Bezpieczeństwo

Vinted, OLX, i inne – ulubione marki oszustów

Michał Rosiak Michał Rosiak
04 listopada 2021
Vinted, OLX, i inne – ulubione marki oszustów

Kilkadziesiąt, a nawet przeszło sto dziennie. Tyle phishingowych domen, dotyczących wyłącznie oszustw "na wysyłkę" wpada codziennie do naszych systemów bezpieczeństwa. Przez jakiś czas było nieco spokojniej, nawet liczba ataków na sprzedających za pośrednictwem OLX wydawała się nieco maleć. W ostatnim czasie sytuacja jednak się zmieniła. Pod ostrzałem oszustów są sprzedający na OLX, Allegro i Vinted. Atakowani są nie tylko za pomocą podszycia pod dane marki. Przestępcy używają też witryn, udających InPost i DPD.

Jak wyglądają takie adresy? To część "urobku" z dzisiaj, oparta wyłącznie na jednej domenie głównej:

allegro-kdbu.id-info0328.me

vinted-iuq.id-info0328.me

vinted-iab.id-info0328.me

vinted-wkt.id-info0328.me

olx-medw.id-info0328.me

vinted-pkl.id-info0328.me

inpost-itgn.id-info0328.me

inpost-lnb.id-info0328.me

vinted-dkeh.id-info0328.me

inpost-raz.id-info0328.me

olx-hgm.id-info0328.me

inpost-zpc.id-info0328.me

dpd-rzu.id-info0328.me

Widzicie o co chodzi? Nadużywana marka znajduje się na samym początku adresu. To zachowanie wykorzystujące skłonność naszego mózgu do ograniczania zalewu danych. Często nie zdajemy sobie tego sprawy, ale nasz mózg - na poziomie podświadomości - potrafi w takiej sytuacji "odciąć" resztę adresu. W efekcie, działając automatycznie... klikamy w ten adres!

To nie Vinted, to nie kurier

Oszuści ostatnimi czasy tworzą fałszywe adresy hurtowo. Pod jedną domeną (w powyższych przypadkach id-info0328.me) od razu tworzą od kilkunastu do kilkudziesięciu adresów, w kilku wersjach na każdą markę. Tyle w tym dobrego, że nasza sztuczna inteligencja łatwo uczy się takich schematów. W efekcie CyberTarcza blokuje praktycznie wszystkie zanim ktokolwiek z klientów Orange Polska zdoła w nie kliknąć. Co jednak jeśli zdążysz kliknąć (lub nie masz naszych usług dostępu do internetu)?

Przestępcy - co już kilkakrotnie tutaj i na stronie CERT Orange Polska, opisywaliśmy - automatycznie skanują serwisy, rejestrując nowe oferty sprzedaży. W kolejnym kroku "żywy" oszust wybiera ofiarę i w swoim panelu generuje fałszywy link do oferty. Miałem kiedyś możliwość spojrzeć na taki interfejs administracyjny. Nie mogę jednak wrzucić nawet zrzutu ekranu - lepiej, by oszuści nie wiedzieli czy/gdzie mamy taki dostęp. W każdym razie po zalogowaniu wystarczy wkleić link do prawdziwej oferty, by wygenerować bliźniaczą stronę, a gdy tylko ofiara da się oszukać - w tym samym miejscu wyświetlają się wszystkie wyłudzone dane.

Jak wygląda taka witryna?

Gdyby nie adres w pasku na górze witryna w zasadzie nie wygląda podejrzanie, prawda? A co się stanie jeśli jednak zechcemy odebrać środki?

Standardowa sytuacja z fałszywą bramką płatności z aktywnymi linkami nawet do mniej popularnych banków. Czy to oznacza, że przestępcy mają przygotowane witryny na każdą okazję? Nie do końca. Jeśli wybierzemy popularny bank, zobaczymy podróbkę treści z oficjalnej witryny:

Czy są jakieś różnice w porównaniu z prawdziwym logowaniem do banku? Jeśli w systemie korzystacie z języka polskiego to w przypadku pierwszych dwóch już sam fakt, że są po angielsku, powinien sugerować, że coś jest nie tak. Dodatkowo w przypadku mBanku w treści jest też błąd ortograficzny i interpunkcyjny. Przede wszystkim jednak oszuści wymagają od nas:

  • kodu PIN
  • numeru PESEL
  • numeru z tokenu RSA
  • nazwisko panieńskie matki

te dodatkowe dane są niezbędne do aktywacji aplikacji mobilnej! Za jej pośrednictwem złodziej, już bez Twojej kontroli, wykradnie Ci wszystkie pieniądze i pozaciąga kredyty.

Login to za mało, dawaj numer karty!

A co się stanie, jeśli klikniemy na mniej popularny bank? To samo co po wpisaniu powyższych danych! Pokaże się monit o... podanie danych karty płatniczej.

Oczywiście jeśli już wpiszemy dane, nikt nam nie napisze: "Dzięki, właśnie dałeś się okraść!". W zamian za to zobaczymy, że coś jest nie tak (cóż za zaskoczenie...).

Co robić?

Wiem (i ci z Was, którzy regularnie czytają Bloga, też wiedzą), że już o tym pisałem. I to nie raz. Jednak fakt, iż oszuści nie porzucili tego typu ataków, dowodzi, że ciągle są skuteczne. Analizując strony dwkurotnie skusiłem się nawet na próbę rozmowy z przestępcą. Tak, to nie problem - na każdej z tym stron w prawym dolnym rogu jest okno czatu z "obsługą klienta". Niestety musiałem trafić na wyjątkowego skromnisia, bo gdy grzecznie spytałem, ile osób dziennie oszukuje i ile zarabia, wszystkie linki na stronie zaczęły nagle prowadzić do prawdziwych witryn Vinted i DPD.

Ale dość dygresji. Jak nie dać się oszukać?

Rozmawiaj wyłącznie przez interfejs aplikacji/strony (OLX, Vinted, Allegro)

Linki z rzekomo dokonanymi transakcjami są finalną częścią rozmów z ofiarą za pośrednictwem zewnętrznego komunikatora. A nad WhatsAppem, wykorzystywanym w polskich kampaniach, firmy pośredniczące w sprzedaży nie mają kontroli, nie mogą np. monitorować podejrzanych linków.

Pamiętaj, że firmy kurierskie (jak używane w tym oszustwie InPost, czy DPD) nie wypłacają pieniędzy sprzedającemu

One zajmują się dostarczeniem paczki lub ewentualnie pobraniem pieniędzy od kupującego.

Gdy na ekranie pojawia się strona płatności, obowiązkowo sprawdź adres w pasku przeglądarki

Przy prawidłowych płatnościach będzie to adres pośrednika płatności (zazwyczaj kończący się .pl, nigdy nie kończący się na dziwne zbitki liter, typu .me, .site, czy .xyz).

Nie wpisuj numeru karty, gdy to Ty masz dostać pieniądze

Jedyna sytuacja, w której spotkałem się z wykorzystaniem karty do otrzymania pieniędzy miała miejsce przy zwrocie artykułu w sklepie i wymagała włożenia jej do terminala.

Jeśli dysponujesz dwoma numerami telefonów, w serwisach pośredniczących w sprzedaży użyj tego, do którego nie masz podpiętych komunikatorów

Gdy numer nie jest skojarzony z WhatsAppem, nikt WhatsAppem nie napisze! Genialne, co nie?

A poza tym, jak mawiał Fox Mulder:

A przynajmniej nie obcym.

Komentarze

pablo_ck
pablo_ck 17:37 04-11-2021

Mają co niektórzy rozmach. Szkoda tylko ludzi którzy się na to nabierają i tracą ciężko zarobione pieniądze. Dlatego warto korzystać wyłącznie że sprawdzonych aplikacji z oficjalnego sklepu Google, Apple.

Odpowiedz
Łukasz
Łukasz 13:42 05-11-2021

Większość nas wie o tym ale zdarzają się osoby które niestety podatne są na ataki i im trzeba to wielokrotnie powtarzać

Odpowiedz
emitelek
emitelek 19:39 05-11-2021

No sorry… Dostaję takie coś, choć nic nie kupowałem… Jaka płatność? Trzeba być idiotą, żeby się tym zajmować! Kosz! I tyle! 😉

Odpowiedz

Oferta

150 GB na 150 tys. użytkowników Orange Flex

Kasia Barys Kasia Barys
04 listopada 2021
150 GB na 150 tys. użytkowników Orange Flex

Liczba użytkowników Orange Flex dynamicznie rośnie i po 2,5 roku od startu oferty osiągnęła liczbę 150 tys. klientów. To świetna okazja na wspólną zabawę i szansa na zdobycie aż 150 GB. Od 4 do 5 listopada trwa akcja, polegająca na szukaniu ukrytych kodów na dodatkowe gigabajty. Warto pamiętać o aktualizacji aplikacji do najnowszej wersji przed przystąpieniem do zabawy.

Polowanie na kody promocyjne w Orange Flex

150 GB trzeba samemu odszukać w różnych miejscach. Mam jednak podpowiedź – można znaleźć trzy kody dające w sumie 150 GB ważnych 60 dni. Użytkownicy powinni być czujni, aby złapać wszystkie kody na ekstra GB. Mogą one pojawić się w aplikacji, na Instagramie (@orange_flex) oraz na Blogu Flex.

Aby skorzystać z kodów należy wpisać je w zakładce „Kody promocyjne” w swoim profilu w aplikacji Orange Flex i aktywować je do 5 listopada do końca dnia.

Zniżki w Sklepie Flex

Dodatkowe niespodzianki czekają na użytkowników w Sklepie Flex. Można upolować promocję na słuchawki: -150 zł na Samsung Galaxy Buds2, do tego dodatkowo cashback 150 zł oraz dostęp do TIDAL Premium na 6 miesięcy. Trzeba się spieszyć, bo promocja trwa tylko dzisiaj, do końca 4.11.2021.

 

Komentarze


Oferta

Samsung Galaxy Z Fold3 5G – krótki test

Michał Rosiak Michał Rosiak
03 listopada 2021
Samsung Galaxy Z Fold3 5G – krótki test

W zalewie topowych smartfonów, które w dużej mierze wyglądają tak samo i umieją to samo, różniąc się zazwyczaj tylko drobnymi szczegółami, możliwość spędzenia czasu z urządzeniem wyjątkowym raduje serce testera. Po przyjrzeniu się Galaxy Z Flip3 trafił do mnie drugi „składak” od Koreańczyków. Galaxy Z Fold3 to smartf... tzn. urządzenie, które wymyka się wszelkiej kategoryzacji.

Ni pies, ni wydra...

...coś na kształt Z Fold3. Po pierwszej fazie fascynacji tym wyjątkowym sprzętem zacząłem się zastanawiać, czym on tak naprawdę jest? Z jednej strony mamy telefon o mocno nietypowych proporcjach. Dłuuuugi (25:9, 6,2 cala), wąski i pękaty (do 16 mm w najgrubszym miejscu). Masa 217g akurat mi nie przeszkadza, dzisiejsze smartfony są po prostu ciężkie i tyle. Wystarczy go jednak rozłożyć, by nie rzucające na kolana urodą kaczątko stało się 7,6-calowym łabędziem, którego przed chwilą trzymaliśmy w kieszeni!

To zdecydowana przewaga Z Fold3 w sytuacji, gdy potrzebujemy większego ekranu. Tabletu, nawet 8-calowego (nie mówiąc już o 10”) nie schowamy do kieszeni. Rozmawiając przezeń będziemy wyglądać – hmmm – niestandardowo. A przede wszystkim standardowego tabletu nie... zegniemy, gdy będziemy tego akurat potrzebować!

Samsungowski interfejs Flex to zdecydowanie cecha, która wyróżnia „łamańce” Koreańczyków. Flex to w przypadku Netflixa i Youtube po "złamaniu" - oddzielny panel do obsługi. W przypadku np. możemy na raz rozmawiać i czatować. Do wideorozmowy przez Google Duo po prostu postawimy telefon. No i mamy możliwość oglądania rolki zdjęć od razu po ich zrobieniu, bez wychodzenia z aplikacji aparatu. To cechy, których w innych urządzeniach nie spotkamy. Spytacie „po co oglądać filmy na połowie ekranu”? Choćby dla wygody, jeśli nie chcemy, by od trzymania Z Fold3 mdlała nam ręka. Poza tym przeglądając długi materiał na YT łatwiej szybko przewijać. No warto pamiętać, że ten wielki ekran ma jednak proporcje 4:3. Z jednej strony więc film rozciągnięty na cały ekran wygląda obłędnie, ale z drugiej – ucina to sporo przestrzeni po bokach.

Z racji takiego stylu testowanego urządzenia czujnik odcisków palców, mimo ekranu Amoled, znalazł się z boku obudowy. Innej możliwości nie było. Po dwóch bokach znalazły się też głośniki stereo, sygnowane – jak to u Samsunga – przez AKG. Oj dają czadu!

Aparaty na sposób Z Fold3

Właśnie, parę słów o aparatach, bowiem korzystanie z nich Z Fold3 też znacząco redefiniuje. Możemy np. robić fotki z dłuuuuuuugim czasem naświetlania, albo hyperlapse’y. Wystarczy rozłożyć telefon o 90 stopni i postawić.

Słaba kamerka do selfie? Nie ma problemu. Otwieramy telefony i używamy któregoś z trzech nominalnie tylnych 12-megapikselowych aparatów,

1: 12 MP, f/1.8, 26mm (szeroki), 1.8µm, Dual Pixel PDAF, OIS

2: 12 MP, f/2.4, 52mm (tele), 1.0µm, PDAF, OIS, zoom optyczny x2

3: 12 MP, f/2.2, 123˚, 12mm (ultraszeroki), 1.12µm

widząc wszystko na przednim ekranie. Kamerka do selfie też jest, jakby ktoś się uparł, ale na pierwszy rzut oka ciężko ją zobaczyć. Samsung bowiem (o ile dobrze pamiętam) jako pierwszym z producentów zdecydował się w finalnym produkcie umieścić kamerę pod wyświetlaczem. Jeśli oglądamy film i przyjrzymy się dokładnie, widać wyraźną „kratkę”, ale nie przeszkadza w odbiorze treści. Inna sprawa, że 4-megapikselowe „oczko” szału nie robi i w mojej opinii przyda się tylko do wspominanych wcześniej rozmów wideo.

A zwykłe zdjęcia? Widywałem lepsze fotki, nawet z aparatów Samsunga, a w sprzęcie za tak duże pieniądze spodziewałbym się też lepszego niż dwukrotne optycznego zbliżenia. Nie zrozumcie mnie źle, fajne są te foty, ale efektu „wow” się nie spodziewajcie.

Telefon, tablet, telewizor i komputer

Z Fold3 to jedno z dwóch najdroższych na rynku urządzeń i to absolutnie widać. Aluminiowe ramki, szkło Gorilla Glass Victus na obu 120-hercowych ekranach Dynamic Amoled 2X, najszybszy dostępny procesor (Snapdragon 888), wsparty 12 GB RAMu. Mnie najczęściej przydawał się, gdy jechałem metrem do biura i oglądałem na rozłożonym ekranie seriale. Albo gdy w niedzielne wieczory usypiałem w domu półtorarocznego berbecia, wsuwając pod jego łóżko duży ekran z meczem NFL.

Myślę, że gdyby moja praca wymagałaby, żeby Z Fold3 służył mi za przedłużenie komputera, bez problemu bym się do tego przyzwyczaił. W drodze korzystając ze świetnie rozwiązanego multitaskingu (nawet 3 aplikacje w oknach, intuicyjny boczny pasek menu) a w pracy/domu jako stacji Dex. Aha, byłbym zapomniał – nie ma lepszego kieszonkowego urządzenia do oglądania z rodziną zdjęć! Co ciekawe, w trybie tabletu przy korzystaniu z przeglądarki większość stron odpala się nie w trybie mobilnym, lecz komputerowym! Ku mojemu zaskoczeniu okazało się to całkiem wygodne.

Tylko ta bateria... Jeśli korzystamy z przedniego ekranu jest lepiej, ale przecież nie kupuje się Ferrari, by jeździć nim 100 metrów do piekarni po bułki (wiem, tej samej analogii używałem całkiem niedawno). Ogniwo o pojemności 4400 mAh nie jest demonem pojemności, a nazywanie ładowania 25W „superszybkim” (bezprzedowodowo 11W...) całkiem mnie rozbawiło.

Umieją w innowacje

Kto jest zatem grupą docelową dla Galaxy Z Fold3? No właśnie z tym mam problem. Mimo mnóstwa niespotykanych w smartfonach (było nie było) funkcji, odczuwam dysonans poznawczy, usiłując wyobrazić sobie ten sprzęt w kieszeni menedżera wysokiego stopnia. A abstrakcyjnie wysoka cena znacząco ogranicza kupujących z chudszym portfelem. Mimo iż trzecia wersja Z Folda jest zdecydowanie najlepsza, to pierwszy „duży łamaniec” Samsunga do którego nie można się przyczepić (fałdę na linii składania ekranu szybko przestaniecie zauważać), ja wciąż traktuję go trochę jako proof of concept. Jeśli tak, to Samsung zdecydowanie pokazał, że umie w innowacje. Mnie bardziej przekonała koncepcja Z Flipa, ale nie mam wątpliwości, że Z Fold3 też znajdzie swoich amatorów. A ja dla ułatwienia, żebyście nie musieli daleko szukać, od razu dam Wam linka do naszego sklepu (dodatkowo dostaniecie jeszcze słuchawki Galaxy Buds Pro)! A jak nie Fold, to Z Flip3 jest tutaj. On dla odmiany z Galaxy Buds2.

Komentarze

Astis
Astis 18:10 05-11-2024

Kasiu, pomóż… Ja w innej sprawie. Ta subskrypca w Nju to ma prawdopodobnie pewne niedociągnięcia ? Czy jest Ktoś Kto mógłby pomóc znajomemu w przywróceniu subskrypcji, a bardziej w numerze, który po wybraniu „Zrezygnuj z usługi” przepadł bez powrotnie … numer kontakt do wszystkiego, jednym kliknięciem 🙁 AŁC

Odpowiedz
Artur
Artur 18:37 05-11-2024

Jeżeli z subskrypcji zrezygnuje się przed upływem 14 dni od rozpoczęcia świadczenia usługi lub subskrypcja nie zostanie odnowiona do 6 miesięcy, to numer przepada bezpowrotnie. Jeszcze w przypadku ofert na kartę jest szansa odzyskania, z subskrypcji już niestety nie. Nawet podjąłem próbę przeniesienia do innego operatora po wyłączeniu numeru w subskrypcji, nastąpiła odmowa, numer już niedostępny.

Odpowiedz
Astis
Astis 10:29 07-11-2024

no to nieźle … a we wszystkich podobnych sytuacjach potrzeba 30 dni na wypowiedzenie usługi:) prawdopodobnie znalazłem ” furtkę” jak szybko wyłączyć swój numer z sieci…. 🙂

Odpowiedz
Astis
Astis 10:33 07-11-2024

Kto teraz chodzi do Kina ? 🙂

Odpowiedz
Astis
Astis 10:43 07-11-2024

Tak też to rozumiem, ale nie wierzę, że nic się nie da zrobić?!

Odpowiedz
Scroll to Top