Podszywają się lub podszywa się — liczba osobników-oszustów wykorzystujących wizerunek serwisu pośredniczącego w płatnościach przelewy24.pl nie jest znana. Znane są za to szczegóły tej nieudolnej kampanii.

Dialcom24 Sp. z o.o. - www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

POTWIERDZENIE TRANSAKCJI

Data: 02/08/2018

Wpłacający: ***e-mail ofiary***

Tytułem: P72-250-343

Opis: 536734774899/97246134

Kwota: 808.40 PLN

Link do faktury: Faktura

Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

Treść dla każdego odbiorcy jest unikalna. Zmienia się adres e-mail ofiary, tytuł, opis i kwota. Nie zmienia się za to data wykonania usługi oraz nazwa spółki, pod którą podszywają się oszuści.

Przelewy24.pl oszustwo

Link do faktury prowadzi do złośliwej aplikacji infekującej Androida, ale najpierw do strony zawierającej archiwum ZIP. Musicie przyznać, że […]:

  1. przekierowanie,
  2. pobranie archiwum po wypełnieniu captcha,
  3. rozpakowanie ZIP na Androidzie,
  4. szukanie programu w Google Play do rozpakowania ZIP-ów,
  5. przejście do folderu z plikiem APK,
  6. uruchomienie pliku,
  7. wyłączenie zabezpieczeń instalowania programów z zaufanego źródła,
  8. ponowne uruchomienie APK,
  9. i w końcu instalacja…

[…] to BARDZO SKUTECZNY SPOSÓB na zainfekowanie tysięcy telefonów Polaków. Wyobraźcie sobie jeszcze, że ofiara pobiera ZIP na komputerze i wrzuca go na swojego Androida, aby odczytać fakturę…

Nie będziemy się pastwić nad losem sprawcy/ów. Podamy tylko do wiadomości, że następnym razem przypadkowa kampania może przerodzić się w dobrze opracowany phishing (w skrajnych przypadkach spear-phishing), a przed nim uratować może tylko prewencyjna ochrona

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Kaligula śr., 29-08-2018 - 13:55

Toż to prawdziwa "zbrodnia doskonała".

Art wt., 09-10-2018 - 17:02

Witam,

Niestety nabrałem się na tego maila. Wykonuję sporo transakcji przez przelewy24 i to uśpiło moją czujność. Kliknąłem na fakturę po wypełnieniu captcha, potem wybrałem jakiś program do archiwów i więcej nic nie zauważyłem. Czy to oznacza, że zainfekowałem sobie telefon (xiaomi.eu)? Czy możliwe, ze proces infekowania nie został zrealizowany do końca?

Jeśli tak to co najlepiej zrobić? Konieczne jest przywrócenie systemu do ustawień fabrycznych? Usunąłem aplikacje mobilne banków na razie dla bezpieczeństwa.

Adrian Ścibor wt., 09-10-2018 - 17:31

Możliwe są dwa scenariusze:

Bardziej poważny. Atak został zmodyfikowany od czasu publikacji tej informacji, więc po kliknięciu nic nie zostało pobrane. Zamiast tego złośliwa strona wykorzystała lukę z niezaktualizowanej przeglądarce, a dostarczony ładunek uruchomił pobieranie złośliwego oprogramowania mogącego uzyskać uprawnienia root, jeśli telefon nie zawiera łatek bezpieczeństwa. Niebezpieczne, ale trudniejsze do wykonania i mniej prawdopodobne. Zalecane przywrócenie fabrycznych ustawień, ale to nie zawsze pomoże w pozbyciu się malware, które zaszyło się w firmware. Konieczne są dalsze kroki do wykonania.

Mniej poważny. Kliknąłeś na archiwum i wypakowałeś. Musiałbyś jeszcze zainstalować aplikację. Nic się stało.

Dodane przez Art w odpowiedzi na

Art wt., 09-10-2018 - 20:42

Dziękuję za odpowiedź. Chyba ten drugi scenariusz.
Pobrane zostało archiwum ZIP, a w nim znajduje się kolejny ZIP z fakturą, który niewyraźnej nigdzie się nie rozpakował.

Dodane przez Adrian Ścibor w odpowiedzi na

Dodaj komentarz