Podszywają się pod Przelewy24.pl, ale robią to bardzo nieudolnie

Podszywają się lub podszywa się — liczba osobników-oszustów wykorzystujących wizerunek serwisu pośredniczącego w płatnościach przelewy24.pl nie jest znana. Znane są za to szczegóły tej nieudolnej kampanii.

Dialcom24 Sp. z o.o. – www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

POTWIERDZENIE TRANSAKCJI

Data: 02/08/2018

Wpłacający: ***e-mail ofiary***

Tytułem: P72-250-343

Opis: 536734774899/97246134

Kwota: 808.40 PLN

Link do faktury: Faktura

Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

Treść dla każdego odbiorcy jest unikalna. Zmienia się adres e-mail ofiary, tytuł, opis i kwota. Nie zmienia się za to data wykonania usługi oraz nazwa spółki, pod którą podszywają się oszuści.

Link do faktury prowadzi do złośliwej aplikacji infekującej Androida, ale najpierw do strony zawierającej archiwum ZIP. Musicie przyznać, że […]:

1. przekierowanie,
2. pobranie archiwum po wypełnieniu captcha,
3. rozpakowanie ZIP na Androidzie,
4. szukanie programu w Google Play do rozpakowania ZIP-ów,
5. przejście do folderu z plikiem APK,
6. uruchomienie pliku,
7. wyłączenie zabezpieczeń instalowania programów z zaufanego źródła,
8. ponowne uruchomienie APK,
9. i w końcu instalacja…

[…] to BARDZO SKUTECZNY SPOSÓB na zainfekowanie tysięcy telefonów Polaków. Wyobraźcie sobie jeszcze, że ofiara pobiera ZIP na komputerze i wrzuca go na swojego Androida, aby odczytać fakturę…

Nie będziemy się pastwić nad losem sprawcy/ów. Podamy tylko do wiadomości, że następnym razem przypadkowa kampania może przerodzić się w dobrze opracowany phishing (w skrajnych przypadkach spear-phishing), a przed nim uratować może tylko prewencyjna ochrona.