A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) ma riasztást adott ki a megnövekedett számú, kéretlen szöveges üzenetek útján terjedő, látszólag csomagküldő szolgáltatóktól érkező, káros hivatkozást tartalmazó sms-üzenetekkel kapcsolatban.(A rendőrség figyelmeztetéséről már tegnap beszámoltunk.)
Hirdetés
A közleményben azt írják, hogy jelenleg rendelkezésre álló adatok alapján az sms-üzenetekben be nem fizetett szállítási díj vonatkozásában próbálnak meg pénzt, illetve adatokat megszerezni, valamint egyes esetekben Android operációs rendszerű eszközökre veszélyes káros kód letöltést végrehajtatni a felhasználóval.
Az sms-üzenetek főbb jellemzői
-
a csaló üzenetet küldők a legtöbb esetben az sms törzsében elhelyezett hivatkozás megnyitására igyekeznek rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva
-
egy ilyen üzenet tartalma: „Megérkezett a csomagja, kovesse nyomon itt: https://(valtozó hivatkozás)”
-
az eddigi adatok alapján minden esetben magyar mobilszolgáltató hálózatából érkeztek az üzenetek. Fontos kiemelni, hogy az sms-ekben szereplő URL-ek dinamikusan változnak
A támadás menete
-
amennyiben az áldozat megnyitja az üzenetben kapott hivatkozást, egy csaló weboldal jelenik meg, amely sok esetben rendkívül jól utánozza a megszemélyesített cég valódi bejelentkezési felületét ─ például logók, színek, tipográfiai jellemzők ─ felhasználásával. A mostani esetek során legtöbbször a FedEx került megszemélyesítésre
-
ezek a káros oldalak egy alkalmazás telepítésére próbálják rávenni az áldozatot ─ a megtévesztés szerint a csomagküldemény nyomon követéséhez
-
ám ha a felhasználó letölti a feltételezett alkalmazást az eszközre, egy adatlopó képességekkel felruházott trójai vírus kerül telepítésre. A vírus telepítése után majdnem minden szolgáltatáshoz hozzátudnak férni, mint például: sms-, MMS- írás, küldés, internet, Bluetooth, NFC, telefonkönyv stb.
Az NKI a délután folyamán frissítésként közölte, hogy az sms-kampányhoz kapcsolódó káros kód további vizsgálata során megállapítást nyert, hogy az a Flubot variánsa, amely főként pénzügyi szolgáltatások/banki adatok megszerzésére specializálódott, a funkciók alapján képes egyszer használatos jelszó (One-Time-Password – OTP) adatok ellopására is. Az sms linkjén található malware képes hozzáférni a megfertőzött készülék sms-küldési lehetőséghez. Így a bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött sms.
Fertőzés esetén az NBSZ NKI javasolja, hogy az érintett eszközön haladéktalanul végezzenek el egy gyári visszaállítást.