Fałszywe maile od Spotify. Trwa dopracowany atak na Polaków
Usługi streamingowe, zarówno te wideo, jak i muzyczne, na dobre rozgościły się nad Wisłą, co nie umknęło uwadze cyberprzestępców. W najnowszej kampanii phishingowej podszywają się oni pod Spotify, wciąż najpopularniejszą usługę muzyczną, także w Polsce. Na szali jest wiele - stracić można nie tylko konto w Spotify, ale też pieniądze.
Oszuści podszywają się pod Spotify
Firma CyberRescue zidentyfikowała kampanię phishingową, w której do Polaków trafiają maile pochodzące rzekomo od Spotify. Już sam mail zwraca uwagę - napastnikom udało się nadpisać adres nadawcy, tak aby wyglądał on jak pochodzący od administracji usługi i dopiero jego rozwinięcie ujawnia, ze mamy do czynienia z oszustwem.
Również sam wygląd maila jest identyczny z tym, który mogłoby wysłać Spotify. Ważna jest jednak jego treść. A ta przekonuje potencjalne ofiary, że doszło do problemów z płatnością za usługę i konieczna jest aktualizacja danych. Służy do tego przycisk, który zabiera nas na zewnętrzną stronę prowadzoną przez cyberprzestępców. Całość materiałów jest przygotowana w poprawnej polszczyźnie, co może, choć nie powinno, uwiarygadniać działania oszustów.
Spotify podnosi ceny w Polsce. Co zrobić, by nie utracić dostępu do usługi?Włamania na konto i kradzież pieniędzy
Atak przebiega dwutorowo. Najpierw jesteśmy proszeni o zalogowanie się do Spotify, przy czym robimy to na fałszywej stronie. W efekcie dane uwierzytelniające trafiają nie do usługi, lecz do napastników. W ten sposób mogą oni uzyskać dostęp do usługi, pozbawiając go tym samym prawdziwych właścicieli. To jednak nie ten problem jest w przypadku trwającej kampanii najpoważniejszy.
Wspomniana konieczność aktualizacji metody płatności ma bowiem wymagać od użytkowników Spotify podania danych karty płatniczej. Chodzi o komplet danych - imię i nazwisko posiadacza karty, datę jej ważności oraz kod CVV. Po ich podaniu trafiają one do atakujących, a ci mogą odtąd obciążać nasz rachunek dowolnymi transakcjami. W ten sposób ogołocą oni rachunek bankowy powiązany z kartą. Ogranicza ich tylko limit liczby lub wysokości transakcji.
Jak się chronić przed atakiem?
Kampania zwraca uwagę dopracowaniem - trudno zorientować się, że mamy do czynienia z oszustwem zarówno po wyglądzie strony, jak i w pewnym zakresie po adresach. Wystarczy jednak skupić się na tym drugim aspekcie i wnikliwiej zweryfikować adresy, by zdać sobie sprawę, że mamy do czynienia z oszustwem.
Jeśli otrzymamy podejrzane maile, warto samodzielnie zalogować się na Spotify (bez korzystania z linka w mailu), by sprawdzić, czy rzeczywiście pojawiły się problemy z płatnością. W innym wypadku będziemy narażeni na kradzież z konta.