Oszuści podszywają się pod polski rząd. Obiecują pieniądze: "przysługuje Panu zwrot"
CERT Polska informuje o wzmożeniu ataków phishingowych, w których napastnicy nie podszywają się już pod pracowników banków czy służby, lecz coraz częściej pod administrację rządowych serwisów w domenie gov.pl. Jak je rozpoznać?
Oszuści obiecują pieniądze w imieniu rządu
Można było się spodziewać, że wraz z rozwojem cyfrowych usług publicznych w Polsce coraz częściej będą one wykorzystywane w celach cyberprzestępczych . Analitycy CERT sygnalizują, że zidentyfikowali kolejne takie zagrożenie tylko w tym tygodniu.
W toku trwającej fali ataków celem padają w pierwszej kolejności skrzynki poczty elektronicznej Polaków. Trafiają na nie wykorzystujące identyfikację wizualną rządowych stron maile, których autorzy przekonują nas, że można otrzymać bliżej nieokreślony zwrot w wysokości kilkuset złotych . W temacie wiadomości może być mowa o rzekomej refundacji.
Dopracowane falsyfikaty rządowych stron
W treści maila czytamy, że przed otrzymaniem rzekomego zwrotu konieczne jest zweryfikowanie konta bankowego. Wówczas bez obaw będziemy mogli korzystać z usług cyfrowych w rządowej domenie. Do weryfikacji konieczne jest rzecz jasna kliknięcie przycisku z maila .
Zobacz: Złośliwe oprogramowanie infekuje Windowsa. Sprytnie maskuje swoje działanie
Po kliknięciu jesteśmy przenoszeni do fałszywego panelu logowania przeglądarkowej wersji mObywatela . Różnica w stosunku do oryginału jest zasadnicza - niedostępne są jakiekolwiek inne metody uwierzytelniania niż logowanie przez bankowość elektroniczną. Nie znajdziemy tam takich opcji jak Profil Zaufany czy podpis kwalifikowany.
Jak rozpoznać zagrożenie?
Po wyborze odpowiedniego banku trafiamy na kolejną fałszywą stronę, tym razem banku. Tam z użyciem podrobionego formularza logowania wykradane są dane logowania do konta bankowego. Gdy te trafią do napastników , mają oni pewną swobodę w kradzieży środków z rachunku.
Najprostszą metodą na uniknięcie problemów jest weryfikacja adresu nadawcy wiadomości . Napastnicy nie stosują żadnej formy maskowania, przez co od razu widać, że wiadomość nie pochodzi z rządowej domeny gov.pl i należy natychmiast ją usunąć. Pod żadnym pozorem nie należy klikać odnośników z wiadomości.