Bezpieczeństwo

Wygrałem w MediaMarkt! Ale czy na pewno?

Michał Rosiak

16 lutego 2023

MediaMarkt to jeden z ulubionych celów sieciowych oszustów. W sumie nie ma co się dziwić. Mało kto nie lubi elektronicznych gadżetów, a firma z czerwonym logo to jedna z popularniejszych sieci w Polsce.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost złośliwej aktywności skupionej wokół marki MediaMarkt. Oto przykładowy SMS:

Nadawca: Infomessage
Treść: Zwyciezcy tygodnia MediaMarkt: 1. Volodymyr [NAZWISKO] - 2. Olga [NAZWISKO] - 3. Karol [NAZWISKO]. Odbierz nagrode: arolling.com/[7-znakowy hash]

Po kliknięciu w link jesteśmy przekierowywani pod adres

hxxps://packsdroppers[.]com/mnm87/swps/PL/1651/?dom=track.trankitupep.com&m1=xxxx

gdzie w miejsce xxxx znajdziemy bardzo długi ciąg znaków. W większości treść jest zakodowana, ale znajdziemy tam też podane otwartym tekstem takie dane jak: imię i nazwisko ofiary, jej adres pocztowy oraz e-mail. Dlatego pozwoliłem sobie adres nieco skrócić.

Zaufanie ofiary powinny wzbudzać zamieszczone w treści (z przyczyn oczywistych wymazane) jej dane osobowe oraz numer telefonu. Skąd ma je oszust? Zapewne z jednego z wielu wycieków, funkcjonujących w internecie.

Ale przecież ofiara nie zamawiała iPhone'a 14 Pro! Ani w MediaMarkt, ani nigdzie indziej. To fakt, ale czemu nie brać, skoro i tak dają? Przecież to "zaledwie" 10 złotych do zapłacenia!

Trzeba tylko zaplanować, gdzie ma dotrzeć dostawa:

To nie wygrana w MediaMarkt - to oszustwo!

("nie wiedzieć czemu", do punktu się nie da), wybrać datę:

I pozostaje tylko kliknąć "dokończ dostawę"!

Twój iPhone, rzekomo wygrany w MediaMarkt, nie istnieje!

To w końcu MediaMarkt, czy coś innego?

Tymczasem po kliknięciu ostatniego przycisku pojawia się... coś niespodziewanego:

Jeśli zdrowy rozsądek przeciśnie się tam gdzieś między socjotechnicznymi atakami, zobaczymy, że:

Nagle zmieniła się szata graficzna strony (i to już nie jest MediaMarkt)
10 PLN zamieniło się w 1€
A adres nowej strony wygląda tak: hxxps://main.fungamemaster[.]com/c/index?cc=PL&project=1307&camp=14675&access=c3cd98a748a7e&aff=buzz&m=sf_1565&publisher=buzz_1565_a8cdc774-16ab-45e7-8e90-fb26da9f31aa&ymid=8fd60ac4-aba8-11ed-93e6-78e3b5fc9f0a&pub_id=a8cdc774-16ab-45e7-8e90-fb26da9f31aa

Fungamemaster? Być może, jeśli trafiacie na tę stronę (albo na CERT Orange Polska) to coś Wam "zadzwoniło", gdy zobaczyliście adres, kojarzący się z rozrywką? To klasyczny numer oszustów. Pod pozorem zakupów (czy to z MediaMarkt, czy z innej marki, której nadużywają) przekierowują nieświadomą ofiarę na stronę legalnej firmy, gdzie - wpisując dane karty płatniczej - kupimy niepotrzebną nam subskrypcję usługi np. związanej z grami online. Za 7 dni zapłacimy faktycznie 1 euro, ale potem z naszej karty będzie spadać znaaaaaacznie więcej.

Ba! W tym przypadku podamy jeszcze nasze dane osobowe. Firma legalna, ale kto wie, co robi z danymi i czy podlega pod RODO/GDPR?

Jeśli gdziekolwiek podajesz dane swoich instrumentów płatniczych, poważnie się zastanów zanim to zrobisz. Jeśli na ekranie widzisz logo znanej marki - sprawdź, czy w adresie strony też widnieje jej nazwa (a najlepiej upewnij się, że to faktycznie jej strona!). A przede wszystkim, gdy w grę wchodzą Twoje pieniądze, słuchaj starożytnych Rzymian...

Festina lente (łac. spiesz się powoli)

Bądźcie bezpieczni!

Please prove you are human by selecting the star.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.