Każdy sposób na zarobienie pieniędzy czy sposób na wyłudzenie danych osobowych jest dobry, jeśli tylko działa tak, jak powinien według przestępców. Czas wysyłania deklaracji podatkowych za pomocą Internetu oraz oczekiwanie na zwrot nadpłaconego podatku to idealna okazja na wyłudzenie danych wrażliwych, z jakich nagminnie korzystają w tym czasie cyberprzestępcy. W ostatnim czasie nasiliła się fala fałszywych wiadomości mailowych, korzystających właśnie z tego sposobu.
O atakach poinformowało Ministerstwo Finansów
To jeden z pierwszych przypadków, kiedy to samo ministerstwo tak szybko podjęło kroki w celu ostrzeżenia swoich podatników. W nowej kampanii chodzi przede wszystkim o wyłudzenie oczywiście danych osobowych, ale również haseł dostępu do poczty e-mail oraz danych dotyczących karty kredytowej. W pierwszych wersjach kampanii w tytule maila można było znaleźć dwa słowa: „formularz zwrotu”, jednak chyba okazało się to mało skuteczne, ponieważ najnowsze wersje są nieco doprecyzowane i głoszą: „formularz zwrotu pieniędzy”, oczywiście bez zastosowania polskich znaków. W treści maila można przeczytać, że przysługuje nam zwrot pieniędzy za ostatni rachunek podatkowy. Dalej widnieje jeszcze jedynie polecenie kliknięcia w link. Mało poprawna pisownia jednak nie każdego zraża. Co więcej, po kliknięciu w znajdujący się poniżej link znajdziemy się faktycznie na stronie Ministerstwa Finansów.
Prawdziwym problemem jest załącznik do wiadomości
To jednak nie koniec problemów. Te dopiero zaczynają się, kiedy wziąć pod uwagę załącznik znajdujący się w wiadomości o nazwie „DYREKCJA GENERALNA FINANSA PUBLICZNA.PDF”. Wiadomość, chociaż wskazująca na przysługujący nam zwrot, nie do końca jest napisana po polsku. Dalej pojawia się polecenie „kliknij tutaj” oraz przekierowanie bezpośrednio na stronę udającą formularz Ministerstwa Finansów, przygotowaną do kradzenia danych: https: //bftwughnc7nwaky45fqaqughnc7nwa45fqaq.weebly.com/. Serwer to w większości zbiór obrazków imitujących wyglądem tę właściwą, podrabianą. Niektóre wskazówki dają do zrozumienia, że atakujący są z pochodzenia Francuzami – na przykład w obszarze „pola obowiązkowe” widnieje zamiast tego komunikat: „champ(s) obligatoire(s)”.
Ataki nie tylko w Polsce
Analogicznym przypadkiem ataku był mający niedawno miejsce atak na strony francuskojęzyczne. Co więcej, w swojej drugiej części nie zawiera absolutnie żadnych błędów językowych, więc można wnioskować, że w tym drugim przypadku strona nie była tłumaczona z innego języka.