Atak na kartę podarunkową

To co jest popularne w socjotechnice za oceanem? Pewnie za chwile będzie popularne w Polsce. W zeszłym roku organizacje amerykańskie straciły 1,3 miliarda dolarów na specyficzny rodzaj ataków – na kartę podarunkową.

Mechanizm jest prosty: Cel jest proszony o zakup kart upominkowych – najczęściej Google Play, portfela Steam, Amazon, Apple iTunes lub Walmart – a następnie o przesłanie kodów napastnikowi pocztą e-mail.
Forma „prośby” może być różna: od akcji charytatywnej po korespondencję korporacyjną namawiająca do składek. Zjawisko przybiera zatrważające rozmiary. Firma Agari zajmująca się bezpieczeństwem poczty e-mail w raporcie Agari Email Fraud and Identity Deception Trends analizuje konteksty ataków i twierdzi, że oszustwo związane z kartami upominkowymi stanowi obecnie dwie trzecie ataków w wiadomościach biznesowych.

Średnia kwota wymagana w tych atakach wynosi około 1500 USD, podczas gdy bardziej ambitni napastnicy mogą zażądać nawet 5000 USD. Napastnicy, żeby zwiększyć prawdopodobieństwo ataku koncentrują się na mniejszych organizacjach, takich jak prowincjonalne szkoły miejskie i okręgi szkolne, organizacje charytatywne, szpitale, kościoły i uniwersytety.

Oszustwo związane z kartami upominkowymi zapewnia atakującym pewne korzyści. Mogą powtórzyć oszustwo przeciwko setkom, a nawet tysiącom ofiar, co może zmienić płatności w wysokości kilku tysięcy dolarów na raz w znacznie większą sumę. Oszustwa związane z kartami upominkowymi zapewniają również przestępcom więcej celów, ponieważ nie ograniczają się one do działów finansowych.

Ataki zapewniają także cyberprzestępcom anonimowość, ponieważ prawie niemożliwe jest wyśledzenie nielegalnie zdobytych kart podarunkowych. Atakujący mogą albo sprzedać kody, które uzyskali za darmo, z zyskiem, a wpływy są prane poprzez wymianę na kryptowalut. Alternatywnie kody można po prostu wykorzystać do robienia zakupów.

„Ataki kartami podarunkowymi”, choć odnoszą sukcesy i są coraz popularniejsze, są zwykle prostymi kampaniami phishingowymi, które teoretycznie można łatwo przeciwdziałać.

Specjaliści z Agaria ostrzegają: „Przedsiębiorstwa powinny również podnosić świadomość, że większość dzisiejszych cyberataków niekoniecznie jest technicznie wyrafinowanych, więc obrona e-maili i szkolenia uświadamiające w zakresie bezpieczeństwa powinny koncentrować się na tego rodzaju nietechnicznych atakach z zakresu inżynierii społecznej”

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00

Zero-day w pakiecie Office wykorzystywany w atakach

Microsoft wydał poprawki dla luki CVE-2026-21509. Jest to niedawno ujawniona podatność typu zero-day w pakiecie Office, która może zostać wykorzystana do obejścia funkcji zabezpieczeń. W komunikacie giganta...

3 min czytania 2 lut 2026 08:00

Microsoft wyłączy NTLM!?

Kończy się czas protokołu uwierzytelniania New Technology LAN Manager (NTLM) – w kolejnej wersji systemu Windows Server nie będzie on już obsługiwany. O tym podatnym protokole pisaliśmy wielokrotnie, między i...

4 min czytania 4 lut 2026 09:43

Łatajcie Cisco i F5! Wysoki stopień zagrożenia

Cisco i F5 opublikowały w tym tygodniu poprawki dla wielu luk w zabezpieczeniach swoich produktów, w tym dla poważnych podatności, które mogą prowadzić do odmowy usługi (DoS), wykonywania poleceń i eskala...

3 min czytania 9 lut 2026 08:00

Nowy poziom bezpieczeństwa. Android 16 wzmacnia ochronę przed kradzieżą – co to oznacza dla Twojego smartfona?

W erze, gdy smartfony zawierają całą naszą cyfrową tożsamość - od zdjęć i danych osobowych po dostęp do bankowości - kradzież telefonu to już nie tylko strata sprzętu, ale potencjalna furtka do finansowej...

5 min czytania 30 sty 2026 06:46