Każdy ma czasem gorszy dzień: dziennikarz, kierowca, polityk i złodziej. Wychodzi na to, że ostatnio gorsze dni mieli oszuści, bo opracować tak marną próbę wyłudzenia danych… Niemal współczujemy.
Oszustwo „na zwrot podatku”
Najnowsza kampania phishingowa, której zadaniem jest wyłudzenie danych logowania do banku internetowego, to przykład na to, że nie powinno się testować na produkcji w piątek na drugiej zmianie. Ktokolwiek jest odpowiedzialny za stworzenie tego banalnego do zdemaskowania przekrętu, powinien zrobić sobie (nie)zasłużony odpoczynek od przestępczej działalności.
Sprawa dotyczy SMS-ów, masowo rozsyłanych do użytkowników telefonów komórkowych. Nadawca określany jest jako „Podatki” lub (co już na początku wygląda podejrzanie) „Podatk?”. Wiadomość jest prosta: jesteśmy informowani, że dostępny jest zwrot podatku, a po dwukropku mamy link do strony internetowej, która w adresie ma frazy „podatki” czy „info”.
Sama strona wygląda jak robiona w 3 minuty w dowolnym kreatorze. W piwnicy. Po pijaku. Ktoś nie wysilił się nawet, żeby witryna była choć po części podobna do portali rządowych. Jedynym elementem, który mógłby działać zwodniczo (choć na niezwykle niskim poziomie), jest polski „orzełek” w górnym, czerwonym pasku.
Odwiedzającego stronę ponagla komunikat o tym, że z jakichś niewyjaśnionych przyczyn, by otrzymać zwrot podatku, należy się spieszyć z wypełnianiem wrażliwych danych. Mamy określić, który bank prowadzi nasz rachunek, a później wpisać numer klienta lub login, hasło do bankowości internetowej, a także… PIN do aplikacji bankowej. W tym momencie zuchwałość oszustów przekracza już jakiekolwiek bariery.
Całość jest naprawdę kiepsko przygotowana i trzeba na wielu etapach wykazać się ogromną niefrasobliwością, by dać się złapać na taki kant: na SMS od nadawcy Podatk?, który „oferuje” zwrot należności za podatek.
Oszuści mają fatalne wyczucie czasu, bo tego typu haki byłyby bardziej skuteczne w pierwszej połowie roku, kiedy wielu z nas składało PIT-y. To więcej osób nabrałoby się na zwrot z zakupów w Black Week, czy coś w tym stylu. Zero finezji.
Fałszywe SMS-y z linkami wciąż popularne
Póki „opłacalne” będzie oszukiwanie ludzi, spreparowane wiadomości będą trafiać na nasze telefony i skrzynki e-mail. W 2023 roku każda z ofiar w przypadku postępowań dotyczących oszustw z wykorzystaniem SMS-ów, prowadzonych w 2023 roku przez Centralne Biuro Zwalczania Cyberprzestępczości, straciła średnio ok. 11 tysięcy złotych. W 2022 roku do CERT Polska zgłoszono ponad 210 tysięcy podejrzanych wiadomości.
Ministerstwo Cyfryzacji uruchomiło nowy numer do zgłaszania potencjalnie niebezpiecznych wiadomości SMS. Teraz można przesyłać je na nowo utworzony numer 8080.