Phishing na Ministerstwo Finansów - Wniosek o zadośćuczynienie
Cyberprzestępcy, powołując się na rzekome rozporządzenie Ministerstwa Finansów informują o możliwości otrzymania zwrotu odszkodowania w ramach zadośćuczynienia. W rzeczywistości wyłudzają poufne dane jak np. numer PESEL, a w późniejszych krokach także dane logowania do bankowości internetowej.
Według oszustów na mocy rozporządzenia Ministerstwa Finansów od 25.11.2022 można ubiegać się o jednorazowy zwrot zadośćuczynienia z uwagi na sytuację migracyjną w Polsce wywołaną wojną za naszą wschodnią granicą. Tak naprawdę takie rozporządzenie nie istnieje, nie ma także możliwości otrzymania z tego tytułu "zwrotu odszkodowania". Jest to pretekst do budowania narracji na potrzeby kolejnej kampanii phishingowej przez hakerów. W niniejszym artykule przedstawiamy schemat ataku phishing, w którym oszuści wykorzystali temat zwrotu jednorazowego odszkodowania obywatelom Polski, ze względu na wysoki poziom migracji obywateli Ukrainy do RP w związku z inwazją rosyjską.
Fałszywa strona Ministerstwa Finansów
Cyberprzestępcy na potrzeby omawianego ataku phishing stworzyli stronę (codziennie powstają kolejne) podszywającą się pod serwis rządowy gov.pl, a dokładniej podstronę Ministerstwa Finansów.
Na niej to została umieszczona informacja o nieistniejącym rozporządzeniu w sprawie jednorazowego "zwrotu odszkodowania". Fałszywa strona została przygotowana bardzo starannie. Zawarte są np. prawdziwe informacje o kierownictwie ministerstwa, czy dane kontaktowe.
Można powiedzieć, że zawartość oryginalnej strony rządowej została skopiowana, co jest już normą i do czego oszuści zdążyli nas przyzwyczaić. Z tego powodu dość trudno jest rozróżnić stronę stworzoną przez hakerów od oryginału. Warto więc weryfikować adres strony internetowej, na której się znajdujemy.
W celu odebrania wspomnianego "zwrotu za zadośćuczynienie" należy uzupełnić krótki formularz dostępny na fałszywej stronie.
Należy podać imię i nazwisko, numer PESEL, adres zamieszkania, numer telefonu i adres e-mail. Ponadto należy wybrać z listy bank, na który konto otrzymuje się wynagrodzenie (czy też zasiłek w przypadku osób bezrobotnych).
Po wprowadzeniu danych i wyborze banku należy jeszcze rozwiązać test CAPTCHA i nacisnąć przycisk Wyślij. Po chwili pojawi się komunikat, że formularz został wypełniony poprawnie i należy oczekiwać na dalsze instrukcje w wiadomości e-mail lub SMS.
W większości przypadków jeszcze w tym samym dniu na wskazany numer telefonu użytkownik powinien otrzymać wiadomość w sprawie wniosku.
Wiadomość SMS z informacją o przyznaniu dofinansowania
Na podany w formularzu numer telefonu użytkownik otrzymuje wiadomość SMS z informacją, że wniosek o zwrot zadośćuczynienia został zatwierdzony i przyznano 3010 zł.
Treść wiadomości SMS:
Wniosek o przyznanie 3010 zł potwierdzony: hxxps://odciatisa[.]ml /?EE9RK/
W wiadomości zawarty jest link. Kliknięcie w niego powoduje przekierowanie do strony phishing.
Fałszywa strona bankowości internetowej
Użytkownik zostaje przekierowany do strony, która podszywa się pod wybraną bankowość z formularza zgłoszeniowego. Poniżej kilka fałszywych paneli logowania do bankowości internetowej.
W większości przypadków cyberoszuści wyłudzają dane logowania, jak login/numer klienta i hasło oraz numer PESEL. Po wprowadzeniu tych danych i zatwierdzeniu przyciskiem Dalej wyświetlony zostaje komunikat, że transakcja jest przetwarzana.
Opisywany atak phishing jest złożony i widać, że oszuści nie poszli na łatwiznę i dość dobrze się do niego przygotowali. Na początku użytkownik zasypywany jest informacjami, które mogą wydawać się rzeczywiste i zachęcany jest do złożenia wniosku (aby nie było zbyt prosto) o "zwrot odszkodowania" w formie formularza. Następnie otrzymuje potwierdzenie o przyznaniu kwoty odszkodowania i jedyne co trzeba zrobić to odebrać te środki na wybrane konto bankowe. Głównym celem hakerów jest wyłudzenie danych logowania do bankowości internetowej, co w konsekwencji może im umożliwić kradzież zgromadzonych tam środków.
Fałszywe strony internetowe podszywające się pod rządowe serwisy są przez nas blokowane w BrowserWall DNS. Informacje na temat aktualnych złośliwych stron są dostępne w CTI Feed. Baza danych o aktywnych cyberzagrożeniach jest przez nas aktualizowana na bieżąco.
Jak ustrzec się przed zagrożeniem? Oto kilka wskazówek
- Sprawdzaj dokładnie stronę, a przede wszystkim jej adres, na której się znajdujesz. Jeśli wydaje Ci się ona podejrzana lub adres w żaden sposób nie jest kojarzony z zawartością, opuść ją niezwłocznie. Oszuści tak przygotowują złośliwe strony, aby w jak największym stopniu przypominały te, pod które próbują się podszyć.
- Nie wprowadzaj żadnych poufnych danych na stronach co, do których masz wątpliwości ich oryginalności. Zawsze istnieje możliwość skontaktowania się z daną instytucją (np. z Ministerstwem Finansów) poprzez oficjalne kanały komunikacyjne i potwierdzenie informacji.
- Pod żadnym pozorem nie klikaj w linki przychodzące w wiadomościach SMS. Hakerzy, informując np. o przyznaniu rzekomego "zwrotu odszkodowania" przesyłają link do złośliwej strony.
- Weryfikuj adres strony podczas logowania do bankowości, poczty email, czy też innych serwisów - możesz zapisać oryginalny adres w formie zakładki i przechodzić tylko przez nią. Unikaj przechodzenia z przekierowania, z linków zawartych w wiadomościach SMS, e-mail, czy innych źródeł.