Złodzieje podszywają się pod Google. 1,50 zł ma zapewnić święty spokój
Dopłata nieco powyżej złotówki, ale w rzeczywistości straty znacznie większe. Na skrzynki pocztowe polskich internautów pisze oszust podający się za Google.
Co jakiś czas opisujemy szczególnie popularne oszustwa phishingowe, żebyście mogli uczulić na nie rodzinę i znajomych. Tym razem, jak informuje Niebezpiecznik, nową popularną przynętą do łowienia nieostrożnych jest Google Play. Oszust, który za tym stoi odpowiada też za podszywanie się pod Allegro.
Phishing: Zaległość Google Play.
Scenariusz jest typowy. Google w mailu domaga się uiszczenia przez nas 1,45 zł. Opłata ma być rzekomo naliczona za korzystanie ze sklepu Google Play. Oszust straszy w mailu, że jeśli nie zostanie ona uregulowana w ciągu doby, nasz dług będzie przekazany do windykacji, a dane pojawią się w Krajowym Rejestrze Długów i Rejestrze Dłużników ERIF (lub ERIFF jak pisze oszust). Preferowanym przez Google systemem płatności, co może zaskakiwać, nie jest jednak Google Pay, ale DotPay.
Wprawne oko od razu wychwyci w mailu cechy typowe dla phishingu – niską sumę, której nie żal zapłacić (1,50 zł za święty spokój wydaje się dobrą ceną). Presję czasu, która sprawia, że łatwiej o pomyłkę. Straszenie bardzo poważnymi konsekwencjami w wypadku niezastosowania się do treści maila (wpisanie do KRD za 1,50 zł to wyjątkowo surowa kara). A na deser duży blok tekstu naśladujący regulaminowo-prawniczy bełkot, który onieśmiela i nadaje powagi przekrętowi.
Zawsze sprawdzaj adresy stron i czytaj wiadomości od banku.
Jeśli ofiara zdecyduje się kliknąć w link podany przez oszusta, wyląduje na profesjonalnie skopiowanej stronie DotPay, po czym często zaczyna działać automatycznie. Wybiera metodę płatności, po czym zostaje przekierowana na podstawioną stronę banku. Tam podaje złodziejowi login i hasło, które ten może wykorzystać, by ustawić samego siebie jako zaufanego odbiorcę.
Tutaj następuje ostatni moment, w którym ofiara może się połapać, że coś jest nie tak. Ponieważ dodanie nowego zaufanego odbiorcy wymaga potwierdzenia za pomocą kodu, na telefon ofiary przychodzi wiadomość z banku. Jeśli ofiara przeczyta SMS-a uważnie, zobaczy, że wcale nie jest on potwierdzeniem zapłaty 1,45 na konto Google. Wtedy jest uratowana (choć powinna szybko zmienić hasło do banku). Jeśli jednak po zrobieniu przelewu po prostu przepisuje kod, nie poświęcając czasu na przeczytanie wiadomości, złodziej uzyskuje możliwość wysyłania do siebie przelewów.