Изминативе неколку дена на многу луѓе им пристигнаа SMS пораки со информации околу пратка која што треба да им пристигне, но има некој проблем при испораката. Во пораката има и линк кој што го пренасочува корисникот на веб-страница каде што се бара да внесе негови лични податоци и најважно податоци од платежна картичка, со цел да се достави нарачката повторно на “вистинската адреса”.
Што се случува и која е целта на овие пораки?
Оваа активност е класичен пример за смишинг (smishing) напади, односно напаѓачите креирале лажна веб-страница на АД „Пошта на Северна Македонија“, со лого и дизајн кој што потсетува на националната пошта. Линкот кој се наоѓа во содржината на пораката, пренасочува кон оваа веб-страница, а потоа бара да се внесат лични податоци и податоци од платежна картичка од која подоцна би се наплатило одредена сума на пари.
За вакви национални смишинг измами сме пишувале и порано, како онаа за УЈП.
На граѓаните им пристигаат различни линкови, обично маскирани преку сервиси за кратење на URL-а како Linkr.it, кои всушност го маскираат вистинскиот домен.
На пример, една од пораките која ја анализиравме, го има доменот:
https://linkr.it/3j90aT која всушност редиректра до: https://za.ousez.3-a.net/bill која ја отвара странава:
Странава е идентична со официјалната страна на Македонска пошта, односно го содржи истиот хедер и футер.
Проверката на домените кои се инволвирани во измамите најчесто водат до ќор-сокак бидејќи или се користат хакирани сервери и сајтови, или пак домените се лажно регистрирани, но во одредени случаи се и со заштитени WHOIS податоци.
На пример, TLD доменот од гореспоменатата страница е 3-а.net, чии WHOIS податоци се:
Од ова се забележува дека доменот е поставен на сервисот ChangeIP.com и е регистриран преку истиот валиден сервис за динамичен DNS, а измамниците го користат овој легитимен сервис на ChangeIP лесно да ја менуваат дестинацијата на доменот. Најверојатно системот на ChangeIP за пријава на измами зависи од тоа некој да испрати првично пријава за да реагираат, односно истиот е реактивен наместо проактивен.
Тоа значи дека ChangeIP или другите вакви сервиси (како оние за кратење на URL-а) ќе реагираат за некој акаунт или домен, само во случај на претходна пријава. Замислете само колку измами ќе беа спречени доколку постои респонзивен CIRT тим кој веднаш ќе реагира и ќе ги пријави домените и злоупотребите до потребните сервиси за да ги преземат потребните чекори.
Дополнително интересен факт е дека нападот е осмислен и таргетиран кон македонската популација бидејќи голем дел од ротирачките домени користат специфични термини како mkd-post, makposta, postamk и сл…
Практичен пример:
Голема е веројатноста да чекате некоја пратка, на работа сте или во брзање, ви стигнува SMS порака од типот дека има одреден проблем околу испораката. Кликнувате на линкот и притоа не обрaќате внимание на доменот, SSL сертификатот и слично. Ако сте човек со послаби познавања од ИТ, уште поверојатно е дека овие работи не ви значат ништо и нема да обрнете никакво внимание или пак реално да се посомневате.
Во брзање, ќе ги внесете личните податоци, а потоа и податоците од платежната картичка – бидејќи потребната сумата за да се реши одредениот проблем е само 50-60 денари. На оваа јадица не би се фатиле сите, но со сигурност би се нашол некој брз кој што нема време да обрне поголемо внимание…
Според неофицијални информации, односно пишувања на луѓето на социјалните мрежи, сумата која што била наплатена на жртвите, во голем дел случаи била многу повисока од 50-60 денари.
Што е фишинг и какви видови постојат?
Под фишинг се подразбираат сајбер напади при кои што напаѓачите, преку лажни веб-страници се обидуваат да изнудат лични податоци, податоци од платежна картичка, информации за најава на одреден систем и слично.
- Фишинг преку емаил: Напаѓачите испраќаат мејлови, кои што содржат линкови што водат кон веб-страници кои што бараат внесување на одредени сензетивни податоци. Ова е најчест формат на фишинг.
- Фишинг преку пораки, познато како смишинг (зборот всушност е комбинација од SMS и smishing): Напаѓачите испраќаат SMS пораки, кои што содржат линкови што водат кон веб-страници кои што бараат внесување на одредени сензетивни податоци.
- Вишинг (voice phishing): Напаѓачите се јавуваат по телефон, лажно се претставуваат, се со цел да изнудат одредени сензитивни податоци. Чест е случајот каде што измамници се јавуваат на постари лица дека нивните деца се во сообраќајка и итно им требаат пари.
- Фарминг (pharming): Напаѓачите го пренасочуваат сообраќајот од вистинка веб-страница кон лажна веб-страница, понамошната активност е позната.
Како да се заштитите од вакви напади?
Најефикасно решение за заштита од вакви напади е бидете многу претпазливи и да не избрзувате со внесување на сензитивни податоци (посебно податоци од платежна картичка) на некоја платформа. Во случај да бидете измамени и да дознате за истото за кратко време, стапете во контакт со вашата банка, бидејќи можеби ќе имате можност да ја блокирате трансакцијата или да превземете други соодветни мерки. Дополнително, информирајте се како да препознаете која е вистинска и безбедна веб-страница, а која е лажна… може да почнете тука.
БОНУС
Во моментов на пишувањето на овој текст, линкот кој што беше испратен на SMS порака во 09:25 на 12.10, пренасочува на истата веб-страница, но дизајнот и јазикот на содржината се сменети – односно сега веќе таргетираат уругвајски државјани со истата измама:
Ова говори за брзината на самата операција – како истата таргетира различни држави за само неколку минути.
Сомнително во целата оваа ситуација, како и онаа со УЈП, е што измамниците имаат листа на огромен број валидни броеви која најверојатно доаѓа од некоја хакирана датабаза. Засега е тешко да се тврди од каде би можеле да произлезат вакви податоци, меѓутоа сомнежи има на сите страни.
Ако сте жртва на напад…
Ако се сомневате дека сте жртва на фишинг, смишинг или било кој облик на онлајн напад:
- Ако сте споделиле податоци од платежна картичка веднаш контактирајте ја банката или финансиската институција, пријавете го случајот до MKD-CIRT, Дирекцијата за заштита на лични податоци и сите други институции кои сметате дека се надлежни во случајот и чие име се злоупотребува.
- Променете ги лозинките. Ако ја користите истата лозинка и имејл адреса и на друго место, променете ја и таму.
- Бидете внимателни со профилите кои сте ги споделиле. Ако забележите сомнителна активност, на пример платежни трансакции веднаш контактирајте ја банката.
- Пријавете го нападот во Секторот за компјутерски криминал и дигитална форензика при МВР. СВР Скопје, СВР Велес, СВР Штип, СВР Струмица, СВР Битола, СВР Охрид, СВР Тетово и СВР Куманово имаат отсеци за компјутерски криминал. Сомнителни пораки може да пријавите и на [email protected].
- Користете софтвер за заштита и редовно надградувајте го, а посветете и време на некој онлајн курс или доедукација за основи на сајбер безбедност ако не сте дел од ИТ индустријата.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
МКхост 
