Kilkadziesiąt, a nawet przeszło sto dziennie. Tyle phishingowych domen, dotyczących wyłącznie oszustw „na wysyłkę” wpada codziennie do naszych systemów bezpieczeństwa. Przez jakiś czas było nieco spokojniej, nawet liczba ataków na sprzedających za pośrednictwem OLX wydawała się nieco maleć. W ostatnim czasie sytuacja jednak się zmieniła. Pod ostrzałem oszustów są sprzedający na OLX, Allegro i Vinted. Atakowani są nie tylko za pomocą podszycia pod dane marki. Przestępcy używają też witryn, udających InPost i DPD.
Jak wyglądają takie adresy? To część „urobku” z dzisiaj, oparta wyłącznie na jednej domenie głównej:
allegro-kdbu.id-info0328.me
vinted-iuq.id-info0328.me
vinted-iab.id-info0328.me
vinted-wkt.id-info0328.me
olx-medw.id-info0328.me
vinted-pkl.id-info0328.me
inpost-itgn.id-info0328.me
inpost-lnb.id-info0328.me
vinted-dkeh.id-info0328.me
inpost-raz.id-info0328.me
olx-hgm.id-info0328.me
inpost-zpc.id-info0328.me
dpd-rzu.id-info0328.me
Widzicie o co chodzi? Nadużywana marka znajduje się na samym początku adresu. To zachowanie wykorzystujące skłonność naszego mózgu do ograniczania zalewu danych. Często nie zdajemy sobie tego sprawy, ale nasz mózg – na poziomie podświadomości – potrafi w takiej sytuacji „odciąć” resztę adresu. W efekcie, działając automatycznie… klikamy w ten adres!
To nie Vinted, to nie kurier
Oszuści ostatnimi czasy tworzą fałszywe adresy hurtowo. Pod jedną domeną (w powyższych przypadkach id-info0328.me) od razu tworzą od kilkunastu do kilkudziesięciu adresów, w kilku wersjach na każdą markę. Tyle w tym dobrego, że nasza sztuczna inteligencja łatwo uczy się takich schematów. W efekcie CyberTarcza blokuje praktycznie wszystkie zanim ktokolwiek z klientów Orange Polska zdoła w nie kliknąć. Co jednak jeśli zdążysz kliknąć (lub nie masz naszych usług dostępu do internetu)?
Przestępcy – co już kilkakrotnie tutaj i na stronie CERT Orange Polska, opisywaliśmy – automatycznie skanują serwisy, rejestrując nowe oferty sprzedaży. W kolejnym kroku „żywy” oszust wybiera ofiarę i w swoim panelu generuje fałszywy link do oferty. Miałem kiedyś możliwość spojrzeć na taki interfejs administracyjny. Nie mogę jednak wrzucić nawet zrzutu ekranu – lepiej, by oszuści nie wiedzieli czy/gdzie mamy taki dostęp. W każdym razie po zalogowaniu wystarczy wkleić link do prawdziwej oferty, by wygenerować bliźniaczą stronę, a gdy tylko ofiara da się oszukać – w tym samym miejscu wyświetlają się wszystkie wyłudzone dane.
Jak wygląda taka witryna?
Gdyby nie adres w pasku na górze witryna w zasadzie nie wygląda podejrzanie, prawda? A co się stanie jeśli jednak zechcemy odebrać środki?
Standardowa sytuacja z fałszywą bramką płatności z aktywnymi linkami nawet do mniej popularnych banków. Czy to oznacza, że przestępcy mają przygotowane witryny na każdą okazję? Nie do końca. Jeśli wybierzemy popularny bank, zobaczymy podróbkę treści z oficjalnej witryny:
 |
 |
 |
Czy są jakieś różnice w porównaniu z prawdziwym logowaniem do banku? Jeśli w systemie korzystacie z języka polskiego to w przypadku pierwszych dwóch już sam fakt, że są po angielsku, powinien sugerować, że coś jest nie tak. Dodatkowo w przypadku mBanku w treści jest też błąd ortograficzny i interpunkcyjny. Przede wszystkim jednak oszuści wymagają od nas:
- kodu PIN
- numeru PESEL
- numeru z tokenu RSA
- nazwisko panieńskie matki
te dodatkowe dane są niezbędne do aktywacji aplikacji mobilnej! Za jej pośrednictwem złodziej, już bez Twojej kontroli, wykradnie Ci wszystkie pieniądze i pozaciąga kredyty.
Login to za mało, dawaj numer karty!
A co się stanie, jeśli klikniemy na mniej popularny bank? To samo co po wpisaniu powyższych danych! Pokaże się monit o… podanie danych karty płatniczej.
Oczywiście jeśli już wpiszemy dane, nikt nam nie napisze: „Dzięki, właśnie dałeś się okraść!”. W zamian za to zobaczymy, że coś jest nie tak (cóż za zaskoczenie…).
Co robić?
Wiem (i ci z Was, którzy regularnie czytają Bloga, też wiedzą), że już o tym pisałem. I to nie raz. Jednak fakt, iż oszuści nie porzucili tego typu ataków, dowodzi, że ciągle są skuteczne. Analizując strony dwkurotnie skusiłem się nawet na próbę rozmowy z przestępcą. Tak, to nie problem – na każdej z tym stron w prawym dolnym rogu jest okno czatu z „obsługą klienta”. Niestety musiałem trafić na wyjątkowego skromnisia, bo gdy grzecznie spytałem, ile osób dziennie oszukuje i ile zarabia, wszystkie linki na stronie zaczęły nagle prowadzić do prawdziwych witryn Vinted i DPD.
Ale dość dygresji. Jak nie dać się oszukać?
Rozmawiaj wyłącznie przez interfejs aplikacji/strony (OLX, Vinted, Allegro)
Linki z rzekomo dokonanymi transakcjami są finalną częścią rozmów z ofiarą za pośrednictwem zewnętrznego komunikatora. A nad WhatsAppem, wykorzystywanym w polskich kampaniach, firmy pośredniczące w sprzedaży nie mają kontroli, nie mogą np. monitorować podejrzanych linków.
Pamiętaj, że firmy kurierskie (jak używane w tym oszustwie InPost, czy DPD) nie wypłacają pieniędzy sprzedającemu
One zajmują się dostarczeniem paczki lub ewentualnie pobraniem pieniędzy od kupującego.
Gdy na ekranie pojawia się strona płatności, obowiązkowo sprawdź adres w pasku przeglądarki
Przy prawidłowych płatnościach będzie to adres pośrednika płatności (zazwyczaj kończący się .pl, nigdy nie kończący się na dziwne zbitki liter, typu .me, .site, czy .xyz).
Nie wpisuj numeru karty, gdy to Ty masz dostać pieniądze
Jedyna sytuacja, w której spotkałem się z wykorzystaniem karty do otrzymania pieniędzy miała miejsce przy zwrocie artykułu w sklepie i wymagała włożenia jej do terminala.
Jeśli dysponujesz dwoma numerami telefonów, w serwisach pośredniczących w sprzedaży użyj tego, do którego nie masz podpiętych komunikatorów
Gdy numer nie jest skojarzony z WhatsAppem, nikt WhatsAppem nie napisze! Genialne, co nie?
A poza tym, jak mawiał Fox Mulder:
A przynajmniej nie obcym.
