Zespół CERT Polska otrzymał zgłoszenie o pojawieniu się nowej akcji phishingowej wycelowanej w klientów Biedronki. Przestępcy posługują się domeną bony-biedronka.com, pod którą znajduje się strona internetowa przypominająca oficjalną stronę tej sieci sklepów. Służy ona do wyłudzania danych do kont bankowych.
Potencjalnym ofiarom prezentowany jest niezbyt starannie przygotowany tekst wraz z banerem, który sugeruje, że w ramach oferty specjalnej możliwe jest zakupienie bonu zniżkowego na 50 zł.
Po kliknięciu w baner ofiara jest przekierowywana na stronę podszywającą się pod bramkę płatności Dotpay. Phishingowa strona bardzo przypomina tę oryginalną, a dodatkowo posługuje się certyfikatem SSL wystawionym przez Let’s Encrypt.
Fałszywa bramka prosi ofiarę o wybór swojego banku, aby w następnym kroku zaprezentować imitację formularza logowania do serwisu transakcyjnego. Kiedy użytkownik poda swoje dane, skrypt napisany przez napastników inicjuje równoległą sesję z danym bankiem, loguje się tymi danymi i podejmuje czynności mające na celu wyprowadzenie pieniędzy z konta ofiary na rachunek bankowy podstawiony przez atakujących.
Rekomendacje
Pragniemy przypomnieć, że certyfikat SSL (tzw. “zielona kłódka” na pasku adresu) mówi wyłącznie o tym, że połączenie z danym serwisem internetowym jest szyfrowane. Certyfikaty SSL typu DV (Domain Validation) nie zawierają informacji o tożsamości podmiotu uruchamiającego dany serwis internetowy, ani jej nie weryfikują.
Podczas dokonywania płatności przez Internet należy zachować szczególną ostrożność, a szczególnie zwrócić uwagę na adres bramki płatności w której dokonujemy transakcji.
Prawdziwa wersja bramki Dotpay znajduje się pod adresem ssl.dotpay.pl oraz posiada certyfikat SSL OV (Organization Validation) o rozszerzonej walidacji, który poświadcza tożsamość podmiotu. Rekomendujemy każdorazowe sprawdzenie dwóch wymienionych wyżej czynników przed skorzystaniem z bramki płatności. Przykładowy wygląd paska adresu przeglądarki podczas dokonywania płatności przez Dotpay:
Certyfikatami OV posługują się niemal wszystkie popularne w Polsce bramki płatności. W związku z tym, podczas połączenia z prawdziwą bramką, obok ikony “zielonej kłódki” powinna się również znajdować prawidłowa nazwa firmy.
Wzorcowa tabela z informacjami o operatorach poszczególnych bramek oraz ich poddomenach (stan na 11-04-2018r.):
Bramka płatności | Nazwa firmy na certyfikacie | Domena w URL |
---|---|---|
Dotpay | Dotpay S.A. [PL] | ssl.dotpay.pl |
PayU | MIH PAYU B.V. [NL] | secure.payu.com |
Przelewy24 | PayPro S.A. [PL] | secure.przelewy24.pl |
Po przekierowaniu z bramki płatności do serwisu transakcyjnego danego banku, warto ponownie dokonać sprawdzenia nazwy domeny oraz nazwy firmy na certyfikacie.