Profil Zaufany to popularne narzędzie służące do potwierdzania tożsamości w systemach elektronicznych administracji publicznej w Polsce. Za jego pomocą można załatwiać sprawy urzędowe online, bez konieczności osobistego stawienia się w urzędzie. Jest to również jedna z możliwości logowania się do serwisu internetowego mObywatel.
Niestety cyberprzestępcy postanowili wykorzystać popularność Profilu Zaufanego do kolejnego ataku, którego celem jest wyłudzenie danych osobowych oraz pieniędzy ofiar.
SPREPAROWANA WIADOMOŚĆ MAILOWA
FAŁSZYWA STRONA INTERNETOWA
Po kliknięciu przycisku „Odnów Profil” ofiara zostaje przeniesiona na stronę łudząco przypominającą tę służącą do zalogowania się do Profilu Zaufanego:
Mimo, że graficznie strona ta jest niemal identyczna z prawdziwą, to uwagę powinien zwrócić dość dziwny adres URL, tj. mojego.rzadu.com. Przechodząc dalej można spodziewać się, że po wyborze bankowości elektronicznej ofiara zostanie przeniesiona na spreparowaną stronę internetową banku. Następnie po wpisaniu danych logowania trafią one w ręce cyberprzestępców, którzy będą mogli spróbować zadysponować środkami finansowymi zgromadzonymi na koncie bankowym ofiary.
DLACZEGO AKCJA PRZEPROWADZANA JEST TERAZ
Cyberprzestępcy nie bez przyczyny przeprowadzają tego typ działania właśnie teraz. W lipcu 2023 roku wprowadzono aplikację mobilną mObywatel 2.0. Wówczas użytkownicy musieli na nowo potwierdzić swój profil certyfikatem, który jest ważny rok. Akurat teraz zaczynają one tracić swoją ważność, o czym wysyłane są powiadomienia (m.in. przez samą aplikację). Ważność certyfikatu można sprawdzić samodzielnie logując się na konto w serwisie gov.pl lub w aplikacji mObywatel.
Oczywiście Profil Zaufany i aplikacja mObywatel to dwa różne narzędzia. Natomiast choćby ze względu na fakt, że za pomocą Profilu Zaufanego można zarejestrować się w aplikacji, są one często ze sobą utożsamiane. Dlatego cyberprzestępcy postanowili „skorzystać z tej okazji” i przeprowadzić działania właśnie teraz.
TEGO TYPU ATAKÓW MOŻE BYĆ W NAJBLIŻSZYM CZASIE WIĘCEJ
CERT Orange komentując podrobioną przez cyberprzestępców stronę internetową stwierdziło: „Założono ją zaledwie wczoraj, w kalifornijskiej firmie OwnRegistrar, adres IP wskazuje na Cloudflare. Stawiamy dolary przeciwko orzechom, że to jedna z co najmniej kilku, które mogą pojawić się w kolejnych atakach”.
Niewykluczone więc, że tego typu ataków może być w najbliższym czasie więcej. Dlatego należy zachować szczególną ostrożność podczas podawania swoich danych osobowych oraz logując się do bankowości elektronicznej. Przed spreparowanymi stronami uchronić może korzystanie z menadżera haseł, który był tematem Komunikatu IOD-y. Jeżeli w menadżerze są przechowywane dane do konkretnej witryny, to automatyczne uzupełnienie danych nie zadziała na podrobionej stronie internetowej. Jednak adresy URL stron internetowych powinno się weryfikować samodzielnie (więcej informacji o tym na co trzeba zwracać uwagę można znaleźć w Komunikacie IOD-y. Warto również sprawdzić zawsze sam adres mailowy, z którego wiadomość została wysłana (pamiętając jednakże o możliwości zastosowania spoofingu, który był tematem Komunikatu IOD-y).