Oszustwo w kalendarzu Google. Scamerzy z Rosji chcą mój numer karty kredytowej

Oszustwa wykorzystujące e-mail to już przeżytek. Filtry antyspamowe są coraz lepsze w rozpoznawaniu ich, a dzięki ostrzeżeniom ich odbiorcy coraz ostrożniej podchodzą do obietnic składanych w internecie. Kalendarz to coś zupełnie nowego.

Kilka dni temu Oskar informował, że w Kalendarzu Google pojawiają się fałszywe wydarzenia. Według analizy Kaspersky Lab są to głównie konkursy z fałszywą wygraną i trzeba zapłacić małą sumę, by otrzymać większą nagrodę. Przed chwilą zaglądałam do swojego kalendarza na lipiec i zobaczyłam tam niezły bałagan:

To wydarzenie mam wpisane codziennie do 19 czerwca 2021 roku. Jego tytuł to „Międzynarodowy Fundusz Oszczędności Gotówkowych, Twoje saldo przekroczyło 74 747 rubli, wypłać szybko środki! https://t.co/H4NruYKiF0”. Zdarza mi się kręcić po rosyjskojęzycznych stronach, ale nie przypominam sobie, żebym cokolwiek tam oszczędzała. Zwłaszcza w rublach i w funduszu, który nie istnieje!

W spamie Gmaila znalazłam odpowiadające wydarzeniom zaproszenie. Przyszło 20 czerwca 2019, czyli w Boże Ciało. W krajach, gdzie jest obchodzone, pewnie nikt się tego nie spodziewa i wiele osób zorientuje się dopiero w poniedziałek. Organizatorem jest Kolja (kolya@futureclik.icu, domena wygląda w porządku, jest zarejestrowana w Rosji).

Po kolei sprawdziłam linki umieszczone w zaproszeniu. Mapa niczego nie znajduje, na Hangoucie nie ma żadnego spotkania, a pozostałe są przez przeglądarkę oznaczane jako szkodliwe. Bardzo słusznie! Zaproszenie nie prowadzi do prawdziwego wydarzenia, ale do oszustwa. Celem dodania go do kalendarza jest pokazywanie ofierze ataku kuszących powiadomień o łatwej gotówce. 74747 rubli to 4444 zł, a do odbioru czeka nawet więcej.

Na stronie sbrb.online, opatrzonej logami znanych firm z obszaru cyberbezpieczeństwa, czekała na mnie obietnica 131 tys. rubli (prawie 8 tys. zł). Domena należy do firmy z Panamy (podobnie jak kilka innych scamowych domen) i kieruje do serwera w USA. Wygenerowałam fałszywe dane i podałam je na stronie.

Problem w tym, że żeby otrzymać „swoje pieniądze” muszę zapłacić 396 lub 496 rubli za przelew (30 lub 23 zł).

Zostałam przekierowana na stronę operatora płatności. Tu widzę już klasyczny phishing. Strona ac-paykk.com działa od 16 czerwca 2019 na serwerze w Belize, na którym wcześniej było kilka innych podejrzanych witryn.

By wysyłać takie zaproszenia, oszuści potrzebują jedynie bazy adresów e-mail z Gmaila. Zdobycie ich nie jest żadnym problemem. Mój adres pojawił się w kilku wyciekach, w tym z Morele.net. Nadawców nie muszę mieć w kontaktach – każdy może zaprosić każdego na wydarzenie, można je ewentualnie ukryć w widoku lub nie dodawać automatycznie do kalendarza.

Czy twój adres e-mail jest w takiej bazie? Możesz to sprawdzić z pomocą Have I Been Pwnd.

Metody obrony są takie same jak w przypadku phishingu przez e-mail. Nie akceptuj zaproszeń od nieznajomych, nie klikaj w linki i tak dalej. W aplikacji kalendarza możesz oznaczyć wydarzenia jako spam.

By usunąć je z kalendarza, możesz odmówić udziału w wydarzeniu cyklicznym i wszystkich jego powtórzeniach. Tym razem oszuści nie zadali sobie wiele trudu. W dzień wolny zaprosili mnie na codzienne wydarzenie przez najbliższe dwa lata. Zapewne liczyli na to, że z rozpędu zaproszenie przyjmę.

Niewykluczone, że pojawią się takie ataki przetłumaczone na inne języki.