Allegro ponownie celem ataków Phishingowych
9 lutego 2016
Nie zliczymy ile razy nasi czytelnicy otrzymali e-maile z prośbą o przypomnienie hasła, zagubionej przesyłce kurierskiej, czy ekstra wygranej. Te e-maile ukrywają w sobie drugie dno – zazwyczaj mają na celu zainfekować komputer złośliwym oprogramowaniem lub wyłudzić dane do logowania się do różnych kont.
W ostatnim półroczu nie zmniejsza się liczba e-maili podszywających się pod znaną platformę aukcyjną – Allegro. Wszystkie zbadane przez nas e-maile próbowały w taki czy inny sposób wyłudzić dane do logowania się do konta.
Taką technikę nazywamy phishingiem. Jest to socjotechniczny podstęp stworzony w celu kradzieży danych osobowych użytkowników takich jak hasła, loginy i hasła bankowe za pośrednictwem fałszywych e-maili, witryn internetowych, które naśladują funkcjonalność oraz właściwości witryn, pod które się podszywają.
Cyberprzestępcy zwykle podszywają się pod firmy, które kontaktują się e-mailowo ze swoimi użytkownikami. Dzisiaj przykładem jest Allegro, ale taka sfałszowana wiadomość może wyglądać jak informacja z Facebooka, operatora telefonii komórkowej itp. Oszuści atakują skrzynki pocztowe na całym świecie, jeszcze kilka miesięcy temu, e-maile phishingowej miały wiele błędów gramatycznych, ale w tej chwili uległo to znaczącej zmianie. Wiadomości nie tylko lepiej wyglądają stylistycznie, ale też są lepiej zaprojektowane i częściej celniej trafiają do potencjalnych ofiar. W e-mailu do potencjalnych klientów Allegro prawie nie ma literówek, a adres e-mail wygląda jak prawdziwy.
Zwroty, niezapłacone raty, błędy w płatnościach, pilne prośby o rozliczenia – wszystkie te wymówki mają oszukać użytkowników i przekierować ich do fałszywych stron phishingowych. Strony te rzadko mają wiarygodne adresy URL i są najczęściej przechowywane na amatorskich hostingach. Jednak większość z nich wygląda jak lustrzane odbicie oryginalnej strony internetowej, co jeszcze bardziej uwiarygadnia wiadomość e-mail z wezwaniem do działania.
Ale jak się chronić przed atakami phishingowymi?
- Bądź ostrożny, gdy otrzymasz e-mail od kogoś, kogo nie znasz. Podobnie postępuj w przypadku firm – duże portale, takie jak Allegro nie wysyłają e-maili z prośbami o przypomnienie hasła, zalogowanie się, czy potwierdzenie bez powodu.
- Jeśli masz wątpliwość, że e-mail jest prawdziwy – skontaktuj się z firmą innym kanałem np. telefonicznie lub poprzez formularz kontaktowy. W razie wątpliwości, należy przejść do oficjalnej strony wpisując adres bezpośrednio w przeglądarce bez klikania na linki w tekście lub e-mailu.
- Oceń e-mail. Jeśli obrazy są złej jakości, w e-mailu są literówki lub błędy gramatyczne, to jest duża szansa, że e-mail został sfałszowany.
- Sprawdź w wyszukiwarce, czy może ktoś już zauważył podobny podejrzany e-mail. Często użytkownicy, którzy nie są pewni czy wiadomość jest prawdziwa pytają na forach portali o potwierdzenie.
- Wreszcie, nie ufaj adresowi e-mail nadawcy, ponieważ oszuści mogą korzystać ze sztuczek, które mogą ukryć ich prawdziwy adres e-mail.
- No i oczywiście aktualizujcie oprogramowanie antywirusowe. Bitdefender zablokował fałszywą witrynę od razu po kliknięciu w fałszywy link. Oprogramowanie antywirusowe może oszczędzić wiele problemów!