Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spamowi pożyczkodawcy: kradzież danych, trojany i inne specyficzne cechy „tanich” pożyczek

Tagi:

Banki i inne instytucje kredytowe zarabiają dzisiaj na oferowaniu tanich pożyczek. Miliony osób na całym świecie preferuje kupowanie towarów i usług na kredyt, zgadzając się na wysokie oprocentowanie płacone różnym pożyczkodawcom.

Jednak uzyskanie pożyczki nie zawsze jest łatwe – potencjalni pożyczkobiorcy muszą potwierdzić swoją zdolność spłacania określonych miesięcznych rat. Pozostałe warunki mogą różnić się w zależności od kraju lub konkretnej instytucji finansowej. Z reguły, najostrzejsze warunki narzucają duże banki. Małe organizacje oraz prywatni pożyczkodawcy często oferują mniej restrykcji, a wyższe oprocentowanie rekompensuje im udzielanie kredytów klientom wyższego ryzyka. Nie będąc w stanie konkurować z dużymi międzynarodowymi bankami, które mogą pozwolić sobie na prowadzenie kampanii marketingowych na szeroką skalę, podmioty te sięgają po narzędzie, jakim jest mailing elektroniczny. Nierzadko takie wiadomości służą jako przykrywka dla nieuczciwych organizacji, których usługi okazują się o wiele droższe niż wynika z reklamy, oraz typowych oszustw internetowych.         

credit_spam_01_auto.jpg

Zagrożenia związane z pożyczkami oferowanymi w mailingach spamowych

Każde skorzystanie z oferty kredytu zawartej w wysyłce spamowej może okazać się kosztowne – a problemy mogą pojawić się tuż po zapoznaniu się z ofertą wstępną. Przyjrzyjmy się bliżej zagrożeniom, jakie mogą stanowić niechciane e-maile związane z kredytami.  

  1. Phishing to próba kradzieży danych finansowych użytkownika przy pomocy fałszywej strony internetowej imitującej oficjalne formularze znanych banków. Za każdym razem, gdy użytkownik poda swoje osobiste dane na stronie phishingowej, dane te wpadną w ręce oszustów. Ci z kolei wykorzystują je do zaciągnięcia pożyczki na konto ofiary. Oszustwo zostaje zdemaskowane znacznie później, gdy pożyczkodawca wszczyna procedury prawne z tytułu zwłoki w spłacie kredytu. 
  2. Dobrowolne przekazanie danych osobistych osobom trzecim. W tym przypadku, aby zebrać informacje o ofierze, zamiast fałszywych stron internetowych, oszuści wykorzystują różne wiarygodnie brzmiące preteksty (np. oferują pomoc w uzyskaniu kredytu). W ten sposób mogą wyłudzić istotne dane użytkownika – w tym informacje finansowe. Nawet bez dostępu do hasła do systemu bankowości online czy trzycyfrowego kodu CVV, paszport lub dane kontaktowe użytkownika wystarczą, aby dokonać oszustwa, np. aby wyrobić fałszywe dokumenty.  
  3. Załączniki zawierające szkodliwe oprogramowanie. Często oszuści rozprzestrzeniają szkodliwe oprogramowanie imitujące formularze wniosków o przyznanie kredytu lub zatwierdzone umowy kredytowe. Szkodliwe programy są zazwyczaj kompresowane w formacie „ZIP” i ukrywane pod maską nieszkodliwych plików, np. przy użyciu podwójnego rozszerzenia. Każda próba otworzenia załącznika z umową może spowodować infekcję systemu oraz utratę danych przechowywanych na dysku twardym.
  4. „Spamowanie” skrzynki pocztowej. Odpowiedź na wiadomość spamową, nawet bez zamiaru skorzystania z oferowanych w reklamie usług, daje spamerom sygnał, że dany adres naprawdę istnieje i jest aktywnie wykorzystywany (niektórzy spamerzy wysyłają wiadomości na losowo wygenerowane listy adresów). W efekcie, znacznie wzrośnie liczba wiadomości reklamowych wysyłanych na takie „aktywne” konto pocztowe. 

W artykule tym opiszemy typowe wiadomości spamowe zawierające oferty pożyczek i przeanalizujemy ich główne komponenty.  

credit_spam_02_auto.jpg

Główne cechy wiadomości e-mail

Spam pożyczkowy jest rozprzestrzeniany na całym świecie. Niezależnie od języka, wiadomości tego typu są bardzo do siebie podobne. Naturalnie występują pewne różnice w zależności od państwa, w większości jednak mają one związek z sytuacją gospodarczą oraz obowiązującymi przepisami finansowymi.

Temat wiadomości

Nagłówek wiadomości e-mail zawierającej ofertę pożyczki zwykle wyraźnie wskazuje na zawartość. Ponieważ jest to propozycja biznesowa, temat wiadomości stanowi krótkie streszczenie kluczowych informacji.  

Najpopularniejsze angielskojęzyczne nagłówki zawierają wyrażenia urgent loan, get a loan oraz the loan offer (pilna pożyczka, weź pożyczkę, oferta pożyczki), bardzo często podana jest również stopa procentowa. Niemieckojęzyczne nagłówki składają się z jeszcze mniejszej liczby słów; wszystko jest jasne i jednoznaczne bez podawania zbędnych szczegółów: Darlehen / Kredit / Finanzierung Angebot.      

credit_spam_03_auto.jpg

Pole “Od”

Spam pożyczkowy jest głównie wysyłany z adresów zarejestrowanych w darmowych serwisach pocztowych. Spamerzy mogą włamać się do skrzynek pocztowych użytkowników i podmienić adresy w polu „Od”, jak również automatycznie wygenerować je w masowych ilościach, nie martwiąc się, że ich tożsamość zostanie ujawniona czy adresy zablokowane przez filtry antyspamowe. 

Pole „Od” może zawierać imię osoby – najprawdopodobniej nieznanej odbiorcy (Paul) – imię i nazwisko (Jerry Brown, Kim James) lub nazwę organizacji finansowej, która rzekomo wysłała e-maila. Dość często imię nadawcy jest zastępowane słowem „kredyt” lub wyrażeniem zawierającym to słowo (LOAN SERVICE, KREDIT). Czasami pole to zawiera losowo wybrany zestaw liter i liczb wygenerowanych automatycznie, co stanowi jedną z powszechnych cech wszystkich wiadomości spamowych.     

credit_spam_04.jpg

Treść wiadomości e-mail

Tekst wiadomości oferującej kredyt może być zarówno bogaty w informacje jak i bardzo krótki, zawierający jedynie prośbę o wysłanie odpowiedzi na wskazany adres, jeśli odbiorca jest zainteresowany ofertą. 

credit_spam_05_auto.jpg

Wszystkie wiadomości posiadają pewne cechy wspólne, które są typowe zarówno dla tego rodzaju niechcianej korespondencji, jak i spamu w ogóle.

Forma zwracania się do odbiorcy

W spamie pożyczkowym nadawca prawie nigdy nie zwraca się do odbiorcy imiennie. Zamiast tego, spamerzy stosują zwięzłe bezosobowe formułki powitalne, takie jak   “Good day”, “Guten Tag”, “Hallo”, “Ich grüße euch”. Inną powszechną sztuczką jest zwracanie się do odbiorcy jak do potencjalnego klienta: “Dear Client”, “Dear Valued Client”, “Sehr geehrter Kunde” (Drogi kliencie). Użycie prawdziwego imienia odbiorcy jest mało prawdopodobne. 

Obietnice

Spamerzy „pożyczkowi” próbują przyciągnąć potencjalnych klientów, obiecując im ogromne sumy pieniędzy (czasem nawet kilka milionów dolarów gotówką), które mogą pożyczyć w przeciągu krótkiego czasu (od kilku godzin do kilku dni) bez żadnego zastawu, poręczycieli czy też zaświadczenia o przychodach oraz przy minimum formalności. Niektórzy pożyczkodawcy twierdzą nawet, że problemu nie stanowi również wcześniejsza odmowa udzielenia kredytu przez znany bank.

Spamerzy lubią stosować agresywną reklamę. Często graficznie wyróżniają istotne frazy (za pomocą innej czcionki lub koloru) dla zwiększenia efektu psychologicznego: np. aby przekonać odbiorców, że pilnie potrzebują pożyczki. Wcześniejsze odrzucone wnioski określają jako niesłuszne pomyłki.

credit_spam_06_auto.jpg

Autorzy wiadomości spamowych nie zawsze „pożyczają” pieniądze osobiście. Niekiedy występują w roli pośredników. Obiecują przesłać wniosek użytkownika do kilku banków, sugerując że silna konkurencja pozwoli uzyskać niezwykle korzystne warunki, nawet jeśli kwota pożyczki to zaledwie równowartość nowej sofy. 

Spamerzy oferują nie tylko pożyczki gotówkowe, ale również karty kredytowe z wysokim limitem, które są obsługiwane przez znane banki. Jednak takie oferty często stanowią przykrywkę ataku phishingowego.

credit_spam_07_auto.jpg

Niekiedy użytkownik otrzymuje taką wiadomość: „Twój wniosek o pożyczkę został przyjęty, przydzielono ci numer ***, pieniądze możesz odebrać po wysyłaniu nam szczegółów dotyczących konta w twoim banku, na które zostanie przelana kwota pożyczki”. Idea jest prosta: odbiorcy zainteresują się pożyczką (nawet jeśli nigdy nie ubiegali się o nią), którą będą mogli uzyskać bez przechodzenia standardowej procedury, i wyślą oszustom swoje informacje dotyczące konta bankowego.  

credit_spam_08.jpg

Specyfika geograficzna

Spam kredytowy w języku niemieckim posiada jedną szczególną cechę. W Niemczech działa specjalistyczna instytucja finansowa o nazwie SCHUFA. Jest to jedno z największych na świecie biur kredytowych, które gromadzi informacje dotyczące każdego konta bankowego w kraju jak również pożyczek oraz innych form zadłużenia. SCHUFA wykorzystuje te dane do oceny wiarygodności kredytowej każdej osoby i to właśnie tutaj niemieckie instytucje zasięgają porady, zanim zdecydują, czy udzielić pożyczki. Dlatego też, jeżeli jakaś osoba posiada już wysoką niespłaconą pożyczkę, jej szanse na uzyskanie nowej są niewielkie.    

credit_spam_09_auto.jpg   

Oficjalnie, wszystkie decyzje dotyczące pożyczek, zapytania i weryfikacje muszą przejść przez tę organizację. Jednak niemieckojęzyczny spam kredytowy oferuje pożyczkobiorcy dowolną sumę bez certyfikatu SCHUFA. tj. z obejściem testu wiarygodności. To oznacza, że pożyczkę może uzyskać każdy, nawet osoba, która dostała wcześniej od banku decyzję odmowną. Tego rodzaju oferty przychodzą zazwyczaj od zagranicznych firm i wykorzystują fakt, że umowa pożyczki zostanie sporządzona poza granicami Niemiec, zgodnie z innymi, mniej rygorystycznymi przepisami.  

credit_spam_10_auto.jpg

Spamerzy często próbują ukrywać oferty z obejściem certyfikatu SCHUFA. Na przykład, e-mail może imitować newsletter, w którym jedno z doniesień opisuje konsekwencje uzyskania kredytu bez certyfikatu SCHUFA. Wiadomość zawiera odsyłacz do historii, która przypomina niewielki artykuł analityczny. Pod nim znajduje się z kolei odsyłacz prowadzący do ofert kredytów bez certyfikatu SCHUFA.  

credit_spam_11_auto.jpg

Odsyłacze

Spamowe wiadomości pożyczkowe często zawierają krótkie odsyłacze do stron, na których odbiorca może wypełnić wniosek o przyznanie kredytu. Nadawca e-maila obiecuje, że wkrótce menedżer skontaktuje się z potencjalnym klientem na podany w formularzu aplikacyjnym numer i proces będzie przebiegał dalej „osobiście”. Odsyłacze te zwykle różnią się w zależności od e-maila i przekierowują użytkownika na specjalne strony stworzone do celów promocyjnych.  

credit_spam_12_auto.jpg

Odsyłacze mogą również prowadzić do popularnych serwisów online posiadających dużą liczbę odwiedzających. Dużą liczbę takich reklam zawierają serwisy takie jak YouTube. Zamawiając masowe wysyłki spamowe, firmy często tworzą reklamy promujące ich usługi i wrzucają je na YouTube’a. Następnie wysyłają masowo e-maile zwierające odsyłacz do takiego filmu. W przykładowym e-mailu poniżej znajdują się informacje prezentujące firmę udzielającą pożyczki jak również szczegóły dotyczące oferowanych przez nią korzystnych warunków kredytowych.   

credit_spam_13_auto.jpg

Oddźwięk

Aby skontaktować się z pożyczkodawcami i poznać więcej szczegółów na temat oferowanych usług, użytkownik zwykle ma do wyboru kilka opcji. Może: 

  • odpowiedzieć na wiadomość;
  • wysłać odpowiedź na inny adres (prywatny i zarejestrowany w darmowym serwisie e-mail, takim jak Yahoo Mail, Hotmail, Gmail itd.);
  • wypełnić formularz wniosku online z podaniem numeru kontaktowego (niekiedy wymagane są również dane dotyczące paszportu);
  • zadzwonić na numer (często komórkowy) podany w e-mailu.

Drugi punkt na tej liście nie wzbudza dużego zaufania odnośnie adresu e-mail, ostatni z kolei sugeruje, że pożyczkodawca nie posiada biura, co rzuca cień wątpliwości na jakość świadczonych przez niego usług. 

Załączniki

Wiadomości kredytowe zwykle zawierają dodatkowe załączniki. Może to być plik Adobe PDF lub Microsoft Word z reklamą prezentującą organizację kredytową, w imieniu której został wysłany e-mail, szczegółowy opis oferty wraz z warunkami pożyczki oraz informacje kontaktowe. Niekiedy takie załączniki zawierają jedynie formularz wniosku kredytowego, w którym odbiorca jest proszony o podanie informacji osobowych, takich jak numer telefonu, adres e-mail, a nawet dane dotyczące paszportu.         

credit_spam_14_auto.jpg

Należy pamiętać, że otwieranie dokumentów tekstowych pochodzących od nieznanego nadawcy jest ryzykowne, ponieważ mogą one zawierać wirusa uruchamianego przy pomocy makr (tak zwane makrowirusy). Dlatego też zalecamy użytkownikom, aby przed otwarciem załącznika przeprowadzali skanowanie antywirusowe każdego pliku niewiadomego pochodzenia, nawet jeśli jest to dokument tekstowy. 

Załączone archiwum ZIP jest jeszcze bardziej ryzykowne, ponieważ często zawiera szkodliwe oprogramowanie podszywające się pod dokument tekstowy lub graficzny. Szczególnie podejrzane są wiadomości, które nie zawierają żadnej treści (nawet tekstu reklamowego), a jedynie załączone archiwum. W tym przypadku jedynym elementem, który wskazuje na ofertę kredytową, jest nagłówek e-maila. Autorzy takich wiadomości mają po prostu nadzieję, że odbiorca otworzy z ciekawości załącznik, aby dowiedzieć się więcej.

credit_spam_15.jpg

Powyższy przykład pokazuje e-maila z załączonym archiwum, w którym znajduje się szkodliwy program wykrywany przez Kaspersky Lab jako Trojan-PSW.Win32.Tepfer.pate. Jego celem jest kradzież poufnych informacji, w szczególności danych umożliwiających zarządzanie kontami bankowymi. Podczas uruchomienia komputera szkodnik ten szuka określonych informacji w plikach systemowych oraz rejestrze, a gdy je znajdzie, zgromadzone dane wysyła do swojego „właściciela”.     

Kto oferuje kredyty?

Spam kredytowy jest wysyłany w imieniu pożyczkodawców, których można sklasyfikować do kilku kategorii: 

1. Rzekomo oficjalna instytucja kredytowa

Tego rodzaju wiadomości zawierają przykuwające wzrok reklamy z firmowym logo. Pożyczkodawcy podają swoje dane kontaktowe – adres zarejestrowanej siedziby, numery telefonu i adres e-mail. Do wiadomości często załączona jest broszura, w której powtórzone są dane kontaktowe firmy oraz znajdują się bardziej szczegółowe informacje dotyczące oferowanych usług. Odbiorca może ubiegać się o pożyczkę, dzwoniąc na podany numer lub wysyłając e-mail na wyszczególniony adres (który może różnić się od adresu nadawcy pierwotnego e-maila).    

credit_spam_16_auto.jpg


2. Brokerzy kredytowi

Nadawcy niechcianych wiadomości często przedstawiają się jako pośrednicy, którzy mogą pomóc odbiorcy w uzyskaniu pożyczki. Takie organizacje wykonują całą robotę papierkową i zwykle posiadają kontakty z niektórymi pożyczkodawcami. Aktywnie szukają potencjalnych klientów dla swoich partnerów i pracują za prowizję, która zwykle zawiera się w oprocentowaniu kredytu. W tym przypadku, klient ryzykuje tym, że „złapie się” na niekorzystną transakcję i uzyska pożyczkę po zawyżonych kosztach.

credit_spam_17_auto.jpg

3. Osoby fizyczne

Oferta kredytowa od osoby fizycznej rozpoczyna się zwykle od informacji prezentujących samego nadawcę i wygląda mniej więcej tak: „Jestem Panem takim a takim, prywatnym inwestorem. Udzielam pożyczek na niskie oprocentowanie. Jeżeli jesteś zainteresowany moją ofertą, skontaktuj się ze mną za pośrednictwem e-maila, podaj swoje dane osobowe i określ kwotę pożyczki oraz jej oprocentowanie”. Jest to jeden z najczęstszych rodzajów spamu kredytowego. Niezależnie od języka, w którym napisane są takie e-maile, ich twórcy trzymają się powyższego szablonu.  

credit_spam_18_auto.jpg

Prywatni pożyczkodawcy wysyłają swoje oferty do odbiorców na całym świecie, powielając tekst oryginalnego e-maila w różnych językach. Treść wiadomości jest zazwyczaj tłumaczona z języka angielskiego przy pomocy Tłumacza Google lub podobnych serwisów. W efekcie, słowa i zdania w takich wiadomościach nie są poprawne pod względem stylistycznym czy gramatycznym, jednak ogólne znaczenie jest zrozumiałe dzięki takim frazom jak "the loan to anyone who needs it". Z kontekstu można również wywnioskować, jakie są sposoby skontaktowania się z potencjalnym pożyczkodawcą: Send your request to ххххх@live.com" lub "Please send back the information if you're interested in the offer".       

credit_spam_19_auto.jpg

4. Organizacje charytatywne

Niektórzy nadawcy przedstawiają się jako organizacje charytatywne lub chrześcijańskie, które niosą pomoc potrzebującym. Takie wiadomości mogą zawierać cytaty z Biblii, dzięki którym wyglądają na bardziej wiarygodne.  

credit_spam_20.jpg

5. Anonimowi nadawcy

Niezwykle powszechne są również całkowicie bezosobowe wiadomości zawierające wyrażenia w rodzaju: "giving out money" lub "We offer credit". Najwyraźniej, odbiorca dowie się, kim są tajemniczy „my” i jakie są warunki udzielenia pożyczki, dopiero gdy podejmie ryzyko i odpowie na taką podejrzaną ofertę. 

credit_spam_21.jpg

6. Znane banki

Wiadomość e-mail napisana rzekomo przez przedstawiciela jednego ze znanych banków powinna obudzić czujność odbiorcy: szanujące się banki nie ryzykowałyby nadszarpnięciem swojej reputacji, uciekając się do reklamowania swoich usług za pośrednictwem spamu, ani nie wysłałyby oferty kredytowej osobom, które nie są ich klientami. A zatem tego rodzaju wiadomości są elementem phishingu. Oszuści załączają do wiadomości e-mail formularz wniosku kredytowego lub odsyłacz prowadzący do takiego formularza. Jeżeli odbiorca połknie przynętę i wypełni formularz, jego informacje osobowe wpadną prosto w ręce oszustów. Strona phishingowa może zawierać logo banku, w imieniu którego został wysłany taki e-mail, i wyglądać jak sekcja oficjalnej witryny internetowej tego banku. Jednak odbiorca powinien zwrócić uwagę na adres nadawcy oraz odsyłacz na pasku adresowym przeglądarki na stronie z formularzem wniosku – prawdopodobnie nie będą one miały nic wspólnego z oficjalnymi danymi banku.    

credit_spam_22_auto.jpg
Przykład strony phishingowej

7. Pożyczkodawcy z portali społecznościowych

Na specjalną wzmiankę zasługuje spam dystrybuowany za pośrednictwem popularnych portali społecznościowych, takich jak Facebook, LinkedIn itd. W tym przypadku, niechciana reklama jest wysyłana do użytkownika w formie prywatnej wiadomości od nieznanego kontaktu. Użytkownik otrzymuje powiadomienie o otrzymaniu nowej wiadomości na adres e-mail powiązany z jego kontem na portalu społecznościowym. Treść takich prywatnych wiadomości to nic innego jak spam zawierający wszystkie cechy, które zostały omówione już wcześniej.       

credit_spam_23_auto.jpg

Środki zapobiegawcze

Uniknięcie zagrożeń, jakie stanowi spam kredytowy, nie jest trudne.

Przede wszystkim, nie wolno podawać swoich danych osobistych na podejrzanych stronach ani wypełniać formularzy HTML pochodzących od nieznanych nadawców, szczególnie gdy komputer nie jest chroniony przez oprogramowanie antywirusowe, które jest w stanie szybko zidentyfikować i zablokować oszukańczy link.      Osobistych danych nie należy również podawać osobom trzecim w przypadku nawiązania korespondencji z nieznaną osobą, szczególnie gdy prosi o wysłanie odpowiedzi na adres inny niż adres nadawcy.

Po drugie, nie należy uruchamiać plików wykonywalnych ani otwierać załączników, szczególnie archiwów i dokumentów pakietu Office (w wyjątkowych sytuacjach, zrób to wyłącznie po uzyskaniu werdyktu programu antywirusowego stwierdzającego jego bezpieczeństwo). W przypadku większości osób spam nie oferuje niczego, co byłoby naprawdę godne ich uwagi. Stanowi za to doskonałą przykrywkę dla szkodliwych programów podszywających się pod dokumenty pakietu Office, które w ten sposób mogą wniknąć do Twojego komputera.  

Na koniec warto dodać, że nawiązywanie korespondencji w sprawach finansowych z nieznanymi firmami i prywatnymi pożyczkodawcami jest kiepskim pomysłem. Każdy, kto wysyła oferty na ślepy traf i liczy, że być może ktoś na nią odpowie, na pewno nie reprezentuje legalnej, cieszącej się dobrą reputacją organizacji świadczącej usługi finansowe. Organizacje posiadające legalne dochody nie zarobią na oferowaniu pożyczek po „bardzo niskim oprocentowaniu”, jeśli mogą zainwestować te pieniądze w legalnie działającej instytucji finansowej zapewniającej wyższe oprocentowanie i o wiele większe bezpieczeństwo. Niskie oprocentowanie to w większości przypadków zmyłka. Po podpisaniu umowy pożyczkobiorcy odkrywają, że istnieją znaczne koszty dodatkowe, o których często pisano tzw. małym druczkiem - jeśli w ogóle kiedykolwiek zobaczą te pieniądze.