Wirtualny atak na klientów Orange. Przejmowane są ich konta
Użytkownicy oferty Orange Flex muszą mieć się na baczności. Oszuści próbują przejąć ich konta, wysyłając dziesiątki tysięcy phishingowych smsów.
"Dostaliście może ostatnio phishing SMS o rzekomej konieczności dopłaty do paczki? Nasze systemy wyłapują tego w ostatnich dniach mnóstwo, wyjątkowo dużo zgłoszeń od Was trafia też na naszą 'zgłaszarkę' 508 700 900. Skąd przestępcy biorą numery do wysyłania dziesiątek tysięcy phishingowych SMSów? Z przejętych kont Orange Flex" - tłumaczy na stronie spółki Michał Rosiak, ekspert ds. cyberbezpieczeństwa, CERT Orange Polska.
Próbę metody oszustwa "na Flexa" zauważono już w ubiegłym tygodniu. Specjalista od cyberbezpieczeństwa nazwał ją "próbnym balonem".
"SMS-ów nie było wiele, a gdy podczas analizy doszedłem do momentu, gdy miałem wpisać kod potwierdzający logowanie, nie doczekałem się go. Niemniej jednak strony docelowe z tego phishingu oczywiście zablokowaliśmy, dzięki czemu bardzo wiele osób uniknęło mimowolnego współudziału w rozsyłaniu phishingu (i związanych z tym kosztów)" - dodał Rosiak.
Atak phishingowy w Orange
W jaki sposób działają oszuści?
Rosiak relacjonuje, że na telefon ofiary przychodzi SMS. Może być o treści: "Orange Flex: Twój numer "Orange Flex" jest zablokowany, aby go ponownie aktywować, kliknij link: Drogi kliencie wygrywasz iphone 14 pro max od Orange, sprawdź szczegóły tutaj: Gratulacje wygrałeś 2000 zł od orange".
We wszystkich przypadkach link wyglądał tak samo – hxxps://v[.]ht/orange-flex.
Po wpisaniu loginu i hasła bądź numeru telefonu pojawiał się jeszcze monit o wpisanie kodu z SMS-a. To jednak nie koniec. Oszuści zaczęli wysyłać smsy z autoryzacją do klientów, którzy podali im wcześniej swoje numery (jak na grafice powyżej).
W ten sposób nastąpiła próba wysłania phishingu "na Flexa" oraz zalogowania się do serwisu Mój Orange.
"Gdy im się udało, zmieniali adres e-mail na swój (lub wpisywali swój, przy logowaniu numerem telefonu). Następnie, mając pełną kontrolę nad kontem… zamawiali doń usługę eSIM! A potem, po zainstalowaniu wirtualnej "simki" rozpoczynali wolumenową wysyłkę wiadomości, które miały im już przynieść faktyczny zarobek. Trzeba przyznać, że pomysł całkiem sprytny" - podkreślił Michał Rosiak.
Jego zdaniem oczywiste jest, że przestępcy działają poza terytorium Polski. Tym razem z jednego z krajów Unii Europejskiej.
Co robić, gdy otrzymamy podejrzaną wiadomość?
"Jak zawsze – myśleć za każdym razem, gdy wpisujemy gdzieś nasze loginy i hasła. Sprawdzać adres w pasku przeglądarki, szczegółowo przeczytać treść strony i jeśli trafimy na cokolwiek podejrzanego/nielogicznego – absolutnie nie podawać naszych danych. A jeśli macie wątpliwości, możecie też napisać do nas – mailem na cert.opl@orange.com, bądź przesłać dalej podejrzanego SMS-a na nr 508 700 900" - podsumował ekspert Orange.
