CERT-IS varar við ZLATAN og HAKWARA herferðunum

11. desember 2020

Síðustu daga hafa borist margar tilkynningar um vefveiðar sem koma í nafni íslenskra greiðslu- og sendingafyrirtækja. CERT-IS hefur orðið vart við tvær mismunandi herferðir sem hafa fengið nöfnin "ZLATAN" og "HAKWARA".

Báðar herferðirnar virka þannig að notandi fær sendan til sín tölvupóst þar sem kemur fram að viðkomandi eigi eftir að borga tolla eða sendingagjöld fyrir pakka sem hefur nýlega verið keyptur.

Það sem gerir herferðir sem þessar erfiðar viðureignar er sú að vefsíðan á bakvið vefveiðarnar skiptir oft um hýsingaraðila svo bregðast þarf hratt við þegar tilkynning berst inn.

Myndirnar eru fengnar frá öryggisstjóra Valitor og er liður í samstarfi innan fjármálageirans sem lokar vefsíðum og greiðslugáttum vefveiðara.

 

ZLATAN herferðin

 

ZLATAN dregur nafnið sitt af því að á vefsíðunni þar sem reynt er að hafa kreditkortanúmer uppúr notandanum er að finna tilvísun í skrá sem heitir "zlatan.php" og er það vefsíðan sem tekur á móti kreditkortanúmeri notandans. CERT-IS er með nokkrar tilkynningar sem allar eru eins uppbyggðar og vísa í "zlatan.php" þó þær séu hýstar á mismunandi vefþjónum og eru á mismunandi lénum.

 

ZLATAN herferðin er þannig uppbyggð að viðkomandi fær tölvupóst eins og þennan:

 

Ef smellt er á tengilinn ferðast notandinn milli nokkra vefsíða en endar svo á vefveiðasíðu sem lítur út eins og þessi:

 

 

Ef kortaupplýsingar eru settar inn birtist eftirfarandi síða og viðkomandi fær SMS skilaboð þar sem staðfesta þarf með pin kóða færsluhirðinguna.

 

 

Ef þessu skrefi er fylgt eftir myndast ákveðin vítahringur þar sem síðan mun alltaf segja að kóðinn hafi ekki virkað en í raun er notandinn að staðfesta nýja færsluhirðingu í hvert skipti.

Staðfestingarkóði er sendur í síma notandi þarf að slá inn. Hér má sjá dæmi þar sem staðfestingarkóði var settur inn þrisvar sinnum í röð og í hvert skipti sem slíkt var gert var peningur dreginn af kortinu. 

 

Villa kom upp þegar staðfestingarkóði var settur inn og notandi var beðinn um að reyna aftur.

 

HAKWARA herferðin

 

HAKWARA dregur nafnið sitt af kerfinu sem tekur á móti upplýsingunum þegar þær eru slegnar inn á vefsíðunni.

Eins og ZLATAN er fyrsta skrefið óumbeðinn tölvupóstur þar sem notandinn er krafinn um greiðslu tolla fyrir pakkasendingu.

Ef smellt er á tengilinn birtist notandanum eftirfarandi greiðslusíða

 

 

Varnir gegn vefveiðum

 

CERT-IS vill ítreka fyrir fólki að fara sér hægt þegar kemur að greiðslum á pakkasendingum og staðfesta eins mikið og það getur að um raunverulega rukkun sé að ræða.

 

Ef fólk er í vafa skal það hringja í fyrirtækin sem það á von á sendingum frá, eða hringja í þjónustuver sendingafyrirtæksins og staðfesta að um raunverulega rukkun sé að ræða.

 

Ítarlegri leiðbeiningar má finna á vefsíðu Netöryggi.is og góð ráð má finna á fyrri frétt CERT-IS þar sem varað var við auknum fjölda vefveiða í kringum stóra nettilboðsdaga.

Til baka