9 godzin temu
Zespół CERT Polska wydał pilne ostrzeżenie dotyczące nowej, wyrafinowanej kampanii cyberprzestępczej, która w ostatnich tygodniach dotknęła setki polskich przedsiębiorców i właścicieli stron internetowych. Przestępcy, wykorzystując socjotechnikę i zaawansowane metody fałszowania stron internetowych, podszywają się pod renomowane firmy hostingowe, wysyłając fałszywe powiadomienia o wygasającej domenie internetowej. Za pozornie niewinnym przypomnieniem o konieczności przedłużenia usługi kryje się jednak złożony mechanizm wyłudzenia danych karty płatniczej oraz pieniędzy z kont ofiar.
fot. Warszawa w Pigułce
Schemat działania przestępców jest starannie dopracowany i bazuje na znajomości typowych procesów związanych z zarządzaniem domenami internetowymi. Wszystko zaczyna się od wiadomości e-mail, która na pierwszy rzut oka wygląda jak standardowe przypomnienie od dostawcy usług hostingowych. Nadawca informuje, iż domena internetowa użytkownika niedługo wygaśnie i wymaga natychmiastowego odnowienia. Komunikat zwykle zawiera elementy wywierające presję czasową – informacje o tym, iż pozostało zaledwie kilka dni na przedłużenie, a w przypadku braku reakcji strona zostanie zawieszona lub przejęta przez inny podmiot.
Do wiadomości dołączony jest link, który rzekomo prowadzi do systemu płatności umożliwiającego szybkie przedłużenie domeny. W rzeczywistości link kieruje na fałszywą stronę, która do złudzenia przypomina popularny w Polsce system płatności PayU. Strona jest zwykle bardzo dobrze wykonana, z zachowaniem wszystkich elementów graficznych, logotypów i układu oryginalnego serwisu, co sprawia, iż choćby ostrożni użytkownicy mogą zostać wprowadzeni w błąd.
Na fałszywej stronie płatności ofiara proszona jest o wprowadzenie szeregu wrażliwych danych osobowych i finansowych. Przestępcy zbierają pełne imię i nazwisko, numer karty płatniczej wraz z datą jej ważności oraz trzycyfrowy kod zabezpieczający CVV. Te informacje, raz przejęte przez oszustów, mogą zostać wykorzystane do nieautoryzowanych transakcji i bezpośredniego opróżnienia konta bankowego ofiary. W niektórych przypadkach, po wprowadzeniu danych karty, użytkownik jest dodatkowo przekierowywany na stronę imitującą bankowość elektroniczną, gdzie proszony jest o podanie loginu i hasła do swojego konta.
CERT Polska, analizując zgłoszenia dotyczące tego typu ataków, zauważył, iż przestępcy często korzystają z zaawansowanych technik maskujących rzeczywiste pochodzenie wiadomości. Adresy e-mail, z których wysyłane są fałszywe powiadomienia, mogą zawierać nazwy znanych firm hostingowych z drobnymi modyfikacjami, które są trudne do wychwycenia przy pobieżnym czytaniu. Podobnie jest z adresami fałszywych stron – różnią się one od oryginalnych zaledwie jedną literą lub zawierają dodatkowe elementy w domenie, co przy braku uważności może zostać przeoczone.
W swoim komunikacie CERT Polska podkreśla, iż kluczowym elementem wykorzystywanym przez oszustów jest presja czasowa. Świadomość, iż wygaśnięcie domeny może prowadzić do utraty strony internetowej i potencjalnych klientów, skłania wiele osób do szybkiego działania, bez przeprowadzenia standardowych procedur weryfikacyjnych. Ta presja, celowo wywoływana przez przestępców, często prowadzi do podejmowania pochopnych decyzji i zmniejsza czujność potencjalnych ofiar.
Eksperci z zakresu cyberbezpieczeństwa zwracają uwagę, iż kampania ta jest szczególnie niebezpieczna dla małych i średnich przedsiębiorców, dla których strona internetowa stanowi najważniejszy kanał kontaktu z klientami. Utrata domeny mogłaby wiązać się z realnymi stratami finansowymi, dlatego informacja o konieczności jej przedłużenia jest traktowana priorytetowo, co dodatkowo zwiększa skuteczność ataku.
Aby chronić się przed tego typu oszustwami, CERT Polska zaleca wdrożenie kilku podstawowych zasad bezpieczeństwa. Przede wszystkim, należy zachować szczególną ostrożność wobec wiadomości zawierających elementy presji czasowej i żądających natychmiastowego działania. W przypadku otrzymania informacji o wygasającej domenie, warto zweryfikować tę informację poprzez bezpośrednie zalogowanie się do panelu klienta na oficjalnej stronie dostawcy usług hostingowych. Nigdy nie należy korzystać z linków zawartych w wiadomości e-mail, ponieważ mogą one prowadzić do fałszywych stron.
Kolejnym ważnym krokiem jest dokładne sprawdzanie adresów stron internetowych przed wprowadzeniem jakichkolwiek danych osobowych czy finansowych. Często adresy fałszywych stron różnią się od oryginałów tylko drobnymi szczegółami, takimi jak dodatkowe znaki, zamienione litery czy nieznacznie zmieniona nazwa domeny. Warto również zwracać uwagę na protokół HTTPS i symbol kłódki w pasku adresu, choć należy pamiętać, iż w tej chwili również fałszywe strony mogą posiadać certyfikaty SSL, które nie gwarantują ich autentyczności, a jedynie poufność transmisji danych.
Pomocne może być również aktywowanie w swoim banku powiadomień o transakcjach oraz ustawienie limitów dla płatności kartą. Dzięki temu, choćby jeżeli dane karty zostaną przejęte przez oszustów, możliwe będzie szybkie wykrycie nieautoryzowanych transakcji i zablokowanie karty. Warto rozważyć korzystanie z jednorazowych numerów kart płatniczych do transakcji internetowych, które oferuje coraz więcej banków.
W przypadku wykrycia podejrzanej wiadomości, CERT Polska zachęca do jej zgłoszenia zarówno do zespołu reagowania na incydenty bezpieczeństwa, jak i do swojego operatora pocztowego. Takie działanie pozwala na szybką identyfikację nowych kampanii phishingowych i ostrzeżenie innych potencjalnych ofiar. Zgłoszenia można dokonać poprzez formularz na stronie incydent.cert.pl lub przekazując podejrzaną wiadomość jako załącznik na adres [email protected].
Warto również regularnie monitorować daty ważności swoich domen i usług hostingowych, na przykład zapisując je w kalendarzu lub korzystając z automatycznych przypomnień oferowanych przez renomowanych dostawców. Dzięki temu będziemy wiedzieć, kiedy rzeczywiście zbliża się termin przedłużenia i nie damy się zaskoczyć fałszywymi powiadomieniami.
Eksperci podkreślają, iż problem fałszywych powiadomień o wygasających domenach nie jest zjawiskiem nowym, ale obecna kampania wyróżnia się wyjątkowo wysokim poziomem wiarygodności przygotowanych materiałów. Przestępcy wykorzystują oficjalne logotypy firm, zachowują styl komunikacji charakterystyczny dla konkretnych dostawców usług i często dysponują prawdziwymi informacjami o domenach należących do potencjalnych ofiar, co dodatkowo uwiarygadnia wysyłane wiadomości.
CERT Polska przypomina również, iż legalne firmy hostingowe nigdy nie wymagają podawania pełnych danych karty płatniczej poprzez wiadomości e-mail i zawsze oferują możliwość przedłużenia domeny poprzez bezpieczny panel klienta. jeżeli mamy jakiekolwiek wątpliwości co do autentyczności wiadomości, najlepszym rozwiązaniem jest bezpośredni kontakt z obsługą klienta dostawcy usług poprzez oficjalny numer telefonu lub adres e-mail dostępny na stronie internetowej firmy.
Cyberprzestępcy nieustannie doskonalą swoje metody i dostosowują je do zmieniających się okoliczności. W dobie rosnącego znaczenia obecności w internecie, ataki wymierzone w właścicieli stron internetowych stanowią poważne zagrożenie, które może prowadzić nie tylko do strat finansowych, ale również do utraty reputacji firm i zaufania klientów. Dlatego tak ważne jest nieustanne podnoszenie świadomości w zakresie cyberbezpieczeństwa i wdrażanie odpowiednich procedur ochronnych.
English (US) · 
Polish (PL) · 
Russian (RU) ·