Bezpieczeństwo

Duchota, deszcze i… oszustwa na OLX

29 lipca 2021

Duchota, deszcze i… oszustwa na OLX

Gorące powietrze, czasami nawalne deszcze, coraz więcej ludzi nie zakładających maseczek, próby oszustw pod pozorem kupna rzeczy wystawionych na OLX. Te wszystkie – i wiele więcej – cechy składają się na polską rzeczywistość lata 2021… O ile na pierwsze trzy nie mamy wpływu, warto się przyjrzeć tej ostatniej. Oczywiście wiem, że to nie pierwszy raz – jednak pomysły oszustów ewoluują na tyle, że warto przed nimi regularnie ostrzegać.

Jeśli temat jest Wam znany – możecie pominąć następny śródtytuł.

O co chodzi z tym OLX?

O oszustwach „na OLX”, jak najpopularniejszej w ostatnich miesiącach metodzie ataków, pisałem już zarówno na łamach bloga, jak i na stronie CERT Orange Polska wielokrotnie. Oprogramowanie oszustów automatycznie przegląda wystawiane w serwisie OLX oferty. Następnie, przy użyciu komunikatora WhatsApp, kontaktuje się z wystawiającym z propozycją zakupu.

W czym zatem tkwi problem? Przestępca nie przypadkiem łączy się przez zewnętrzne źródło komunikacji. Wtedy nie tylko nie zostawia po sobie śladów w systemie OLX. Nie ma ryzyka, że konta z których robi oszustwa, będą jedno po drugim zamykane. A dlaczego oszustwa? Bo pod przykrywką rzekomego zakupu podeśle nam link do formularza, gdzie socjotechnicznymi sztuczkami będzie nas przekonywał albo do podania wszystkich (łącznie z kodem CVC/CVV) danych karty płatniczej, bądź wygeneruje fałszywą bramkę płatności, gdzie niefrasobliwie możemy podać mu login i hasło do banku. Chyba, że – jak niedawno Wojtek – czytamy Bloga i stronę CERT 🙂

Kawalerka Inpostem wysłana

Za znaczną większość (a być może za wszystkie) ataki „na OLX” odpowiadają napastnicy zza naszej wschodniej granicy. Skąd o tym wiadomo? W sieci można łatwo znaleźć screenshoty, gdzie rozmówcy, wiedząc, że są oszukiwani, prowokowali oszustów. Ci bardzo szybko odpowiadali im, wulgarnie lub cynicznie, po rosyjsku/ukraińsku. Nawet nie usiłują się z tym kryć.

Na początku jednak nie kryli także z brakiem znajomości naszego języka. Mimo, iż wiadomości na komunikatorze przychodzą zazwyczaj z polskich numerów, nie trzeba było być językoznawcą, by wychwycić w nich rusycyzmy. Bardzo często atakujący korzystali także z prostych skryptów, można się było więc z nich całkiem nieźle pośmiać:

Albo – w przypływie szczerości u łobuza – dowiedzieć się, ile zarabiają.

Nie wiem, jak na Was, ale na mnie ta liczba zrobiła wrażenie. I dowiodła słuszności pisania cały czas o tym zagrożeniu, skoro tak wiele osób nieprzerwanie się nań łapie.

Obraz na OLX, czyli manipulacja na kolejnym poziomie

Niestety przestępcy widzą, co się dzieje i monitorują nasze reakcje. W sumie można się było tego spodziewać. O ile bowiem bycie obśmiewanym im nie przeszkadza (na prowokację potrafią odpowiedzieć bezczelnie z tupetem), to już spadek zysków stanowi dla nich zapewne pewien problem. A ponieważ zysk jest spory, można zatrudnić kogoś, kto lepiej pisze po polsku. Choćby Rosjanina/Ukraińca studiującego w Polsce, który – jak widać poniżej – nie uniknie w wypowiedzi kilku rusycyzmów, ale mimo tego wzniesie konwersację z ofiarą na dużo wyższy poziom.

Widzicie różnicę z poprzednimi zrzutami ekranu? Przede wszystkim tutaj nie ma już skryptu. To nie jest człowiek bez znajomości języka polskiego, który wkleja kolejne linijki z notatnika, niezależnie od tego, co napisze ofiara. Mamy do czynienia nie tylko z prowadzeniem dyskusji w kontekście konkretnej oferty, ale także próbą dodatkowego jej zmanipulowania komplementami. Tym bardziej, że tu chodzi o obraz, a artyści mnie przynajmniej wydają się wyjątkowo chętni na komplementy w aspekcie swojej twórczości.

Co robić?

Ja bym przeszedł do form drastycznych – blokowania/ignorowania każdego, kto pyta o przedmiot z OLX za pomocą komunikatorów (chyba, że go znacie, rzecz jasna). Czy to OLX, czy Allegro, czy inne tego typu serwisy mają własny system wiadomości. Ryzyko, iż stracicie dobrego kupca jest w mojej opinii zerowe – ja nie sprzedałbym niczego komuś, dla kogo problemem jest kliknięcie oferty na stronie, czy napisanie wiadomości wewnątrz serwisu. Każda (to nie jest przesada) osoba, która pyta mnie o opinię, gdy dostanie podejrzaną wiadomość na WhatsApp po odrzuceniu „oferty” w ciągu kilkunastu minut, maksymalnie godziny, dostaje jeszcze dwie-trzy propozycje!

Ignorujcie WhatsAppa w takich sytuacjach, ignorujcie też maile (!), bo ostatnio spotkałem się z przykładami bardzo ładnie udających OLX wiadomości, gdzie tylko link do „zapłaty” prowadził na podstawioną stronę. Kupujesz przez OLX – pisz przez OLX, a ja Ci zapłacę po MOJEMU, nie po twojemu.

Sprawmy, by tym łobuzom bezczelny uśmiech zamarł na ustach.

Udostępnij: Duchota, deszcze i… oszustwa na OLX

Bezpieczeństwo

Oszuści nie dali rady Wojtkowi!

2 czerwca 2021

Oszuści nie dali rady Wojtkowi!

Oszuści znowu zaatakowali Wojtka! Znaczy próbowali, ale nasz rzecznik ma… mnie? Trochę żartuję, przede wszystkim ma budowaną przez lata wiedzę, ale nie zmienia to faktu, że z każdą wątpliwością może „uderzać” do mnie. Tak było i teraz.

Michał, sprzedajemy łóżko na OLX i ktoś właśnie do nas napisał, chwilę po wystawieniu ogłoszenia – zaczął Wojtek. A ja, gdy usłyszałem „OLX” wiedziałem, że może być ciekawie. – Mam mu wysłać łóżko do Sopotu, a on zapłaci. Wysłał już link, ale prosi o numer karty płatniczej, śmierdzi troszeczkę?
Karty, powiadasz? A jak napisał: wiadomością na OLX, czy WhatsAppem?
WhatsAppem, a co?

Ano właśnie. Jeśli na początku gdzieś tam delikatnie zza krzaków wychylił się główka pana z czerwoną flagą to teraz już wszystko zaświeciło mi piękną, soczystą czerwienią! Toż o oszustach, piszących przez WhatsApp do sprzedających w OLX piszemy już przynajmniej od kilku miesięcy! Ale jako, iż pokazanie czyjegoś przykładu (a rzecznika to już w ogóle 🙂 ) zdecydowanie bardziej wpływa na wyobraźnię, niż jakiś abstrakcyjny opis, przyjrzyjmy się jak oszuści (nieskutecznie) zaatakowali Wojtka.

Oszuści napiszą WhatsAppem

Zaczęło się od wystawienia przedmiotu i automatycznego potwierdzenia od OLX. Ta informacja zwrotna to jedyna oficjalna korespondencja w całej opisywanej sytuacji. Co ciekawe, w mailu można przeczytać m.in.:

Nie klikaj w żadne linki wysyłane przez nieznajomych poza OLX w SMS-ach czy komunikatorach, np. WhatsApp.

Po czym na telefon, wymieniony w opisie oferty, trafia zapytanie. Przez – jakże! – WhatsApp.

oszuści kontaktują się przez komunikator WhatsApp oszuści kontaktują się przez komunikator WhatsApp

To był moment, dosłownie kilka minut od publikacji ogłoszenia odezwała się zainteresowana kupnem osoba – opowiada Wojtek. – Bez żadnego dopytywania, od razu chciała rozmawiać o wysyłce – dodaje.

Szajki oszukujące na OLX to wyspecjalizowane przestępcze przedsiębiorstwa. Nie zajmują się „drobnicą”, szukając przedmiotów wystarczająco (ale też nieprzesadnie) drogich, ale też takich, które nie zmieszczą się do paczkomatu. Ja – nawet nie znając schematu tego oszustwa – nie dałbym się przekonać na jakieś kombinacje, gdy po prostu wystarczy włożyć towar do paczkomatu. Pod tym kątem monitorują na bieżąco serwis, robiąc to – na co wskazują statystyki i nasza korespondencja z wieloma ofiarami – z szokująco wysoką skutecznością.

Dodatkowo oszust wymyślił sobie „legendę” – nieco naciąganą – dlaczego nie może ze mną porozmawiać

– zaznacza Wojtek. Spójrzcie na sam dół lewego screenshota. Rzekomy „problem” ze słuchem nie istnieje. OLX-owe szajki atakują nas zza wschodniej granicy, bazując albo na dość podstawowej znajomości języka polskiego, bądź też czasami na gotowych skryptach! Poza tym, żeby przeprowadzić dobrą socjotechniczną manipulację, gdy ofiara nas słyszy, trzeba być naprawdę wyjątkowym fachowcem.

Skąd wiadomo, że to przestępcy ze Wschodu? Często z adresacji ich infrastruktury (z którą się zazwyczaj nie kryją). Zdarza się też, że niedoszłe ofiary, domyślając się oszustwa, w mniej lub bardziej wybredny sposób piszą rozmówcom co o nich myślą. W odpowiedzi dostają pozdrowienia napisane cyrylicą.

Dziwny SMS, czyli „rzuf”

Wróćmy jednak do opisywanego przypadku. Na końcu konwersacji rozmówca napisał o „SMS potwierdzającym”. Faktycznie, przyszedł:

Jeśli komuś do tej pory nie mieniło się czerwienią przed oczami, to teraz już musi. Ale najpierw krótka niby-dygresja (bo tak naprawdę na temat). W jakim słowie w języku polskim można zrobić błąd przy każdej literze? Mnie kojarzy się żółw, z którego (dzieci bywają mocno kreatywne) może nagle wyłonić się „rzuf”.

I właśnie powyższy SMS skojarzył mi się z takim „rzufem”:

  • Zamówienie uformowany.
    • Jakie zamówienie, skoro to Wojtek sprzedawał?
    • „Uformowany” nie brzmi dobrze
  • Zapraszamy do odebrania kwoty
    • To jakaś totalnie oderwana od polszczyzny forma
  • Link oooc.in
    • Nie ma w nazwie ani OLX ani żadnej bramki płatności

No „rzuf”, no…

Prawie jak OLX

Tym bardziej, że po kliknięciu w link (Wojtek lubi chyba żyć na krawędzi 😉 ) w przeglądarce otworzyła się strona olx.pl-otrzymac.work. To też znany numer – na początku coś, co wygląda jak faktyczna domena firmy, a potem – cóż, potem cokolwiek. Nasz mózg, wspomagając się heurystykami, bardzo często podświadomie „odetnie” to, co potem.

W tym momencie niemal każdego by już oświeciło – wyjaśnia Wojtek. – Po co numer karty? Przecież osoba prywatna nie będzie mi wpłacać pieniędzy na kartę, tylko na konto!

Dokładnie. W tym przypadku akurat nikt nie chce nam niczego wpłacać. Oszuści chcą nam tylko zabrać. W kolejnym kroku padnie pytanie o datę ważności i kod CVV. A potem? Potem pozostanie już tylko spłacać to, co przestępcy wydadzą.

Bądźcie jak Wojtek, nie dajcie się oszukać. Może znacie kogoś, kto ma potencjał, by paść ofiarą takiego oszustwa? Wyślijcie mu wtedy linka do tekstu. Warto też zaglądać regularnie na stronę CERT Orange Polska i CERTowego Twittera, gdzie o bezpieczeństwie w sieci piszemy i ostrzegamy regularnie.

Udostępnij: Oszuści nie dali rady Wojtkowi!

Bezpieczeństwo

#Krótko Uważajcie przy zakupach na ostatnią chwilę

10 grudnia 2020

#Krótko Uważajcie przy zakupach na ostatnią chwilę

Nie zawsze da się strzelić na bloga sążnistą epistołę, ale też nie zawsze o to chodzi. Czasami zdarzają się rzeczy, o których trzeba napisać szybko, a im krócej – tym tak naprawdę treściwiej. Stąd pomysł na wpisy z tagiem #krótko.

Niecały miesiąc temu opisywałem Wam tutaj schemat ataku „na OLX”. Czy sytuacja zmieniła się od tamtej pory? Jeśli tak, to na pewno nie na lepsze. W naszym CyberTarczowym StopPhishingu mamy już… 1081 domen, podszywających się pod ten serwis zakupów/wymian. Jak często wpadają? Zobaczcie przykład:

Wszystko ładnie widać. Osiem domen, które trafiły do naszego systemu w ciągu… tysięcznej części sekundy. Grubo, co nie?

Nie tylko OLX

Idą święta, za dwa tygodnie zasiądziemy przy wigilijnym stole, a pod choinką znajdziemy… rany boskie, PREZENTY PRZECIEŻ!!!

Dla z Was powyższe nie jest obce, ręka w górę 🙂 Przez wiele lat dorosłego życia wyrobiłem sobie opinię o tym, że jako Polacy – cóż, nie jesteśmy demonami proaktywności. Zostawianie rzeczy na ostatnią chwilę nie jest nam obce, a teraz, w czasach pandemii, jeszcze więcej z nas, niż zwykle, zrobi zakupy online. Niektórzy na OLX, wielu na Allegro, a – jak mówią statystyki – większość z nas wybierze wysyłkę Paczkomatem. Przestępcy też o tym wiedzą i to widać w liczbie wpadających do nas fałszywych stron. A jako, że ilość (tak, ilość, nie liczba tym razem) wariacji adresów jest praktycznie nieskończona, nawet jeśli każda z domen będzie używana do jednej kampanii, jest ryzyko, że wiele osób zostanie oszukanych.

Na co uważać?

W zasadzie to… na wszystko. Kupujcie wolniej i ostrożniej. Kiedyś moja ś.p. Mama mówiła, że jak się człowiek spieszy, to się diabeł cieszy. Korzystajcie najlepiej ze sklepów, które już znacie. No i zawsze:

  • Sprawdzajcie adres strony, na którą wchodzicie
    • bankowych przede wszystkim…
  • Nie kontaktujcie się z potencjalnym sprzedającym/kupujących w inny sposób, niż przez wewnętrzne systemy komunikacji serwisu handlowego/aukcyjnego
  • Bezwględnie i absolutnie nie używajcie linka do płatności, podanego przez drugą stronę transakcji
  • Nie instalujcie żadnych aplikacji spoza oficjalnych sklepów
    • nawet, jeśli w SMSie czytacie, jakoby była to ważna aktualizacja bezpieczeństwa
  • A najlepiej korzystajcie z aplikacji mobilnych danej firmy

Uważajcie na siebie. Uszczęśliwcie dzieci własne, nie dzieci oszustów.

Udostępnij: #Krótko Uważajcie przy zakupach na ostatnią chwilę

Bezpieczeństwo

Kupujesz przez OLX? Uważaj na oszustwa!

12 listopada 2020

Kupujesz przez OLX? Uważaj na oszustwa!

Przestępcy nie są idiotami. Powtarzam to na tych łamach regularnie, ale to naprawdę ważne. Pamiętajcie, że nie możemy pozwolić sobie na lekceważenie ludzi, którzy chcą nas okraść. Lepiej być gotowym i zakładać, że wiedzą co robią. Lepiej, niż obudzić się z ręką w… smartfonie, pełnym powiadomień o znikających z naszego konta pieniądzach. Tym bardziej, że – czego dowiodę za chwilę – źli ludzie potrafią się dostosować do zmieniających się płynnie realiów.

Zamiast SMSa

Phishing to tak naprawdę drugi etap ataku. Przestępcy chcą nas przekonać do wejścia na spreparowaną przez nich witrynę, czy też do otwarcia załączonego przez nich pliku. Najpierw muszą nam jednak link, czy załącznik dostarczyć. A w tym celu używają wiadomości mailowych. One w tej sytuacji pełnią rolę tego, co w bezpieczeństwie określamy mianem wektora ataku.

Co jednak, gdy z SMSami nie wychodzi tak, jak byśmy chcieli? Gdy narzędzia analityczne wskazują, że do Orange Polska chyba mało co dochodzi, bo konwersja z naszych ataków jest bliska zeru? My z phishingowymi SMSami od jakiegoś czasu radzimy sobie całkiem nieźle, nierzadko zatrzymując kampanie, zanim zdążą się rozkręcić (i blokując strony docelowe rzecz jasna). Więc trzeba wymyślić alternatywę. No to wymyślili.

Na początku chciałem powiedzieć, że to całkiem sprytny pomysł, ale w sumie nie mam pewności. Po pierwsze dlatego, że w SMSie oszust może wykorzystać tzw. nadpis (nazwa, pokazująca się jako nadawca wiadomości), by informacje od niego pojawiały się w tym samym wątku, co prawdziwe. Przy komunikatorze nie dość, że po prostu pojawia się obcy numer, to na dodatek przy pierwszej wiadomości od „obcego” pojawia się wyraźna informacja, że to numer, którego nie mamy w książce, dając możliwość zablokowania, bądź zgłoszenia podejrzanego nadawcy.

Taki OLX, tylko nieprawdziwy

Groźny wydaje się być jednak schemat ataku. Informacja ze screenshotami trafiła do nas od jednego z internautów i wydaje się, iż wymazane na obrazku personalia to dane właśnie tego internauty.

Schemat mógłby wskazywać na to, że przestępca wypatruje w serwisie OLX osób, sprzedających przedmioty o opłacalnej do oszustwa wartości, kontaktując się z nimi jako domniemany kupiec, dołączając link do rzekomej strony OLX. Gdy potwierdzimy chęć odbioru pieniędzy…

…okazuje się, że „Bank Polski” (przestępca pewnie chciał przekazać, że chodzi o skorzystanie z usług polskich banków) nie jest obsługiwany. Pozostaje nam zatem tylko podanie numeru karty, i…

I wiadomo co. Błyskawiczne wyczerpanie jej limitu.

Co zrobić?

Na Waszym miejscu spodziewałbym się, że tego typu ataków może być w nadchodzącym czasie sporo. W ostatnich tygodniu liczba zarejestrowanych domen, podszywających się od OLX, które wyłapaliśmy, o ile dobrze pamiętam, przekroczyła 100. Przede wszystkim więc uważajcie na adresy stron, do których się logujecie. No i pamiętajcie o zasadzie ograniczonego zaufania przy jakichkolwiek transakcjach, związanych z finansami. Nie bez przyczyn serwisu aukcyjne/ogłoszeniowe mają swoje systemy wiadomości. Jeśli rozmawiacie z kupcem wewnątrz serwisu/aplikacji, wszystko jest zapisywane i możecie wyciągnąć konsekwencje albo od nieuczciwego kupca, albo od serwisu.

Nie dajcie się oszukać.

Udostępnij: Kupujesz przez OLX? Uważaj na oszustwa!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej