Zespół CERT Polska, odpowiedzialny za monitorowanie i reagowanie na zagrożenia w polskiej cyberprzestrzeni, wydał pilne ostrzeżenie dotyczące nowej, niebezpiecznej kampanii oszustw internetowych. Przestępcy, działając z niezwykłą precyzją i znajomością branży hostingowej, podszywają się pod renomowane firmy udostępniające serwery i domeny internetowe. Ich celem są właściciele stron WWW, którzy nieświadomi zagrożenia, mogą stracić zarówno wrażliwe dane finansowe, jak i pieniądze zgromadzone na swoich kontach bankowych.
fot. Warszawa w Pigułce
Mechanizm działania oszustów jest przemyślany i bazuje na powszechnym wśród właścicieli stron internetowych lęku przed utratą domeny. Atak rozpoczyna się od wysłania profesjonalnie spreparowanej wiadomości e-mail, informującej odbiorcę o rzekomo zbliżającym się terminie wygaśnięcia jego domeny internetowej. Wiadomości te często zawierają elementy graficzne łudząco podobne do materiałów stosowanych przez prawdziwe firmy hostingowe, takie jak logotypy, kolorystyka czy choćby stopki przypominające autentyczną korespondencję biznesową.
Kluczowym elementem oszustwa jest stworzenie poczucia pilności i presji czasowej. Treść wiadomości sugeruje, iż domena adresata wygasa w ciągu najbliższych godzin lub dni, co może skutkować utratą strony internetowej i wszystkich związanych z nią danych. To właśnie ta presja czasu sprawia, iż wiele osób podejmuje pochopne decyzje, klikając w załączony w wiadomości link bez należytej weryfikacji jego autentyczności.
Link zawarty w fałszywej wiadomości prowadzi do starannie przygotowanej imitacji systemu płatności PayU – jednej z najpopularniejszych w Polsce bramek obsługujących transakcje internetowe. Strona ta jest często niemal identyczna jak oryginalna witryna płatności, zawierając te same elementy graficzne, układ strony i komunikaty. Różnica kryje się jednak w adresie URL – oszuści wykorzystują domeny łudząco podobne do oryginalnych, różniące się często jednym znakiem, dodatkową kropką czy myślnikiem, co przy pobieżnym sprawdzeniu może pozostać niezauważone.
Na fałszywej stronie transakcyjnej ofiara proszona jest o wprowadzenie kompletnych danych karty płatniczej: imienia i nazwiska właściciela, pełnego numeru karty, daty jej ważności oraz kodu CVV (trzycyfrowego kodu bezpieczeństwa znajdującego się na odwrocie karty). Wszystkie te informacje są natychmiast przechwytywane przez przestępców, którzy mogą następnie wykorzystać je do nieautoryzowanych transakcji i kradzieży środków z konta bankowego ofiary.
CERT Polska w swoim komunikacie zwraca szczególną uwagę na psychologiczny aspekt tych ataków. Oszuści doskonale wiedzą, iż właściciele stron internetowych, szczególnie prowadzący działalność biznesową, obawiają się utraty swojej domeny, co mogłoby skutkować poważnymi konsekwencjami dla ich działalności online. Ta obawa jest umiejętnie wykorzystywana do wywarcia presji i skłonienia ofiary do szybkiego działania, bez należytej weryfikacji autentyczności otrzymanej wiadomości.
Eksperci ds. cyberbezpieczeństwa podkreślają, iż legalne firmy hostingowe nigdy nie wysyłają nagłych wezwań do płatności z bezpośrednimi linkami do systemów transakcyjnych. Standardową praktyką jest informowanie klientów o zbliżającym się terminie odnowienia domeny z wyprzedzeniem, często kilkukrotnie, oraz kierowanie ich do zalogowania się na indywidualne konto klienta poprzez oficjalną stronę usługodawcy, a nie przez bezpośredni link w e-mailu.
W ramach ochrony przed tego typu oszustwami, CERT Polska zaleca kilka podstawowych zasad bezpieczeństwa. Przede wszystkim należy zachować szczególną ostrożność wobec wszelkich wiadomości sugerujących konieczność natychmiastowego działania, zwłaszcza jeżeli wiążą się z podaniem danych finansowych. W przypadku otrzymania informacji o wygasającej domenie, zamiast klikać w link zawarty w e-mailu, zaleca się samodzielne przejście na oficjalną stronę firmy hostingowej i zalogowanie się do panelu klienta.
Kolejnym istotnym krokiem ochronnym jest weryfikacja rzeczywistej daty wygaśnięcia posiadanej domeny. Można to zrobić na kilka sposobów: sprawdzając informacje w panelu administracyjnym swojej strony, kontaktując się bezpośrednio z obsługą klienta firmy hostingowej lub korzystając z publicznie dostępnych baz danych WHOIS, które zawierają informacje o właścicielach domen i terminach ich ważności.
Ważne jest również dokładne sprawdzanie adresów URL stron, na których podajemy swoje dane. Przed wprowadzeniem jakichkolwiek informacji finansowych należy upewnić się, iż znajdujemy się na autentycznej stronie, weryfikując nie tylko wygląd witryny, ale przede wszystkim jej adres. Legitymowane strony płatności zawsze używają szyfrowanego połączenia HTTPS, co jest sygnalizowane symbolem kłódki w pasku adresu przeglądarki.
W ramach dodatkowej ochrony eksperci zalecają włączenie powiadomień o transakcjach kartą płatniczą, oferowanych przez większość banków. Dzięki temu właściciel karty otrzymuje natychmiastowe powiadomienie o każdej próbie użycia jego karty, co pozwala na szybką reakcję w przypadku nieautoryzowanych transakcji. Warto również rozważyć ustawienie dziennych limitów transakcji, co może znacząco ograniczyć potencjalne straty w przypadku przejęcia danych karty przez oszustów.
Osoby, które podejrzewają, iż mogły paść ofiarą tego typu oszustwa, powinny natychmiast skontaktować się ze swoim bankiem w celu zablokowania karty płatniczej i zgłoszenia nieautoryzowanych transakcji. Następnie warto zgłosić incydent do CERT Polska poprzez formularz dostępny na stronie incydent.cert.pl lub wysyłając wiadomość na adres [email protected]. Przydatne może być również przekazanie fałszywej wiadomości e-mail do analizy przez zespół bezpieczeństwa dostawcy usług pocztowych.
Opisywana kampania oszustw wpisuje się w szerszy trend rosnącego wyrafinowania ataków phishingowych. Przestępcy coraz częściej odchodzą od masowych, generycznych kampanii na rzecz precyzyjnie ukierunkowanych ataków, dostosowanych do konkretnych grup odbiorców. W przypadku właścicieli domen internetowych, znajomość specyfiki branży hostingowej i procedur odnowienia domen pozwala oszustom na tworzenie przekonujących mistyfikacji, które mogą zmylić choćby osoby obeznane z technologią.
CERT Polska systematycznie monitoruje rozwój tego typu zagrożeń i współpracuje z dostawcami usług internetowych w celu blokowania stron wykorzystywanych przez przestępców. Jednak ze względu na szybkość, z jaką oszuści tworzą nowe fałszywe strony, kluczową rolę w ochronie przed tego typu atakami odgrywa czujność i ostrożność samych użytkowników internetu.
Warto podkreślić, iż problem fałszywych powiadomień o wygasających domenach nie dotyczy wyłącznie Polski. Podobne kampanie oszustw obserwowane są w wielu krajach, a przestępcy często adaptują swoje metody do lokalnych warunków, używając języka danego kraju i podszywając się pod popularne w nim firmy hostingowe.
Edukacja w zakresie cyberbezpieczeństwa pozostaje jednym z najskuteczniejszych narzędzi w walce z tego typu zagrożeniami. Regularne przypominanie o zasadach bezpiecznego korzystania z internetu, weryfikacji otrzymywanych wiadomości i ostrożności przy wprowadzaniu danych finansowych może znacząco ograniczyć skuteczność ataków phishingowych.
Podsumowując, właściciele stron internetowych powinni zachować szczególną czujność wobec nieoczekiwanych wiadomości dotyczących ich domen. W przypadku jakichkolwiek wątpliwości zawsze warto poświęcić dodatkowy czas na weryfikację autentyczności otrzymanej informacji, kontaktując się bezpośrednio z firmą hostingową poprzez oficjalne kanały komunikacji. Pamiętajmy, iż pośpiech i presja czasowa są typowymi narzędziami wykorzystywanymi przez cyberprzestępców, a poświęcenie kilku minut na dokładną weryfikację może uchronić przed utratą pieniędzy i wrażliwych danych.
