CSIRT NASK – zespół reagowania na incydenty bezpieczeństwa komputerowego – poinformował, że wciąż odnotowuje dużą liczbę zgłoszeń o próbach podszywania się pod portal OLX. Często celem jest wyłudzenie danych karty płatniczej sprzedawcy.

Jak ustalili eksperci, oszuści zwykle komunikują się z ofiarami za pośrednictwem komunikatora WhatsApp. Informują potencjalne ofiary, że zapłacili za wystawiony w ofercie towar, a sprzedawca, aby otrzymać zapłatę, musi jedynie ostatecznie potwierdzić odbiór pieniędzy, podając dane swojej karty płatniczej.

W rzeczywistości dane wpisywane są przez ofiarę na fałszywej stronie internetowej. Mogą zostać wykorzystane przez przestępców do kradzieży pieniędzy z konta oszukanej osoby – ostrzega CSIRT NASK.

Zespół uprzedza również, że podobne schematy ataku wykorzystują wizerunek Allegro, a także InPostu, DPD i Vinted.

Oszuści próbują wyłudzić dane sprzedawców na OLX już od dawna. Ostrzegał przed tym sam portal, eksperci ds. cyberbezpieczeństwa, jak też CSIRT KNF i CERT Polska.

W lipcu br. we Wrocławiu aresztowano 40-latka, który zbudował infrastrukturę teleinformatyczną do popełniania oszustw na OLX.

Nowa metoda włamań do firm

CSIRT NASK ostrzega też przed nową metodą ataku, która bazuje na obejściu zapór sieciowych aplikacji internetowych (WAF) i przeniknięciu do systemów. Umożliwia to napastnikom uzyskanie dostępu do wrażliwych informacji. Obejście opiera się na dołączeniu składni JSON do zapytania wykorzystującego podatność SQL injection. Metoda zadziałała przeciwko zaporom AWS, Cloudflare, F5, Imperva i Palo Alto Networks – twierdzą eksperci.

Odwrócenie roli programów antywirusowych

Jak podaje CSIRT NASK, badacz bezpieczeństwa z SafeBreach odkrył kilka luk bezpieczeństwa, które pozwoliły mu zmianę oprogramowania antywirusowego i EDR w programy do niszczenia danych. Zidentyfikowane błędy zostały zaprezentowane na konferencji cyberbezpieczeństwa Black Hat Europe. Pozwoliły one badaczowi oszukać produkty bezpieczeństwa w taki sposób, by zmusić je do usunięcia arbitralnych plików i katalogów w systemie oraz uczynić urządzenie niezdatnym do użytku.

Nowa kampania oszustw SMS – fałszywe mandaty

Zespół reagowania na incydenty bezpieczeństwa komputerowego w kraju zaobserwował również nowy wariant kampanii fałszywych SMS-ów, przekierowujących na stronę naśladującą formularz zapłaty za mandat karny. Oszustwo ma na celu wyłudzenie danych logowania do bankowości internetowej.

Przykładowa treść SMS-a zawiera groźbę (przekazanie rzekomej zaległości do komornika), wywołuje presję czasu (wyznaczenie krótkiego terminu), a równocześnie kusi łatwym rozwiązaniem problemu (niewielka kwota).

Na przykład: „W dniu 2.01.2023 twoj mandat zostanie przekazany do komornika z tytulu zaleglosci 5.00 PLN”.

Zapłata” z rządowego serwisu

CSIRT NASK odnotował też nową kampanię SMS-ową, w której przestępcy podszywają się pod rządowy serwis portal.gov.pl.

Tym razem treść wiadomości nie zawiera groźby. Przynętą jest informacja o otrzymaniu dopłaty.
Odsyłacz zawarty w SMS-ie prowadzi do fałszywej bramki płatności bankowych, która rzekomo ma posłużyć do odbioru pieniędzy. W rzeczywistości strona przechwytuje dane do bankowości internetowej.