Kampania phishingowa z fałszywymi “bonami do Biedronki”

Data publikacji: 11/04/2018, Michał Leszczyński

Zespół CERT Polska otrzymał zgłoszenie o pojawieniu się nowej akcji phishingowej wycelowanej w klientów Biedronki. Przestępcy posługują się domeną bony-biedronka.com, pod którą znajduje się strona internetowa przypominająca oficjalną stronę tej sieci sklepów. Służy ona do wyłudzania danych do kont bankowych.

Potencjalnym ofiarom prezentowany jest niezbyt starannie przygotowany tekst wraz z banerem, który sugeruje, że w ramach oferty specjalnej możliwe jest zakupienie bonu zniżkowego na 50 zł.

Po kliknięciu w baner ofiara jest przekierowywana na stronę podszywającą się pod bramkę płatności Dotpay. Phishingowa strona bardzo przypomina tę oryginalną, a dodatkowo posługuje się certyfikatem SSL wystawionym przez Let’s Encrypt.

Fałszywa bramka prosi ofiarę o wybór swojego banku, aby w następnym kroku zaprezentować imitację formularza logowania do serwisu transakcyjnego. Kiedy użytkownik poda swoje dane, skrypt napisany przez napastników inicjuje równoległą sesję z danym bankiem, loguje się tymi danymi i podejmuje czynności mające na celu wyprowadzenie pieniędzy z konta ofiary na rachunek bankowy podstawiony przez atakujących.

Rekomendacje

Pragniemy przypomnieć, że certyfikat SSL (tzw. “zielona kłódka” na pasku adresu) mówi wyłącznie o tym, że połączenie z danym serwisem internetowym jest szyfrowane. Certyfikaty SSL typu DV (Domain Validation) nie zawierają informacji o tożsamości podmiotu uruchamiającego dany serwis internetowy, ani jej nie weryfikują.

Podczas dokonywania płatności przez Internet należy zachować szczególną ostrożność, a szczególnie zwrócić uwagę na adres bramki płatności w której dokonujemy transakcji.

Prawdziwa wersja bramki Dotpay znajduje się pod adresem ssl.dotpay.pl oraz posiada certyfikat SSL OV (Organization Validation) o rozszerzonej walidacji, który poświadcza tożsamość podmiotu. Rekomendujemy każdorazowe sprawdzenie dwóch wymienionych wyżej czynników przed skorzystaniem z bramki płatności. Przykładowy wygląd paska adresu przeglądarki podczas dokonywania płatności przez Dotpay:

Certyfikatami OV posługują się niemal wszystkie popularne w Polsce bramki płatności. W związku z tym, podczas połączenia z prawdziwą bramką, obok ikony “zielonej kłódki” powinna się również znajdować prawidłowa nazwa firmy.

Wzorcowa tabela z informacjami o operatorach poszczególnych bramek oraz ich poddomenach (stan na 11-04-2018r.):

Bramka płatności Nazwa firmy na certyfikacie Domena w URL
Dotpay Dotpay S.A. [PL] ssl.dotpay.pl
PayU MIH PAYU B.V. [NL] secure.payu.com
Przelewy24 PayPro S.A. [PL] secure.przelewy24.pl

Po przekierowaniu z bramki płatności do serwisu transakcyjnego danego banku, warto ponownie dokonać sprawdzenia nazwy domeny oraz nazwy firmy na certyfikacie.