Fałszywe zwroty podatków zalewają polski internet, trzeba zwrócić uwagę na jeden detal
Oszuści uruchomili nową, dopracowaną kampanię phishingową, tym razem podszywając się pod administrację skarbową. Atak może być tym bardziej skuteczny, że potencjalnym ofiarom obiecuje się pieniądze. Komisja Nadzoru Finansowego zaleca szczególną ostrożność przed podobnymi wiadomościami.
Oszuści zachęcają zwrotem podatku
Kampania wykorzystuje element podszywania się pod Urząd Skarbowy, a konkretniej pod serwis podatki.gov. Osoby, którym strona została wyświetlona, są przekonywane, że czeka na nich zwrot podatku, co stanowi element socjotechniki i zachęca do podjęcia działań. Rzeczywistość jest inna – na skorzystaniu nie tylko nic nie zarobimy, ale możemy stracić wszystkie pieniądze.
W pierwszej kolejności wyświetlany jest komunikat o wystawieniu faktury zwrotu podatku. Podany jest jej fikcyjny numer i kwota, a także termin, do którego należy zgłosić się po pieniądze. Tu znów mamy do czynienia z elementami socjotechniki – upływający czas może działać na naszą niekorzyść, co zachęca do pośpiechu, osłabiając czujność ofiar. Strona wyświetlana jest z użyciem domeny podatkipl.click.
Firma chroniąca infrastrukturę krytyczną Polski zaatakowana. Napastnicy grożą publikacją wrażliwych danychUwaga na domeny podatkipl.click i servicecom.top
Po kliknięciu przycisku „Zdobądź pieniądze” trafiamy pod adres w domenie servicecom.top, pod którym zobaczymy całkiem dopracowaną stronę, zachęcająca do pozostawienia nie tylko danych kart płatniczych, co umożliwi ich obciążenie przez napastników, ale także do przekazania danych logowania do bankowości elektronicznej.
Strony wykorzystują prawdziwe logotypy największych działających w Polsce banków, dostępny jest nawet przycisk pozwalający na uruchomienie fikcyjnego czatu, co stanowi próbę dodatkowego uwiarygodnienia witryn. Słabym i niedopracowanym elementem jest brak spoofingu, czyli maskowania adresu, dzięki czemu atak można już na wczesnym etapie rozpoznać jako próbę oszustwa.
Kradzież danych do konta i kart płatniczych
Po zatwierdzeniu formularza informacje służące do uwierzytelniania się w bankowości elektronicznej i dane karty trafiają w ręce napastników, którzy mogą w ten sposób ogołocić powiązane rachunki. W przypadku bankowości stracić można wszystkie zgromadzone na rachunkach pieniądze, niemniej uzyskanie do nich dostępu przez napastników jest trudniejsze ze względu na uwierzytelnianie wieloskładnikowe.
Inaczej jest w przypadku danych kart płatniczych. Tutaj oszuści mogą dokonywać operacji tylko w ramach ustalonego przez ofiarę limitu, ale nie potrzebują do tego wykorzystywać dodatkowych składników logowania. Jedyną ochronę stanowią w tym przypadku algorytmy samego banku, który automatycznie może rozpoznać transakcję dokonaną przez oszustów jako podejrzaną i ją zablokować.