Atacatorii trimit SMS-uri care par să vină de la FAN Courier, liderul pieței locale de curierat, și îi direcționează pe destinatari către un site fals prin care hackerii preiau controlul contului de WhatsApp și solicită, mai apoi, bani cunoscuților victimei.
Compania de curierat FAN Courier nu are nicio legătură cu această campanie, ci este victima folosirii abuzive a brandului său de către atacatori informatici necunoscuți.
Incidentul nu reprezintă o breșă de securitate a FAN Courier, ci este o campanie de inginerie socială derulată de atacatori care exploatează încrederea publicului în branduri cunoscute.
Conform datelor Bitdefender, peste un milion de oameni au primit aceste mesaje.
Campania nu presupune instalarea unei amenințări informatice pe telefon, ci se bazează pe manipulare psihologică și pe furtul datelor de acces.
Cum funcționează atacul
Victima primește un SMS care o informează că un colet este asociat numărului său de telefon și că trebuie să aleagă un locker pentru ridicare.
Mesajul arată ca o notificare legitimă de livrare, ceea ce face ca mulți oameni să acceseze link-ul fără suspiciuni. Link-ul duce către un site care copiază identitatea vizuală FAN Courier, dar care este găzduit pe un domeniu controlat de atacatori. În paralel, hackerii inițiază reînregistrarea numărului de telefon al victimei pe un alt dispozitiv.
WhatsApp trimite un cod de verificare real pe telefonul victimei, iar pagina falsă îi solicită să introducă acel cod, sub pretextul confirmării livrării.
Odată ce victima introduce codul, atacatorii finalizează procesul de autentificare pe dispozitivul lor și preiau controlul contului de WhatsApp. Victima nu știe că a autorizat transferul și nu are nicio amenințare informatică instalată de către atacatori pe telefon.
Ce se întâmplă după preluarea contului
După preluarea contului, atacatorii contactează persoanele din lista victimei și le trimit cereri urgente de bani. Mesajele menționează de obicei o urgență și promit returnarea sumei a doua zi. În unele cazuri, atacatorii cer ca banii să fie trimiși într-un cont bancar diferit.
Există indicii că aceste conturi, uneori deschise la bănci românești, aparțin unor persoane care au pierdut la rândul lor accesul la conturile bancare în urma altor tipuri de atacuri informatice.
Deoarece cererile de bani vin de la un contact de încredere, destinatarii au tendința să răspundă fără să verifice situația. Această a doua fază a atacului este cea care generează câștigul financiar pentru atacatori.
Indicii pentru a recunoaște mesajele false
Există mai multe semnale de alarmă: domenii suspecte care nu corespund site-ului oficial FAN Courier, mesaje trimise de la numere de telefon aleatorii și, cel mai important, cererea de a introduce un cod de confirmare WhatsApp. Niciun serviciu de curierat legitim nu va solicita vreodată un astfel cod de verificare.
- Nu accesați link-uri de curierat primite prin SMS-uri neașteptate.
- Introduceți manual adresa oficială a curierului în browser.
- Nu introduceți niciodată coduri de verificare WhatsApp în afara aplicației WhatsApp.
- Activați verificarea în doi pași în WhatsApp (Setări → Cont → Verificare în doi pași).
- Verificați telefonic cu persoana care solicită banii orice cerere urgentă primită pe WhatsApp.
- Folosiți aplicația oficială a companiei de curierat pentru a verifica statusul livrării coletelor și a întreprinde alte operațiuni.
Măsuri imediate în cazul pierderii contului de WhatsApp
- Reînregistrați numărul de telefon în WhatsApp sau reinstalați aplicația.
- Anunțați contactele prin canale alternative să ignore orice cerere de bani venită de pe contul dvs.
- Dacă atacatorii au activat verificarea în doi pași înainte ca dvs. să reluați accesul, recuperarea contului poate necesita parcurgerea procesului de resetare de securitate al WhatsApp.
Continuă campaniile de fraude prin platforme populare de mesagerie precum WhatsApp, avertiza recent Directoratul Național de Securitate Cibernetică (DNSC).
Atacurile încep prin trimiterea de mesaje SMS către potențiale victime, profitând de perioada în care mulți utilizatori fac cumpărături online și așteaptă colete.
„De obicei, infractorii folosesc numele și identitatea vizuală a unor servicii de curierat cunoscute. Una dintre tentative folosește imaginea FAN Courier, prin mesaje false de tip: «Aveți un colet la numărul dvs. Alegeți un locker. FANBOX »”, a transmis DNSC.
Site-ul indicat de link este fals și imită platforma de curierat. DNSC avertizează că utilizatorul este redirecționat să se conecteze cu contul personal de WhatsApp. Dacă se finalizează acest proces, atacatorii obțin acces la contul victimei.
„Imediat ce obțin acces la contul de WhatsApp al victimei, infractorii transmit mesaje către cât mai multe contacte, în care solicită un împrumut (prin transfer bancar, cu IBAN furnizat în conversație), sub pretextul că vor returna în aceeași zi suma”, precizează DNSC.
Contul în care sunt transferați banii aparține atacatorilor, care pretind a fi persoana a cărui cont a fost deturnat, de cele mai multe ori un prieten sau o cunoștință a victimei.
Dacă victima sesizează că numele titularului de cont diferă de cel al persoanei cu care crede că vorbește, atacatorii invocă diverse motive, cum ar fi faptul că titularul de cont este un prieten sau o persoană către care trebuie să transmită fondurile mai departe.
Recomandări de securitate ale DNSC:
Nu accesa link-uri din mesaje suspecte și verifică mereu sursa mesajului
Atenție la denumirea site-urilor pe care le accesezi! Uneori atacatorii se bazează pe graba și neatenția utilizatorilor. Site-ul de phishing are de obicei o denumire ușor diferită față de site-ul legitim (ex: fancourier[.]lol)
Atunci când primești un sms de la serviciul de curierat, verifică ca datele să corespundă cu cele furnizate de magazinul online. În acest caz, codul de identificare al coletului (AWB) era unul inexistent
Evită conectarea la conturi de servicii de mesagerie (WhatsApp) prin link-uri furnizate în mesaje nesolicitate
Fii atent la posibile indicii ale unei tentative de fraudă, precum titular de cont diferit, solicitare de împrumut cu titlu de urgență, greșeli gramaticale sau exprimare suspectă
Verifică faptul că cererea de împrumut sau plată este autentică prin contactarea persoanei pe un canal de comunicare separat (apel telefonic, alte aplicații de mesagerie, email, etc)
Raportează astfel de tentative de fraudă către autorități (Poliția Română, DNSC) și distribuie mesajele de conștientizare mai departe, către rețeaua ta de prieteni și urmăritori
