22/11/2018

Świąteczne zakupy i świąteczny phishing

Informacje

Listopad rozpoczyna najgorętszy okres zakupów w roku. Wszystko zaczyna się 11 listopada, który w Chinach jest świętowany jako Dzień singli. Z czasem przemienił się on w jeden z najpopularniejszych na świecie dni zakupów w sklepach internetowych i stacjonarnych. Zaraz po nim następuje Czarny piątek, który w tym roku wypada 23 listopada. Później będziemy już tylko czekać na święta Bożego Narodzenia i Nowy Rok. Dla osób, które lubią kupować, to doskonały czas — co chwilę pojawiają się jakieś promocje i wyprzedaże. A jakie są minusy takich okazji? Niestety wiele osób traci czujność, stając się łatwym celem dla cyberprzestępców.

Statystyki dotyczące phishingu

W ostatnich latach phishing finansowy stanowił co najmniej jedną czwartą wszystkich ataków zarejestrowanych w ciągu roku. W 2017 roku przekroczył połowę ataków.

Wzrost udziału phishingu finansowego w ostatnich latach

Powyższy wykres pokazuje stały wzrost udziału phishingu finansowego w każdym roku, począwszy od 2014 r. Można założyć, że ta tendencja wzrostowa będzie trwać do końca 2018 r.

W okresie wyprzedaży świątecznych liczba ataków wymierzonych w klientów sklepów internetowych i systemów płatności zauważalnie wzrasta. Jak wynika z naszych statystyk, w okresie tym phishing finansowy zwiększa swój udział o 10% w odniesieniu do wszystkich ataków. Poza sezonem wyprzedażowym oszuści wolą atakować klientów banków.

W Dzień singli nasze rozwiązania zabezpieczające zablokowały więcej prób przekierowania użytkowników na niebezpieczne zasoby.

Liczba zablokowanych prób przekierowania użytkowników na strony phishingowe

Ożywienie zarejestrowaliśmy 9 listopada, co nie jest zaskoczeniem, biorąc pod uwagę fakt, że cyberprzestępcy zawsze zaczynają przygotowywać się nieco wcześniej. Ataki masowe są zwykle przeprowadzane na krótko przed rzeczywistą datą wyprzedaży.

Jeśli chodzi o ataki phishingowe wymierzone w klientów platformy Alibaba Group, największego gracza w Dzień singli, trend ten jest podobny: widać spory skok, dwukrotnie większy w porównaniu do średniej liczb ataków w listopadzie.

Liczba zablokowanych prób przekierowania użytkowników na zasoby phishingowe podszywające się pod serwisy platformy Alibaba Group

Phishing w dniu 11 listopada

Cyberprzestępcy starannie przygotowali się na Dzień singli — na ofiary czekało już wiele stron phishingowych.

Phishing wymierzony w klientów platformy Alibaba wykorzystujący tematykę wyprzedażową

Na przykład powyższy zrzut ekranu pokazuje stronę internetową, która korzysta z klasycznej socjotechniki: wielokrotne umieszczenie wyrazu „alibaba” w adresie ma za zadanie uśpić czujność, kopia firmowego logo dodaje wiarygodności, a krzykliwe zdjęcie odwraca uwagę. Poniżej przedstawiamy inny przykład podobnej strony phishingowej.

Strona phishingowa, która próbuje uzyskać dane konta należącego do użytkownika platformy Alibaba

Amerykański gigant internetowy, Amazon, dogania grupę Alibaba w kwestii zarówno wyprzedaży/promocji, jak i zainteresowania ze strony cyberprzestępców, którzy tworzą fałszywe wersje stron firmowych.

Wykres przedstawiający zablokowane próby przekierowania użytkowników produktów Kaspersky Lab na strony phishingowe inspirowane wyglądem platformy Amazon

Cyberprzestępcy zwykle używają podobnej formuły podczas ataków phishingowych. Najpierw jako przynęta wykorzystywane są lukratywne oferty. Jednak zanim użytkownik skorzysta z okazji, musi wypełnić formularz, wprowadzając w nim dane osobowe: adres, numer telefonu itp. Po wypełnieniu formularza użytkownik musi przesłać łącze do znajomych. Oczywiście z okazji tej nie da się skorzystać: ofiara jest kierowana na kolejne strony, na których musi wypełniać bezużyteczne dla siebie ankiety.

Oszukańcza strona rzekomo oferująca wyprzedaże w serwisie Amazon

Phishing w Czarny piątek

23 listopada jest dniem nazwanym oficjalnie „Czarny piątek”, choć wiele sklepów rozpoczyna wyprzedaż kilka dni wcześniej. Patrząc na statystyki, spodziewamy się wzrostu ataków phishingowych w okresie poprzedzającym ten dzień. Ponadto już możemy dostrzec wiele zarejestrowanych (i do chwili obecnej uśpionych) stron typu blackfridayscom.tld czy black-fridaywalmart.tld. Strony te są powoli uzupełniane przez cyberprzestępców, których zamiarem jest zdobycie danych osobowych i informacji związanych z bankowością należących do niczego nieświadomych kupujących.

Aktywność phishingowa zwiększyła się w Czarny piątek 2018 r. Oszuści rozpoczęli masowo wysyłać e-maile phishingowe prowadzące do fałszywych stron, które udawały sklepy oferujące prawdziwe wyprzedaże.

Atak phishingowy na użytkowników Mercado Livre — popularnego sklepu w Ameryce Łacińskiej

Nazwa domeny tego fałszywego sklepu podszywającego się pod Walmart informuje o wydarzeniu, dla którego zostało utworzone. Strona ma typową formułę phishingową: przyciąga zainteresowanie klientów niewiarygodnie niską ceną nowego telewizora. Po przejściu do strony płatności klient wprowadza w formularzach swoje dane poufne i nieświadomie wysyła płatność do prywatnego portfela internetowego.

Strona phishingowa podszywająca się pod znaną sieć Walmart

Jeśli chodzi o wiadomości phishingowe, trafiliśmy na fałszywą promocję związaną z Czarnym piątkiem: ktoś oferuje darmową dwumiesięczną subskrypcję w serwisie Netflix. Osoby, które chcą skorzystać z promocji, są kierowane na stronę podszywającą się pod platformę Netflix. Tam muszą wprowadzić informacje związane ze swoją kartą kredytową oraz podać inne informacje osobowe. Następnie dane te wędrują w ręce atakujących, a ofiara zostaje z niczym. Zamiast obdarować użytkownika darmową subskrypcją w serwisie Netflix, cyberprzestępcy włamują się na jego konto bankowe.

Zasób phishingowy podszywający się pod serwis Netflix żądający podania informacji związanych z bankowością i innych poufnych danych

Ponadto w okresie poprzedzającym Czarny piątek powstaje wiele fałszywych sklepów internetowych oferujących zaskakująco dobre oferty globalnych marek.

Oferta phishingowa ciepłej kurtki zimowej popularnej marki w oszałamiająco niskiej cenie

Jeśli coś w internecie wydaje się zbyt piękne, by było prawdziwe, najprawdopodobniej jest fałszywe. Podobnie jest w tym przypadku. Po dodaniu towaru do koszyka użytkownik jest kierowany do strony płatności. Jedno jest pewne: autorzy tej strony nie żałowali jej ikon związanych z weryfikacją.

Niestety ikony te są zwykłymi obrazkami. Ponieważ po kliknięciu ich nie dzieje się nic, powinno to wzbudzić podejrzenia użytkownika. Mniej czujni odwiedzający stronę wypełnią standardowy formularz dostawy i wprowadzą dane płatności, aby dokonać zakupu; a wszystkie podane przez nich informacje trafią w ręce oszustów. Ten, kto da się nabrać, nie dostanie wymarzonej ciepłej kurtki na zimę.

Fałszywa strona służąca do kradzieży danych karty bankowej. Liczne ikony weryfikacji to zwykłe obrazki

Po czym rozpoznać fałszywy sklep

  • Unikaj sklepów, które korzystają z darmowego hostingu.
  • Dokładnie sprawdzaj adres internetowy stron, które zawierają formularz danych osobowych. Jeśli adres składa się z losowego ciągu liter lub wzbudza podejrzenia, nie realizuj płatności.
  • Jeśli sklep internetowy wzbudza jakiekolwiek podejrzenia, wyszukaj na stronie WHOIS informacje na temat tego, jak długo istnieje domena i kto jest jej właścicielem. Jeśli jest ona stosunkowo nowa i została zarejestrowana na jakiś dziwny podmiot, lepiej zrezygnuj z oferty.

Więcej przydatnych porad znajdziesz w poście pt. „Dlaczego phishing działa i jak go uniknąć„.

Porady pozwalające zachować bezpieczeństwo podczas zakupów

  • Zorganizuj specjalną kartę do zakupów internetowych i nie przechowuj na niej dużych kwot.
  • Nie wchodź na strony sklepów przy użyciu łączy otrzymanych w wiadomościach e-mail, przesłanych w mediach społecznościowych czy czatach, ani nie klikaj banerów reklamowych na podejrzanych stronach.
  • Staraj się nie kupować poprzez publiczne hotspoty Wi-Fi. Jeśli nie masz wyboru, skorzystaj z połączenia VPN, np. Kaspersky Secure Connection.