"Dostaliście może ostatnio phishing SMS o rzekomej konieczności dopłaty do paczki? Nasze systemy wyłapują tego w ostatnich dniach mnóstwo, wyjątkowo dużo zgłoszeń od Was trafia też na naszą 'zgłaszarkę' 508 700 900. Skąd przestępcy biorą numery do wysyłania dziesiątek tysięcy phishingowych SMSów? Z przejętych kont Orange Flex" - tłumaczy na stronie spółki Michał Rosiak, ekspert ds. cyberbezpieczeństwa, CERT Orange Polska.
Próbę metody oszustwa "na Flexa" zauważono już w ubiegłym tygodniu. Specjalista od cyberbezpieczeństwa nazwał ją "próbnym balonem".
"SMS-ów nie było wiele, a gdy podczas analizy doszedłem do momentu, gdy miałem wpisać kod potwierdzający logowanie, nie doczekałem się go. Niemniej jednak strony docelowe z tego phishingu oczywiście zablokowaliśmy, dzięki czemu bardzo wiele osób uniknęło mimowolnego współudziału w rozsyłaniu phishingu (i związanych z tym kosztów)" - dodał Rosiak.
Atak phishingowy w Orange
W jaki sposób działają oszuści?
Rosiak relacjonuje, że na telefon ofiary przychodzi SMS. Może być o treści: "Orange Flex: Twój numer "Orange Flex" jest zablokowany, aby go ponownie aktywować, kliknij link: Drogi kliencie wygrywasz iphone 14 pro max od Orange, sprawdź szczegóły tutaj: Gratulacje wygrałeś 2000 zł od orange".
We wszystkich przypadkach link wyglądał tak samo – hxxps://v[.]ht/orange-flex.
Po wpisaniu loginu i hasła bądź numeru telefonu pojawiał się jeszcze monit o wpisanie kodu z SMS-a. To jednak nie koniec. Oszuści zaczęli wysyłać smsy z autoryzacją do klientów, którzy podali im wcześniej swoje numery (jak na grafice powyżej).
W ten sposób nastąpiła próba wysłania phishingu "na Flexa" oraz zalogowania się do serwisu Mój Orange.
"Gdy im się udało, zmieniali adres e-mail na swój (lub wpisywali swój, przy logowaniu numerem telefonu). Następnie, mając pełną kontrolę nad kontem… zamawiali doń usługę eSIM! A potem, po zainstalowaniu wirtualnej "simki" rozpoczynali wolumenową wysyłkę wiadomości, które miały im już przynieść faktyczny zarobek. Trzeba przyznać, że pomysł całkiem sprytny" - podkreślił Michał Rosiak.
Jego zdaniem oczywiste jest, że przestępcy działają poza terytorium Polski. Tym razem z jednego z krajów Unii Europejskiej.
Co robić, gdy otrzymamy podejrzaną wiadomość?
"Jak zawsze – myśleć za każdym razem, gdy wpisujemy gdzieś nasze loginy i hasła. Sprawdzać adres w pasku przeglądarki, szczegółowo przeczytać treść strony i jeśli trafimy na cokolwiek podejrzanego/nielogicznego – absolutnie nie podawać naszych danych. A jeśli macie wątpliwości, możecie też napisać do nas – mailem na cert.opl@orange.com, bądź przesłać dalej podejrzanego SMS-a na nr 508 700 900" - podsumował ekspert Orange.