- WIADOMOŚCI
Oszuści podszywają się pod Spotify. Możesz stracić dostęp do konta i pieniądze
CERT Polska ostrzega przed kampanią phishingową, w której cyberprzestępcy podszywają się pod Spotify i próbują wyłudzić dane logowania oraz informacje o kartach płatniczych. Oszustwo wykorzystuje presję czasu i groźbę utraty dostępu do konta premium.
Autor. StockSnap / Pixabay / Free for use, https://pixabay.com/photos/android-mobile-smartphone-2618093/
- Wiadomości informują o rzekomo nieudanej płatności za konto premium i nakłaniają użytkownika do natychmiastowego działania.
- Link zawarty w wiadomości prowadzi do fałszywej strony imitującej serwis streamingowy Spotify.
- Celem ataku jest przejęcie loginu, hasła oraz danych karty płatniczej ofiary.
Zespół CERT Polska informuje o kampanii phishingowej wykorzystującej wizerunek Spotify. W wiadomościach oszuści informują użytkowników o rzekomym problemie z płatnością za konto premium i próbują skłonić ich do szybkiej reakcji.
Schemat ataku opiera się na dobrze znanym mechanizmie wywoływania niepokoju. Odbiorca ma uwierzyć, że jego subskrypcja jest zagrożona, a brak natychmiastowego działania doprowadzi do utraty dostępu do usługi
Jak działa mechanizm oszustwa?
Wiadomość zawiera odnośnik, który prowadzi do strony przypominającej prawdziwą platformę streamingową. Serwis jest przygotowany tak, aby wyglądał wiarygodnie i nie wzbudzał od razu podejrzeń.
Po wejściu na stronę użytkownik proszony jest o podanie danych logowania do konta, a następnie także szczegółów karty płatniczej. W rzeczywistości informacje te nie trafiają do Spotify, lecz bezpośrednio do cyberprzestępców.
Presja czasu jako narzędzie manipulacji
Jednym z najważniejszych elementów tej kampanii jest wykorzystanie presji czasu. Użytkownik otrzymuje komunikat sugerujący pilną potrzebę działania, co ma ograniczyć jego czujność i skłonić do pochopnego kliknięcia.
To typowy mechanizm stosowany w phishingu. Zamiast dawać czas na spokojne sprawdzenie wiadomości, oszuści próbują wywołać wrażenie, że każda zwłoka grozi utratą konta lub przerwaniem usługi.
Jakie dane chcą zdobyć przestępcy?
Atakujący dążą do uzyskania dwóch kategorii danych. Pierwszą są dane logowania, czyli login i hasło do konta użytkownika. Drugą stanowią dane płatnicze, w tym informacje o karcie.
Przejęcie takich danych może prowadzić nie tylko do utraty dostępu do konta Spotify, ale także do prób wykorzystania tych samych danych w innych usługach, zwłaszcza jeśli użytkownik stosuje podobne hasła w wielu miejscach.
Jak chronić się przed takim atakiem?
CERT Polska wskazuje, że podstawową zasadą bezpieczeństwa jest zawsze dokładne sprawdzenie adresu nadawcy wiadomości oraz domeny strony internetowej przed wpisaniem jakichkolwiek danych.
Nawet drobna różnica w adresie może świadczyć o próbie oszustwa. Warto też pamiętać, że status subskrypcji najlepiej sprawdzać bezpośrednio w aplikacji lub po samodzielnym wejściu na oficjalną stronę serwisu, a nie poprzez link z wiadomości.
Szczególną ostrożność należy zachować wobec komunikatów wymagających natychmiastowego działania. Presja czasu jest jednym z najczęściej wykorzystywanych elementów manipulacji w kampaniach phishingowych.
Gdzie zgłaszać podejrzane wiadomości?
Podejrzane wiadomości i fałszywe strony można zgłaszać za pomocą formularza dostępnego na stronie incydent.cert.pl lub w aplikacji mObywatel w usłudze „Bezpiecznie w sieci”.
Takie zgłoszenia pomagają szybciej identyfikować aktywne kampanie oszustw i ograniczać ich zasięg. W praktyce szybka reakcja użytkowników może utrudnić przestępcom dotarcie do kolejnych ofiar.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Krajowy system e-Faktur - co musisz wiedzieć o KSEF?
Materiał sponsorowany