Mastodon
Zdjęcie okładkowe wpisu Uwaga: wyjątkowo sprytny atak na użytkowników mObywatela. Nawet twój iPhone może cię zmylić

Uwaga: wyjątkowo sprytny atak na użytkowników mObywatela. Nawet twój iPhone może cię zmylić

Agnieszka Serafinowicz
0
Dodane: 4 godziny temu

Ekipa z Sekuraka bije na alarm, a my podpisujemy się pod tym obiema rękami: trwa nowa kampania phishingowa, która celuje w polskiego podatnika i kierowcę.

Oszuści weszli na wyższy poziom bezczelności – podszywają się pod rządową aplikację mObywatel tak skutecznie, że fałszywa wiadomość pojawia się w tym samym wątku, co autentyczne SMS-y od administracji państwowej.

Mechanizm pułapki: jak oni to robią?

To, co czyni ten atak szczególnie niebezpiecznym, to dwa techniczne aspekty, o których warto pamiętać:

  • Sfałszowana nazwa nadawcy (SPOOFING): przestępcy potrafią sfałszować identyfikator nadawcy (tzw. SMS Alpha Tag). Zamiast losowego numeru telefonu, na ekranie Twojego iPhone’a wyświetla się po prostu napis: mObywatel.
  • Mieszanie w wątkach: ponieważ systemy iOS i Android grupują wiadomości po nazwie nadawcy, Twój telefon „myśli”, że nowy SMS pochodzi z tego samego źródła, co poprzednie (prawdziwe) powiadomienia od administracji rządowej. W efekcie fałszywe ostrzeżenie o mandacie ląduje tuż pod autentycznymi komunikatami, co drastycznie zwiększa jego wiarygodność.

Scenariusz oszustwa: „Masz mandat”

W treści SMS-a znajduje się informacja o rzekomym mandacie drogowym i link, który ma prowadzić do panelu płatności. Po kliknięciu trafiamy na stronę, która wizualnie kopiuje rządowy interfejs.

Niezależnie od tego, jakie numery rejestracyjne wpiszemy w formularzu, system „znajdzie” mandat i zaproponuje jego szybkie opłacenie. Finałem jest prośba o podanie pełnych danych karty płatniczej. Jeśli to zrobisz, przestępcy natychmiast spróbują wyczyścić Twoje konto.

Jak się chronić?

Pamiętajcie o złotej zasadzie: Rząd nigdy nie przesyła linków do płatności za mandaty w wiadomościach SMS. Jeśli dostaniesz taką wiadomość absolutnie nie klikaj w link.

Jeśli chcesz sprawdzić swoje mandaty, zrób to wyłącznie logując się bezpośrednio do oficjalnej aplikacji mObywatel (pobranej z App Store/Google Play) lub przez stronę mobywatel.gov.pl.

Zwróć uwagę na adres URL w przeglądarce – oszuści używają domen, które tylko udają rządowe. Bądźcie czujni i podajcie tę informację dalej – szczególnie osobom, które mniej sprawnie poruszają się w gąszczu technologicznych pułapek.

Rejestracja działalności gospodarczej ze smartfona. mObywatel dodaje usługę dla przedsiębiorców

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .