zostanie poproszony o potwierdzenie swoich danych poprzez zalogowanie się na konto w banku. W ten sposób zostanie przejęty login i hasło oraz jednorazowe kody zabezpieczające z wiadomości SMS. To otwarcie drogi do próby kradzieży pieniędzy z konta. Oszuści w tle spróbują zalogować się na autentyczne konto w banku i wyprowadzić oszczędności ofiary.
Dalsza część artykułu pod materiałem wideo
Warto pamiętać, że (nieświadome) podanie oszustom wprost swoich danych logowania do bankowości nie jest jedynym sposobem, w jaki mogą zostać wykradzione. Inna metoda atakujących to instalacja trojanów bankowych w smartfonach ofiar, które zdolne są między innymi działać w tle i nagrywać zawartość ekranu oraz odczytywać SMS-y. W ten sposób oszuści mogą próbować włamać się do aplikacji bankowości w telefonie.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl