Spam Google Play i nietypowa metoda wykorzystywana w atakach phishing

Od pewnego czasu trwa kampania spamowa, w której cyberprzestępcy podszywają się pod Sklep Google Play. Pod pretekstem uregulowania należności wyłudzają dane logowania do bankowości.

Cyberprzestępcy rozsyłają wiadomości o temacie Zaległość Google Play, a jako nadawca wiadomości widnieje Google Play. W mailu czytamy, że na naszym koncie w Sklepie Google Play jest zaległość w kwocie 1,46. Jak wynika z treści wiadomości, została ona naliczona podczas korzystania ze Sklepu.

Biorąc pod uwagę fakt, że większość osób posiada telefony z systemem Android i ma takie konto, to kampania skierowana jest do bardzo szerokiego grona odbiorców. Kolejny zabieg stosowany przez przestępców, to niska kwota do uregulowania. Większość osób może pomyśleć, że faktycznie podczas pobierania aplikacji, czy gry ze Sklepu Play mogła zostać naliczona niewielka opłata. Aby ją uregulować wystarczy kliknąć przycisk Zapłać.

Przykładowa wiadomość podszywająca się pod Sklep Google Play.

Jeśli otrzymacie wiadomość, której się nie spodziewaliście lub wzbudza Wasze podejrzenia - prześlijcie nam ją do sprawdzenia za pośrednictwem strony ZGŁOŚINCYDENT.

Na pierwszy rzut oka wiadomość nie wzbudza podejrzeń. Jednak przycisk Zapłać nie przekierowuje do naszego konta w Sklepie Play, a do strony phishing o adresie:
hxxps://xn--dopay-leb.pl/

Ten dziwnie wyglądający adres, to zapis w postaci technicznej (standard Punycode). Pynycode jest to kodowanie, które umożliwia konwersję Unicode (czyli np. polskie znaki takie jak ą, ć, ń, itd.) na zestaw dozwolonych znaków w nazwie domeny (litery ASCII, cyfry, myślniki).

W przeglądarkach internetowych wspomniany adres jest prezentowany w postaci:
hxxps://doťpay.pl/

Zrzut ekranu strony phishing podszywającej się pod system szybkich płatności Dotpay.

Wszystkie wymienione złośliwe strony blokowane są przez nasze rozszerzenie BROWSERWALL. Dodaj je do swojej przeglądarki, aby zwiększyć swoje bezpieczeństwo w internecie. Jeśli wejdziesz na niebezpieczną stronę zostaniesz ostrzeżony.

Opisany wyżej zabieg jest stosowany przez przestępców po to, aby potencjalna ofiara nie dostrzegła różnicy pomiędzy oryginalną domeną serwisu Dotpay, a domeną wykorzystywaną w ataku phishing.
Oryginalna strona Dotpay ma adres:
https://dotpay.pl/

Jak możecie zobaczyć poniżej, w przeglądarce adres strony phishing jest niemal identyczny jak oryginalnej strony Dotpay. Oba adresy rozpoczynają się od protokołu https, a domeny różnią się jedynie apostrofem, który w pasku adresu jest niemal niewidoczny.

Poniżej kolejna strona phishing, która jeszcze bardziej przypomina oryginał. W przeglądarce jest prezentowana w postaci:
hxxps://dotpày.com/

Od niedawna, najpopularniejsze przeglądarki, takie jak Firefox oraz Google Chrome zrezygnowały z prezentowania w pasku adresu certyfikatów SLL EV. Skutkuje to tym, że strony posiadające certyfikat SLL oraz SSL EV, w pasku adresu prezentowane są w identyczny sposób - poprzez szarą, zamkniętą kłódkę. Jednym z argumentów, jakie miały przemówić za takim rozwiązaniem był fakt, żeby użytkownicy większą uwagę zwracali na domenę oraz adres strony, którą odwiedzają.
W efekcie, mamy przykład, że to rozwiązanie nie jest skuteczne. Adresy URL oryginalnej strony Dotpay (z certyfikatem SSL EV) oraz strony phishing (z certyfikatem SSL) w przeglądarce wyglądają niemal identycznie.

Poniżej prezentujemy opisaną zmianę w przeglądarce Firefox na przykładzie naszej strony - Prebytes, która posiada certyfikat SSL EV.

Ciekawostka

Stronę https://zglosincydent.pl/ możecie też odwiedzić pod adresem URL zawierającym polskie znaki: https://zgłośincydent.pl/

W zapisie technicznym (standard Punycode) adres wygląda tak xn--zgoincydent-u5b04a.pl.