Hej. Mircy jest sprawa.
797 991 330 - ten numer właśnie do mnie dzwonił i upewniał mnie że mam konto na jakimś 'alpsmarket' i mam tam bitcoiny.
Nie mam żadnych potwierdzeń założenia konta, jednak znali numer i imie.
Niby przez fejsa robione ale też śladów nie widzę.
Akcent rozmówcy też wskazuje na potencjalną wyjebkę ale nie wiem jaki jest wektor ataku i nie bardzo wiem czym to może śmierdzieć.
797 991 330 - ten numer właśnie do mnie dzwonił i upewniał mnie że mam konto na jakimś 'alpsmarket' i mam tam bitcoiny.
Nie mam żadnych potwierdzeń założenia konta, jednak znali numer i imie.
Niby przez fejsa robione ale też śladów nie widzę.
Akcent rozmówcy też wskazuje na potencjalną wyjebkę ale nie wiem jaki jest wektor ataku i nie bardzo wiem czym to może śmierdzieć.
@umiarkowany_ekstremista: Tak, jest to próba oszustwa. Kolejnym krokiem byłaby prośba rozmówcy o instalację Teamviewer / Anydesk. Ostrzegaliśmy o tym schemacie: https://www.facebook.com/CERT.Polska/posts/3924642357556125
Nowa strona CERT Polska do weryfikacji czy sieć jest chroniona
Udostępniamy stronę, na której można sprawdzić czy Twój dostawca internetu korzysta z naszej listy ostrzeżeń przed niebezpiecznymi stronami ...i czy robi to poprawnie. Zachęcamy do testowania i dzielenia się wynikami.
z- 102
- #
- #
- #
- #
- #
- #
@LordAxe82: Źle, bo Twój operator nie blokuje wejścia na strony phishingowe. Możesz do swojego adblocka dodać listę KAD, ona też korzysta z naszej listy domen.
@techninja: Sprawdzamy czy zablokowany jest dostęp do faktycznej, przykładowej domeny na liście. Za chwilę jeszcze wprowadzimy jedną poprawkę, bez której czasem występowały false-positive'y.
@Ineedrest: My dostarczamy tylko listę, sposób implementacji zależy od narzędzia. W przypadku blokady na serwerach DNS operatora najprawdopodobniej będzie wymaga ich zmiana na inny (taki, który nie korzysta z naszej listy).
@zarowka12: Jest to adres IP, który zapytał nasze serwery nazw o adres naszej strony. Będzie to prawie zawsze adres IP w infrastrukturze operatora, którego serwery DNS są ustawione w systemie.
@buliyo: Czy są jakieś błędy w konsoli deweloperskiej pod F12?
@winstonyczerwonesetki: Test powinien wtedy dać wynik o chronionej sieci.
@Holyto: Co jest w szczegółach alertu? Jeżeli zapytanie o domenę z nazwą "dnscheck" to jest to tylko mechanizm ustalenia resolvera IP.
@Holyto: Co jest w szczegółach alertu? Jeżeli zapytanie o domenę z nazwą "dnscheck" to jest to tylko mechanizm ustalenia resolvera IP.
@KapralJedziniak: @BladyJoe: Nasza lista jest publiczna, zachęcamy do monitorowania ew nadużyć: https://hole.cert.pl/domains/domains.json. Pod podanym linkiem są też domeny, które były na liście, ale z różnych względów zostały z niej usunięte.
@Daleki_Jones: Ale przecież właśnie celowo adres resolvera DNS tam pokazujemy, a nie IP odwiedzającego stronę ;).
@Daleki_Jones: Mirku, ale tam jest napisane "Resolver IP", a nie "IP". Wyświetlany jest publiczny adres IP serwera DNS, którego używa Twoje urządzenie, wszystko działa w porządku :)
@Daleki_Jones: I właśnie dlatego pokazujemy adres serwera DNS, bo to tam najczęściej zaimplementowana jest nasza lista.
Mirki i Mirabelki, udostępniliśmy stronę https://lista.cert.pl/ na której możecie sprawdzić czy jesteście chronieni z wykorzystaniem naszej listy ostrzeżeń ( ͡° ͜ʖ ͡°) Testujcie, plusujcie i dawajcie znać o wynikach!
#polska #oszukujo #komputery #cyberbezpieczenstwo #phishing #scam
#polska #oszukujo #komputery #cyberbezpieczenstwo #phishing #scam
źródło: comment_1619435650wKyvWXOeX2BgU9wDu43g8j.jpg
PobierzCzy jesteś chroniony z wykorzystaniem listy CERT Polska?
- Tak (∩ ͡° ͜ʖ ͡°)⊃━☆゚. * 28.8% (647)
- Nie (╯°□°)╯︵ ┻━┻ 71.2% (1599)
@anszua: Na pewno łączysz się przez LTE i nie masz włączonego WiFi? Po wyłączeniu WiFi zamknij kartę ze stroną, ponieważ mogła się zcache'ować.
@Morf: Zwiększyła się aktywność oszustów, ponieważ więcej osób zaczęło częściej korzystać z internetu (praca zdalna, itd). Natomiast pomysł listy okazał się tak skuteczny w ochronie internautów, że będziemy go kontynuować niezależnie od porozumienia i stanu pandemii.
@rumapark: Prawdopodobnie masz jakieś inne źrodło ochrony (adblock), bo sam operator naszej listy nie wdrożył.
@DOgi: To prawda, zaraz poprawimy. Dzięki!
@RETROWIRUS: Jeżeli ktoś ma Firefoksa, Adblocka i wśród źródeł znajduje się nasza lista (albo przez filtry KAD albo bezpośrednio) to narzędzie pokaże, że jest chroniony.
Jak pokazuje, że nie jest chroniony to nie jest ;). Nie sprawdzamy tego po ustawionym resolverze, ale po tym czy faktycznie dostęp do złośliwych stron jest blokowany.
Jak pokazuje, że nie jest chroniony to nie jest ;). Nie sprawdzamy tego po ustawionym resolverze, ale po tym czy faktycznie dostęp do złośliwych stron jest blokowany.
@dungones: Szczegółowo naszą inicjatywę opisujemy na https://cert.pl/posts/2020/03/ostrzezenia_phishing/
W skrócie: wpisujemy na listę domeny phishingowe: wyłudzające dane, fałszywe panele płatności, itd. Operatorzy na podstawie naszej listy blokują dostęp do tych stron wyswietlając ostrzeżenie.
@kobieteczka: To część mechanizmu, który pokazuje adres resolvera, wszystko działa okej :).
W skrócie: wpisujemy na listę domeny phishingowe: wyłudzające dane, fałszywe panele płatności, itd. Operatorzy na podstawie naszej listy blokują dostęp do tych stron wyswietlając ostrzeżenie.
@kobieteczka: To część mechanizmu, który pokazuje adres resolvera, wszystko działa okej :).
@gomjeden: Udałoby ci się nam podesłać (np. na priv) screenshot z konsoli błędów javascriptowych? F12 i odświeżenie strony.
@DEATH_INTJ: Pomyślimy też nad takim formatem dla Mikrotika.
@tajek: W naszej ocenie prawo telekomunikacyjne (oraz tym bardziej przyszłe prawo komunikacji elektronicznej) pozwala operatorom wprowadzać takie środki ochrony. Operatorzy wprowadzali na rzecz ochrony swoich sieci i użytkowników blokady określonych połączeń i sinkholing dawno przed powstaniem naszej listy.
ps. czemu lista dla mikrotika jest ograniczona?
@DEATH_INTJ: Niektóre urządzenia Mikrotik nie przyjmują plików większych niż 4 kB, więc ten format jest specjalnie przycięty wyłącznie do najświeższych domen, aby takie urządzenia były w stanie go przetworzyć.
@tepiciel_absurdow: Najprościej za pomocą formularza na https://incydent.cert.pl/domena
Oszustwo olx
Od długiego czasu obserwuję czytam na wszej stronie wiele ciekawych artykułów tematów. W końcu tchnęło mnie by założyć konto i dodać coś od siebie. Od dłuższego czasu sprzedaje na olx. I w dniu dzisiejszym przez whatsapp kontaktuje się zemną osoba w sprawie ogłoszenia które umieściłem na olx. ...
z- 241
- #
Pociągnięcie do odpowiedzialności tych OLX-owych oszustów jest mało prawdopodobne. Większość z nich przebywa za wschodnią granicą i jest tam ciche przyzwolenie organów ścigania na takie działania przestępcze (dopóki nie atakują rosyjskojęzycznych użytkowników). Możemy tylko blokować dostęp do tych domen tak aby ofiarom (które nie są świadome tego typu oszustw) nie wczytywały się te fałszywe panele phishingowe. Złośliwe linki można zgłaszać na stronie https://incydent.cert.pl/domena.
@LuxEtClamabunt: Za pośrednictwem naszej listy, z której korzystają operatorzy oraz niektóre listy adblockowe - każdą.
Mirki i Mirabelki, oszuści wysyłają Wam SMS-y? "Wymagana dopłata do paczki" czy "odbiór środków od kupującego" to popularne motywy wśród wiadomości wyłudzających pieniądze. Każdą taką wiadomość zgłaszajcie do CERT Polska. Teraz zrobicie to jeszcze szybciej, używając w swoim telefonie funkcji "przekaż" albo "udostępnij" i przesyłając treść otrzymanej wiadomości na numer 799-448-084. Nasi analitycy dostaną ją błyskawicznie i zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Każde zgłoszenie może pomóc ochronić tysiące innych
@GajowyBoruta: Każde zgłoszenie jest ręcznie weryfikowane przez analityków, jeżeli po prostu wyślesz SMSa z linkiem do strony konkurencji, to nie ma najmniejszych szans żeby została wpisana na Listę Ostrzeżeń. Chyba że konkurencja w Twojej branży zajmuje się stawianiem fałszywych stron banków ( ͡° ͜ʖ ͡°)
@miedzywymiarowy_szympans: Numer telefonu z którego nadano SMS na 799-448-084 oczywiście traktujemy w tym przypadku jako numer telefonu zgłaszającego.
@miedzywymiarowy_szympans: Numer telefonu z którego nadano SMS na 799-448-084 oczywiście traktujemy w tym przypadku jako numer telefonu zgłaszającego.
Nie wiem do końca jak to działa, bo przekazując wiadomość SMS macie tylko link, rozumiem że numery z których są wysyłane wiadomości nie są potrzebne?
@Kooopik: Jeżeli link jest złośliwy, domena zostanie wpisana na Listę Ostrzeżeń, a to w praktyce oznacza jej zablokowanie przez niektórych operatorów (ISP). To z kolei daje szansę, że mniej doświadczeni użytkownicy Internetu nie stracą pieniędzy.
@miedzywymiarowy_szympans: Nasza lista jest dostępna publicznie i typowe jej zastosowanie jest takie, że na swoich serwerach DNS wdraża ją operator internetu blokując wejście na złośliwą stronę swoim klientom. Alternatywnie można ją wdrożyć u siebie za pomocą pihole albo zwykłego adblocka (naszymi domenami jest zasilanych też kilka list, np. KAD). Nie ma potrzeby podpisywać z nami żadnych umów czy porozumień aby korzystać z naszego źródła.
@Sun_city: Nasze podstawowe źródło
@Sun_city: Nasze podstawowe źródło
@Reanef: Jest bardzo wiele źródeł z których przestępcy biorą numery telefonów ofiar. Publicznie dostępne są dwie bardzo duże bazy danych z wycieków: z Morele oraz Facebooka (po kilka milionów rekordów każda). Ostatnio bardzo popularny trojan Flubot kradnie książkę kontaktów z każdego zainfekowanego telefonu. Mogą być to też zupełnie losowe numery (losowe, ale poprawne na podstawie przydziałów UKE).
Czy wiecie ilu jest dostawców internetu w Polsce? Takie działania to zadna ochrona. Ja byłem pewien, ze gdzies tam na samej górze sa blokowane domney....
@Sun_city: Współpracujemy z "wielką czwórką" dostawców internetu mobilnego oraz niektórymi dużymi dostawcami internetu stacjonarnego. W związku z tym, ochroną objęte jest co najmniej kilka milionów użytkowników. Całej Polski nie pokryjemy, ale próbować warto ( ͡° ͜ʖ ͡°)
@Maka0: Dzięki mirku! Domena
w-paczkomacle [kropka] xyz jest już wpisana na Listę Ostrzeżeń.jak dzwonią z garnkami czy badaniami lub wystawami tez można zgłaszać?
@kopiret: Takie rzeczy niestety wykraczają poza naszą właściwość. Jeżeli dochodzi do przestępstwa, warto poinformować policję.
@marc1027: Właściwie od początku mamy domenę "nask.pl" i mimo, że po drodze kilka razy zmieniała się nasza forma prawna to ta domena zostanie już raczej do końca :).
W obecnym porządku prawnym (czyli przede wszystkim według ustawy o krajowym systemie cyberbezpieczeństwa) istnieją trzy zespoły CSIRT na poziomie krajowym: CSIRT MON w NCBC, CSIRT GOV w ABW (który wcześniej był zespołem CERT.GOV.PL) oraz CSIRT NASK (w którym działalność operacyjną pełni nasz
W obecnym porządku prawnym (czyli przede wszystkim według ustawy o krajowym systemie cyberbezpieczeństwa) istnieją trzy zespoły CSIRT na poziomie krajowym: CSIRT MON w NCBC, CSIRT GOV w ABW (który wcześniej był zespołem CERT.GOV.PL) oraz CSIRT NASK (w którym działalność operacyjną pełni nasz
@kopiret: Jeżeli występujesz jako osoba fizyczna, masz prawo dowiedzieć się na jakiej podstawie przetwarzane są Twoje dane. W sytuacji kiedy Twoje żądania udzielenia takiej informacji są ignorowane, możesz złożyć skargę do prezesa UODO.
@szejsetdwajsciaczy ostatnio najprawdopodobniej przestepcy korzystają z danych zawartych w wycieku z serwisu Facebook. Szansa, że otrzymany SMS jest związany z zamówieniem ze sklepu C&A jest praktycznie zerowa.
Treść przeznaczona dla osób powyżej 18 roku życia...
@KKK1337: Ta próba oszustwa z podszywaniem się pod pracownika banku jest już dość powszechna. Inne schematy opisywaliśmy np. tutaj: https://www.facebook.com/CERT.Polska/posts/3924642357556125. Nie tylko ukrywają caller ID, ale często podszywają się pod prawdziwe numery infolinii banków. Niestety jest to możliwe ze względu na słabości protokołów telefonicznych. Operatorzy musieliby wprowadzić odpowiednie zabezpieczenia na poziomie sieci i pewnie jeszcze trochę to potrwa. Zgłoszenie takiej próby operatorowi raczej nie pomoże w tym aby przestać takie
@certpl: dostałem taką wiadomość na Whatsapp
źródło: comment_16192666647lpP1tDaXlofK1bIgybRSz.jpg
Pobierz@marianVR6: Treść wskazuje na próbę oszustwa. Jeżeli dostaniesz od takiego rozmówcy link, nie wpisuj tam żadnych danych swojej karty płatniczej i podeślij nam go na https://incydent.cert.pl/domena
Treść przeznaczona dla osób powyżej 18 roku życia...
@MirkosoftGarek: @Podlaski_warmianin: @lukasz-lux:
SMS-y namawiające do instalacji fałszywej aplikacji, która w rzeczywistości jest trojanem Flubot są wysyłane z telefonów innych osób, które taką aplikację niestety zainstalowały. Odpisując na te numery nie piszecie do przestępców, a do ich ofiar.
SMS-y namawiające do instalacji fałszywej aplikacji, która w rzeczywistości jest trojanem Flubot są wysyłane z telefonów innych osób, które taką aplikację niestety zainstalowały. Odpisując na te numery nie piszecie do przestępców, a do ich ofiar.
@YummyHubi: Podrzuć nam linka na https://incydent.cert.pl/domena
Zablokujemy domenę u operatorów aby inne osoby nie mogły na nią wejść.
Zablokujemy domenę u operatorów aby inne osoby nie mogły na nią wejść.
konto usunięte via iOS
Wczoraj SMS z +49 że niby mam zapłacić cło od dhl zanim przyszedł faktyczny mail z #dhl że cło jest do opłaty. Teraz taki kwiatek. Gdzie był wyciek?
#inpost #wtfcontent #oszukujo #informatyka
#inpost #wtfcontent #oszukujo #informatyka
źródło: comment_1618850060HpdcZb3tXclkd8sALD8Hn4.jpg
Pobierz
@ruda_stuleja: SMS najprawdopodobniej wysłany przez ofiarę, która sama kliknęła w takiego linka, pobrała złośliwe oprogramowanie (trojan FluBot) i jej telefon wysyła teraz taki SMS-y do innych.
https://bayonne24.com/89954357824566/
#oszukujo