Jak sprzedając na OLX można łatwo stracić środki ze swojej karty kredytowej

Wystawiacie towar na OLX. Bardzo szybko pojawia się zainteresowany klient, który chce skorzystać z bezpiecznej „Przesyłki OLX”. Na koniec jednak okazuje się, że zamiast przybyć wam pieniędzy, to ubyło – i to całkiem niemało. Co się stało?

Każda pojawiająca się nowa usługa dostawy, forma płatności czy inne ułatwienie zakupów w serwisach handlowych powoduje powstanie nowych scenariuszy oszustwa. Często to przestępcy tłumaczą swoim ofiarom, jak działa ta czy inna metoda płatności. Tak jest teraz, gdy obserwujemy bardzo dużą liczbę domen phishingowych podszywających się pod portal OLX.

Scenariusz jest bardzo ciekawy i chwilę zajęło nam jego zrozumienie. Nie ma tu kampanii maili czy SMS-ów zachęcających, obiecujących czy wręcz grożących, by nakłonić ofiarę do kliknięcia w link. Ofiarą jest sprzedający, precyzyjnie wybrany przez atakującego. Ofiar niestety przybywa każdego dnia, a ataki trwają od kilku tygodni.

Historia
Historia rozpoczyna się na Ukrainie i Białorusi na początku roku 2020. OLX wprowadził nową możliwość rozliczania transakcji – „Przesyłki OLX” (wersja ukraińska to OLX Доставка). Nowa usługa ma na celu zwiększenie zaufania do transakcji na portalu. Początkowo portal służył do ogłoszeń, a transakcje były realizowane bezpośrednio – z rąk do rąk. Popularność handlu w sieci oraz zagrożenie epidemiologiczne sprawiły jednak, że ten model musiał ulec zmianie na wariant zdalny. Często dochodziło zatem do sytuacji, kiedy kupujący bał się płacić z góry za towar, nie mając pewności, że go otrzyma, a i sprzedający bał się wysyłać towar, ponosząc koszty przesyłki i czekając na płatność. OLX postanowił ten problem rozwiązać, wprowadzając nowy model zakupów nazwany Przesyłki OLX.  Wraz z tą usługą uruchomiono też Płatności OLX. Jak to działa? Zacytujemy oryginalny poradnik:

Znajdź na OLX ogłoszenie z interesującym Cię przedmiotem, w którym aktywna jest usługa Przesyłki OLX.
Skorzystaj z opcji Kup z przesyłką i podaj dane do wysyłki.
Wybierz punkt, w którym odbierzesz wysłaną przez Sprzedającego paczkę. /…/
Wszystko się zgadza? Kliknij Potwierdź i zapłać.
Zostaniesz przekierowany na stronę płatności. Będziesz mógł skorzystać z BLIK lub wybrać bank, z którego korzystasz i dokonać opłaty za przedmiot i wysyłkę.
Zwrot „Zostaniesz przekierowany na stronę płatności” już brzmi jak scenariusz ataku. Są to jednak tylko wskazówki dla kupujących, a ich trudniej przestępcom złapać. Złodzieje postanowili zatem wykorzystać tę usługę, by naciągać sprzedających.

Historycznie pierwsze ataki oraz domeny wymierzone były w użytkowników z Ukrainy i Białorusi, bo tam OLX uruchomił najpierw wspomnianą usługę.  Pojawiły się domeny takie jak:

hxxp://olx-delivery[.]online
hxxp://olx-ua-dostavka[.]com
hxxps://olx-safedelevery[.]pw
Przestępcy spróbowali też swoich sił na innych portalach kupna-sprzedaży, np. Kufar (polski odpowiednik to np. Sprzedajemy.pl czy Gumtree.pl):

hxxps://dostawka[.]kufar.mx/order.php?q=524277495
hxxps://kufar[.]uk/item.php?1100679121
Usługa „Przesyłki OLX” ruszyła w pełnej skali w Polsce 10 września 2020. Już na początku października zaobserwowaliśmy pierwsze domeny podszywające się pod tę usługę. Od połowy października opisywany scenariusz jest bardzo aktywnie wykorzystywany przez przestępców.

Scenariusz
Osoba sprzedająca wystawia ogłoszenia w portalu OLX. Co prawda, obserwowane były też ataki na użytkowników portali Sprzedajemy.pl oraz Gumtree.pl, jednak nie zyskały one takiej popularności jak te na OLX.

Przestępca nawiązuje relację ze sprzedającym. Najpierw prosi o potwierdzenie, czy ogłoszenie aktualne – nie chce tracić czasu na oszukanie kogoś, kto i tak nie łyknie przynęty.

Po potwierdzeniu aktualności ogłoszenia następuje jeszcze „podkręcenie” zainteresowania i stworzenie przekonania, że kupującemu bardzo zależy.

Po krótkiej rozmowie ofiara dostaje informację, że towar zostanie zakupiony, ale sposobem zapłaty będą „Płatności OLX”. Dlaczego? Tłumaczenia bywają różne, to jedno z nich:


Rozmówca przysyła instrukcję działania – zaobserwowaliśmy kilka wersji, np.:


czy osadzoną w na stronie w domenie phishingowej:


W tym momencie następuje punkt kulminacyjny scenariusza. Ofiara, czyli sprzedający, otrzymuje link służący rzekomo do „odbioru płatności”, a w rzeczywistości jest to strona phishingowa, służąca do pobrania informacji o karcie płatniczej sprzedającego, wykonania transakcji lub połączenia jej z elektronicznym portfelem oszusta.

Przykładowe domeny – jedne z setek z ostatniego tygodnia:

hxxp://olx-delivery[.]org
hxxp://olx.security-online.info
hxxps://olxpl.zapowiedz.site
hxxps://olx.pl.oferta.ic
hxxps://poland.olx-my.site
hxxp://www.olx-dostawa.pl
hxxps://olx.security-online.info
hxxp://olx.informacja-pl.info
hxxps://olx.security-online.info
hxxps://pl.olx-my.site
hxxps://olx-deliver.su
hxxps://olx.pl.wysylka.shop
hxxps://olx.pl.wysylka.live
hxxp://olx.pl.wysylka.me

Po wejściu na stronę oszusta ofiara widzi swój produkt oraz informację, że zapłata czeka (w niektórych wariantach tej informacji brak). Przestępcy dla każdego sprzedającego przygotowują indywidualną stronę informacyjną,  która uwiarygodnia całą historię.

Po kliknięciu w przycisk „Otrzymać!”/ „Potwierdź zamówienie” / „Zabrać” ofiara przechodzi się do strony, na której ma dojść do wyłudzenia danych karty płatniczej:


W kolejnym kroku pojawia się prośba o wpisanie kodu przysłanego z banku:

Ofiara myśli, że potwierdza odbiór zapłaty, a tymczasem potwierdza operację, której nie jest świadoma. W tym scenariuszu może być to np. nieautoryzowana transakcja kartowa w internecie albo dodanie karty do elektronicznego portfela oszusta, dzięki czemu przestępcy mogą nawet wypłacić pieniądze z bankomatu czy zapłacić w sklepie za granicą.

Potrzebę wpisania kodu SMS przestępcy tłumaczą np. tak:


Zdarza się też, że operator jest zajęty obsługą zbyt wielu ofiar naraz – wtedy ofiara na stronie otrzyma komunikat:

„Uwaga! Ze względu na duże obciążenie serwera, przesłanie kodu może być opóźnione o kilka minut.”

Człowiek od razu staje się spokojniejszy, prawda?

W pewnym momencie przestępcy uznali jednak, że nie chcą mieć danych, za pośrednictwem których nie będą mogli zdobyć satysfakcjonującą ich gotówkę i wprowadzili „Dodatkowy etap weryfikacji” – podanie salda rachunku.


Jeżeli wskazana kwota będzie mniejsza niż 500 PLN (chociaż sami w rozmowie twierdzą, że chodzi o 300 PLN), to ofiara otrzymuje informację, że karta jest niewłaściwa i należy podać inną.


Najwyraźniej jednak ten etap „weryfikacji” wzbudzał wśród ofiar zbyt wiele niepokoju i doprowadzał do tego, że niektóre osoby rezygnowały, więc drogą kompromisu przestępcy często nie proszą już o wpisanie salda, za to ofiara napotka informację, że:


Wilk syty i owca… a jednak nie. Jeżeli  ofiara i tak zaczyna podejrzewać, że coś jest nie tak i postanowi szukać pomocy, to przestępcy starają się zniechęcić do kontaktu z bankiem, który mógłby pokrzyżować ich plany:


W zamian zachęcają do rozmowy ze swoim doradcą – pomocą techniczną, za pomocą czatu online na stronie phishingowej.

Podsumowanie, ciekawostki i wnioski
Fałszywe strony OLX są tłumaczonymi wersjami rosyjskojęzycznego serwisu. Widoczne są liczne błędy językowe wskazujące, że tłumaczenie jest robione automatycznie. Elementów sugerujących, że jest to produkt rosyjski jest co nie miara (dociekliwym czytelnikom pozostawiamy analizę kodu źródłowego). Dlaczego złodzieje nie skopiowali po prostu polskiej witryny? To dobre pytanie.

Przestępcy w komunikacji używają automatycznego tłumacza. Komunikują się za pomocą WhatsAppa. Interesujące, że po zakończeniu realizacji scenariusza usuwają wiadomości zawierające linki, które wysyłali do swoich ofiar. Najprawdopodobniej celem jest przedłużenie życia domen, które mogą być wykorzystywane w kolejnych atakach.

Mimo iż w polskiej wersji OLX jest dostępnych wiele metod płatności, to przestępcy ograniczyli się tylko do kradzieży danych kart płatniczych. Prawdopodobnie powodem jest skalowalność ataku – taki sam scenariusz wykorzystywany jest w wielu krajach.

Choć atak jest w swojej logice absurdalny – to w końcu kupujący powinien podawać dane karty, a nie sprzedający, to wiele ofiar daje się złapać. Dlaczego? Być może powodem jest to, że przestępcy zazwyczaj odzywają się chwilę po wystawieniu produktu? Tego nie wiemy, możemy tylko przypuszczać.

Przestępcy też popełniają błędy… Jak tłumaczyć poniższą nagłą zmianę języka? Za dużo jednoczesnych pytań od swoich ofiar? Czy ktoś pomylił okienko translatora z czatem na WhatsAppie?


Zakończenie bez happy endu
Ofiar niestety nie brakuje. Poniżej kilka porad – cytując za OLX-em, który ostrzega na swoim blogu:

Gdy korzystasz z Przesyłek OLX i związanych z nimi płatności – zwróć uwagę, czy adres strony zaczyna się od marketplace.olx.pl/, delivery.olx.pl/ lub przesylki.olx.pl/ (ważny jest każdy znak).
Zawsze zwracaj uwagę, od kogo pochodzi wiadomość – zarówno w przypadku wiadomości e-mail, jak i wiadomości SMS lub wysyłanych w komunikatorach, nazwę nadawcy można dowolnie zmodyfikować (i w ten sposób podszyć się pod prawdziwą firmę).
Czytając daną wiadomość, zastanów się, czy jest to normalna forma komunikacji danej firmy? Czy zwykle dostajesz od niej wiadomości właśnie tą drogą? OLX Polska nigdy nie wyśle ci wiadomości przez WhatsApp.
Czy wiadomość wygląda autentycznie? Czy jest napisana poprawną polszczyzną i nie zawiera literówek lub innych błędów? Czy ton wiadomości brzmi tak, jak w innych komunikatach, które wcześniej dostawałeś od tej firmy?
Jeśli komunikat tworzy poczucie presji, nakłania cię do kliknięcia w podany w nim link – zastanów się dwa razy, zanim w niego klikniesz.

 


0 Komentarzy

Leave a Reply