Black Friday jest dla branży e-commerce jednym z najbardziej przychodowych dni w roku. To również świetna okazja dla oszustów

Promocje na Black Friday

Według Adobe Analitycs, wydatki konsumentów w tym dniu w ubiegłym roku wyniosły 9,03 mld dolarów i oczekuje się, że w 2021 roku będzie to jeszcze większa kwota. Biorąc pod uwagę popularność tego okresu oraz pieniądze związane z tym wydarzeniem, cyberprzestępcy nie przepuszczą okazji do wzmożonej działalności i osiągnięcia kolejnych zysków.


Jednym ze sposobów używanych w tym roku przez hakerów, jakie zauważyli analitycy z FortiGuard Labs firmy Fortinet, jest korzystanie z generatora fałszywych kart upominkowych Amazon. Dzięki temu są w stanie okraść swoje ofiary z kryptowalut czy danych, w tym uwierzytelnień dostępu do witryn e-commerce, numerów kart kredytowych czy domowych adresów.

Legalne karty podarunkowe wykorzystane do oszustwa

Legalne karty podarunkowe są często wykorzystywane do zakupów na Amazon. Analitycy z FortiGuard Labs w ostatnim czasie wykryli złośliwy plik o nazwie Amazon Gift Tool.exe. Został on znaleziony w pliku zip umieszczonym na publicznie dostępnej stronie repozytorium plików. Nie wiadomo dokładnie, w jaki sposób narzędzie to zostało przedstawione potencjalnym ofiarom, ale przestępcy najprawdopodobniej reklamowali je jako darmowy generator kart upominkowych Amazon.

CZYTAJ TAKŻE: Tanio już było. Od lipca przesyłki z AliExpress z VAT

Oszustwa na Black Friday

Oczywiście narzędzie, które zapewnia darmowe karty podarunkowe nie istnieje. Jednak nadzieja na otrzymanie czegoś za darmo może być dla wielu osób silniejsza niż zdrowy rozsądek. W tym przypadku, po uruchomieniu przez ofiarę fałszywego generatora kart, wypakowuje on i uruchamia złośliwy plik winlogin.exe, który monitoruje schowek ofiary. Cel działania tego oprogramowania jest prosty. Jeśli ofiara próbuje dodać pieniądze do swojego portfela bitcoin poprzez skopiowanie i wklejenie jego adresu, złośliwe oprogramowanie nadpisuje adres portfela ofiary w schowku swoim własnym, w wyniku czego pieniądze mogą trafić do atakującego.

Oszustwo „na konsolę”

Kolejne oszustwo, jakie ostatnio zaobserwowali analitycy z FortiGuard Labs, związane jest z konsolami do gier. W związku z trwającym globalnym niedoborem układów scalonych, klienci wciąż mają trudności ze zdobyciem konsol nowej generacji, takich jak PlayStation 5 oraz Xbox serii X i S, które zadebiutowały pod koniec ubiegłego roku.

Badacze z FortiGuard Labs zidentyfikowali ostatnio w sieci serię złośliwych plików PDF o tytułach takich jak „how_much_do_xbox_s_cost_on_Black_Friday” oraz „Walmart_black_Friday_ps5_pickup”.

Kody CAPTCHA

Pierwsza strona każdego PDF-a używa kodu CAPTCHA, co ma udowodnić, że użytkownik jest człowiekiem. Przycisk Kontynuuj na tej samej stronie nie działa zgodnie z oczekiwaniami, ponieważ użytkownik zostaje przekierowany na stronę internetową zaraz po kliknięciu pola wyboru CAPTCHA. Według informacji z zarządzanej przez FortiGuard bazy danych Web Filtering, została ona wykorzystana do phishingu. W związku z tym ofiara może zostać w przyszłości nakłaniana do podawania poufnych informacji, takich jak np. dane uwierzytelniające do witryn zakupów online, numery kart kredytowych czy adres zamieszkania.

CZYTAJ TAKŻE: Inflacja w wersji turbo. Dlaczego ceny rosną?

Zalecane działania i środki ostrożności

Ponieważ przestępcy wykorzystują zabiegi socjotechniczne do oszukiwania swoich ofiar, ważne jest, aby odpowiednio wcześniej zająć się tymi wyzwaniami. Najskuteczniejszym narzędziem w walce ze spamem, złośliwymi linkami oraz załącznikami do wiadomości e-mail jest bezpieczna brama e-mail z zaawansowanymi mechanizmami wykrywania złośliwych wiadomości i reagowania na nie.

Duża rola edukacyjna spoczywa na przedsiębiorstwach, które są zachęcane do prowadzenia szkoleń dla personelu o najnowszych technikach phishingu. Szczególnie powinno się uwrażliwić pracowników, aby nigdy nie otwierali załączników od osób, których nie znają i zawsze ostrożnie traktowali e-maile od nierozpoznanych czy niezaufanych nadawców. Pomocne są także improwizowane testy dotyczące rozpoznawania e-maili zawierających złośliwe załączniki lub linki.