Atak na kartę podarunkową

To co jest popularne w socjotechnice za oceanem? Pewnie za chwile będzie popularne w Polsce. W zeszłym roku organizacje amerykańskie straciły 1,3 miliarda dolarów na specyficzny rodzaj ataków – na kartę podarunkową.

Mechanizm jest prosty: Cel jest proszony o zakup kart upominkowych – najczęściej Google Play, portfela Steam, Amazon, Apple iTunes lub Walmart – a następnie o przesłanie kodów napastnikowi pocztą e-mail.
Forma „prośby” może być różna: od akcji charytatywnej po korespondencję korporacyjną namawiająca do składek. Zjawisko przybiera zatrważające rozmiary. Firma Agari zajmująca się bezpieczeństwem poczty e-mail w raporcie Agari Email Fraud and Identity Deception Trends analizuje konteksty ataków i twierdzi, że oszustwo związane z kartami upominkowymi stanowi obecnie dwie trzecie ataków w wiadomościach biznesowych.

Średnia kwota wymagana w tych atakach wynosi około 1500 USD, podczas gdy bardziej ambitni napastnicy mogą zażądać nawet 5000 USD. Napastnicy, żeby zwiększyć prawdopodobieństwo ataku koncentrują się na mniejszych organizacjach, takich jak prowincjonalne szkoły miejskie i okręgi szkolne, organizacje charytatywne, szpitale, kościoły i uniwersytety.

Oszustwo związane z kartami upominkowymi zapewnia atakującym pewne korzyści. Mogą powtórzyć oszustwo przeciwko setkom, a nawet tysiącom ofiar, co może zmienić płatności w wysokości kilku tysięcy dolarów na raz w znacznie większą sumę. Oszustwa związane z kartami upominkowymi zapewniają również przestępcom więcej celów, ponieważ nie ograniczają się one do działów finansowych.

Ataki zapewniają także cyberprzestępcom anonimowość, ponieważ prawie niemożliwe jest wyśledzenie nielegalnie zdobytych kart podarunkowych. Atakujący mogą albo sprzedać kody, które uzyskali za darmo, z zyskiem, a wpływy są prane poprzez wymianę na kryptowalut. Alternatywnie kody można po prostu wykorzystać do robienia zakupów.

„Ataki kartami podarunkowymi”, choć odnoszą sukcesy i są coraz popularniejsze, są zwykle prostymi kampaniami phishingowymi, które teoretycznie można łatwo przeciwdziałać.

Specjaliści z Agaria ostrzegają: „Przedsiębiorstwa powinny również podnosić świadomość, że większość dzisiejszych cyberataków niekoniecznie jest technicznie wyrafinowanych, więc obrona e-maili i szkolenia uświadamiające w zakresie bezpieczeństwa powinny koncentrować się na tego rodzaju nietechnicznych atakach z zakresu inżynierii społecznej”

Popularne

7-Zip podatny na NTFS Heap Overflow

Jaroslav Lobačevski z GitHub Security Lab opublikował analizę nowej podatności odnalezionej w 7-Zip, oznaczonej jako GHSL-2026-140. Luka dotyczy parsera NTFS i prowadzi do uszkodzenia pamięci procesu, co w...

6 min czytania 28 maj 2026 07:52

Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki

Eksperci z Huntress ujawnili nową podatność, umożliwiającą wyciek poświadczeń NTLMv2 za pośrednictwem mechanizmu Windows Search. Problem dotyczy obsługi schematu URI wykorzystywanego przez Eksplorator Windows d...

7 min czytania 8 cze 2026 06:59

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...

8 min czytania 18 maj 2026 07:58

19-letnia luka w jądrze Linuksa naraża systemy na dostęp root

Właśnie opublikowano kod exploita Proof-of-Concept (PoC) dla luki CIFSwitch, która umożliwia użytkownikom o niskich uprawnieniach uzyskanie dostępu root w podatnych systemach Linux. Luka w zabezpieczeniach jądra...

3 min czytania 3 cze 2026 08:00

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00