Uwaga na nową falę SMS-ów, które chcą wyczyścić Twoje konto

CERT Orange Polska ostrzega przed nową kampanią phishingową, w której oszuści podszywają się pod program lojalnościowy Bezcenne Chwile Mastercard i próbują wyczyścić rachunki użytkowników.

Ataki realizowane są przez SMS-y, w których nadawca podpisany jest jako „Mastercard” lub bardzo podobnie. W treści wiadomości pojawia się informacja o rzekomej nagrodzie lub dużej liczbie punktów do wykorzystania oraz link prowadzący do fałszywej strony. Często jest to link skrócony, co dodatkowo utrudnia ocenę, dokąd faktycznie prowadzi.

Po kliknięciu użytkownik trafia na witrynę stylizowaną na stronę loterii Bezcenne Chwile. Adres wygląda podobnie do nazwy programu, ale działa w egzotycznej domenie, np. bezcerchwile[.]icu. Na ekranie telefonu taka nazwa może na pierwszy rzut oka nie wzbudzić podejrzeń, szczególnie jeśli ktoś kojarzy promocje Mastercard i program punktowy.

Pierwszym krokiem na stronie jest prośba o podanie numeru telefonu – niby po to, by sprawdzić liczbę dostępnych punktów. W praktyce dane te mogą zostać użyte do późniejszego przesłania SMS-a z kodem 3D Secure, gdy dojdzie do próby obciążenia karty. Następnie użytkownik „dowiaduję się”, że ma do dyspozycji sporą liczbę punktów, które rzekomo wygasną w ciągu 24 godzin. To klasyczna presja czasu, która ma skłonić do szybkiego działania, zanim ofiara zdąży się zastanowić.

W kolejnym kroku fałszywy serwis informuje o możliwości wypłaty atrakcyjnego cashbacku – nawet ponad tysiąca złotych – powiązanego z tymi punktami. Pojawia się odwołanie do loterii Bezcenne Chwile i dodatkowa informacja, że z promocji mogą korzystać tylko posiadacze kart kredytowych. To nie jest przypadek: limit na karcie kredytowej jest zazwyczaj wyższy niż środki dostępne na koncie z kartą debetową, co dla przestępców oznacza większy potencjalny „zysk”.

Na końcu ofiara proszona jest o wpisanie danych karty i potwierdzenie „symbolicznej” płatności na 1 zł, rzekomo w celu zabezpieczenia wypłaty cashbacku. Oszuści sugerują, że ta złotówka zostanie natychmiast zwrócona razem z premią. W rzeczywistości pełne dane karty wraz z kodem 3D Secure pozwalają im na wykonanie realnych transakcji na dużo wyższe kwoty. Jeśli użytkownik bezrefleksyjnie przepisze kod z SMS-a bankowego do formularza na fałszywej stronie, de facto sam autoryzuje obciążenie swojej karty.

Na schemacie ataku szczególnie niepokojące są dwie rzeczy: wykorzystanie skróconego linku w SMS-ie oraz użycie dziwnej domeny, innej niż oficjalne adresy Mastercard, banku czy programu Bezcenne Chwile. Firmy coraz częściej odchodzą od wysyłania linków w SMS-ach, więc każda taka wiadomość powinna wzbudzać dodatkową czujność. Egzotyczne końcówki domen (takie jak .icu) są dodatkowym sygnałem alarmowym. Oczywiście samo .pl czy .com nie gwarantuje bezpieczeństwa, ale nietypowe TLD znacząco zwiększa prawdopodobieństwo, że mamy do czynienia z oszustwem.

Jeśli dostaniesz SMS z informacją o nagrodzie, cashbacku czy punktach do wykorzystania, najlepiej nie korzystać z załączonego linku. Zamiast tego warto samodzielnie wejść na stronę banku lub oficjalną stronę programu Bezcenne Chwile, wpisując adres ręcznie lub korzystając z aplikacji bankowej. W żadnym wypadku nie należy podawać danych karty na stronach, do których trafiliśmy z podejrzanego SMS-a.

W sytuacji, gdy ktoś zdążył już wpisać dane karty lub potwierdzić transakcję, trzeba jak najszybciej skontaktować się z bankiem, poprosić o zastrzeżenie karty i sprawdzić historię operacji. W razie podejrzenia przestępstwa warto także zgłosić sprawę na policję. Oszuści coraz lepiej naśladują komunikację znanych marek, ale cały czas najważniejsza jest zasada ograniczonego zaufania – zwłaszcza wtedy, gdy nagle pojawiają się „łatwe pieniądze” i presja, by działać natychmiast.