Uwaga na okazyjne zakupy prowadzące do wyczyszczenia konta

Chciwy dwa razy traci – choć to przysłowie znane jest wielu internautom, to rzadko kto odnosi je do siebie. Niestety wykorzystują to przestępcy, którzy dzięki prostym sztuczkom potrafią namówić ludzi do oddania dostępu do ich konta w banku.

Na naszym krajowym rynku (cyber)przestępców pojawiła się nowa grupa oraz nowy scenariusz okradania. Modus operandi przestępstwa wydaje się niezbyt skomplikowany, jednak jego prostota i sprytne zabiegi socjotechniczne sprawiają, że jest niepokojąco skuteczny.

Dobra oferta

Od 24 sierpnia na wielu lokalnych grupach Facebooka, portalach sprzedajemy.pl i OLX zaczęły pojawiać się – na pozór atrakcyjne – ogłoszenia sprzedaży. Ceny przedstawianych produktów są wyraźnie zaniżone. Zauważyliśmy do tej pory ponad 20 różnych ogłoszeń, m.in.:

  • iPhone 7 (czarny) 128Gb,
  • głośniki JBL niebieskie,
  • PS4 Slim 1Tb 4pady 22Gry!,
  • iPhone 11.

Najczęściej przestępcy kuszą swoje ofiary iPhone’em 7 za symboliczne 100 zł. Dlaczego tak tanio? Bo sprzedający twierdzi, że już nie potrzebuje telefonu i lepiej jak jakiś porządny człowiek go będzie używał. W zasadzie brzmi wiarygodnie. Jak już jest zbędny… to chociaż za 100 zł.

W przypadku głośników ułożono historię z nietrafionym prezentem, przy PS4 nie włożono aż tyle wysiłku.

Ogłoszenia wystawiane są jednocześnie w kilku miejscach, jednak każdorazowo tworzony jest inny profil sprzedającego. Próżno szukać informacji o sprzedających, opinii, komentarzy czy reputacji. Kontakt ze sprzedającym odbywa się poprzez wiadomości SMS.

Rozmowa i potwierdzenie legendy

Potencjalni kupujący (a wkrótce ofiara) może jedynie skontaktować się SMS-em na numer podany w ogłoszeniu. I tu pierwsze zaskoczenie – już w pierwszej wiadomości rozmówca wskazuje inny numer telefonu do dalszej rozmowy, uzasadniając to brakiem doładowania telefonu. Z perspektywy całości operacji taki zabieg może mieć na celu utrudnienie śledzenia przebiegu komunikacji. Może też wskazywać na podział ról po stronie zorganizowanej grupy. Można się też spodziewać, że gdy kupujący wszedł w interakcję ze sprzedającym, to będzie bardziej zdeterminowany, by kupić np. iPhone’a. To oznacza, że jego czujność została uśpiona na tyle, że można coraz bardziej nim manipulować. Ofiara dowiaduje się, że nie musi od razu płacić za telefon (czy inny przedmiot). Sprzedający chętnie wyśle towar za pobraniem do obejrzenia. Jedyne, co trzeba zrobić, to zapłacić symboliczne 13 zł za koszty wysyłki. Brzmi wiarygodnie i jeszcze bardziej usypia czujność. Ryzyko oszustwa czy kradzieży wydaje się zminimalizowane – czym jest 13 zł… Na koniec pojawia się jeszcze jeden zabieg legitymizujący transakcję – sprzedający chce oprzeć operację o mechanizmy popularnego serwisu „Allegro lokalnie” i wysyła w wiadomości link do strony z ofertą kupna przedmiotu za 13 zł na portalu.

Zakupy

W rzeczywistości link prowadzi do fałszywej strony, imitującej działanie oryginalnego serwisu. Do tej pory przestępcy posługiwali się poniższymi fałszywymi domenami:

  • hxxp://allegrolokalnie[.]website
  • hxxp://allegrolokalnie[.]com
  • hxxp://oglosznie-elektroniczne[.]host
  • hxxps://oglosznie-elektroniczne[.]name
  • Treść ogłoszenia zgadza się ustaleniami, więc kupujący wybiera jedyną możliwą opcję „Kup teraz” i płaci 13 zł za przesyłkę. Uruchamia się nakładka, może więc wybrać swój bank – prawie jak w oryginale. Prawie robi jednak różnicę. Możliwa opcja płatności to tylko „Szybki przelew” (mimo wyświetlenia innych opcji) oraz dostępne są tylko wybrane banki. W tym ataku cyberprzestępcy przygotowali scenariusz tylko na klientów poniższych banków:
    • Millennium Bank,
    • Bank Pekao S.A.,
    • PKO (iPKO),
    • ING,
    • Alior Bank,
    • Santander Bank Polska (Przelew24),
    • mBank (mTransfer),
    • Getin Bank.

Bank czy nie bank – oto jest pytanie

Po wybraniu banku ofiara trafia na stronę wyglądającą jak serwis szybkich płatności w jednym z powyższych 8 banków. Przestępcy uruchamiają przygotowany portal w domenie zbliżonej do nazwy wybranego banku. Dla przykładu dla Banku Santander były to:

  • hxxp://santander24[.]online
  • hxxp://santanderonline24[.]ru
  • hxxp://przelew24santander[.]site
  • hxxp://santanderbank24[.]online

Czasem przestępcy nie przygotowują szczególnej domeny, tylko odsyłają bezpośrednio na serwer z fałszywą stroną. Wtedy ofiara trafia na adresy podobne do poniższych:

  • ce88147.tmweb[.]ru/pay/index.php?pay
  • cy11366.tmweb[.]ru/pay/index.php?pay
  • ci60341.tmweb[.]ru/pay/index.php?pay
  • cg89529.tmweb[.]ru/santander/pay/index.php?pay
  • ce69801.tmweb[.]ru/santander/pay/index.php?pay

Serwisów imitujących płatności zarejestrowano do tej pory 66. Więcej można znaleźć, korzystając poniższego wyszukiwania w serwisie urlscan.io:

https://urlscan.io/result/1791fc57-f159-464c-91d1-ab3f84a3c448/related/

Przestępcy upodobali sobie rosyjskiego dostawcę usług hostingowych tmweb[.]ru, który zarządza ukraińskim AS9123 (TIMEWEB-AS).

Ofiara, która dotarła do tego miejsca i nie spostrzegła pułapek, zrealizuje scenariusz przestępstwa. Wizualnie strona płatności wygląda całkiem wiarygodnie, numer rachunku PayU i nazwa transakcji są zgodne ze schematem nazw PayU. Ofiara wprowadza swój identyfikator do bankowości elektronicznej, na kolejnym ekranie hasło, a na następnym wpisuje kod otrzymany w wiadomości SMS.

Tu oszustwo się kończy
Zdeterminowany kupujący wykonał płatność, choć w istocie przekazał dostęp do swojego konta przestępcom. Wystarczy ten jeden SMS, by przestępcy mogli zarządzać finansami swojej ofiary. Co się dzieje dalej? To już tajniki operacyjne banków oraz przestępców.

Jak nie dać się złapać
Opisana historia pokazuje, jak przygotowany jest scenariusz pod przestępstwo. Mimo że wydaje się prosty, to jednak zawiera kilka elementów, które sprawiły, że ofiary dają się oszukiwać.

Jak się chronić?

Nie wierzcie w tak niesamowite oferty, jak iPhone za 1 zł, 13 zł czy nawet 100 zł – nie dajcie się zwieść.
Zwróćcie uwagę na stronę (jej adres), na której znajduje się ogłoszenie, a w szczególności stronę, na której wpisujecie dane dostępowe do waszej bankowości.
Zachowajcie szczególną ostrożność, gdy nieznajomy prześle wam link SMS-em lub komunikatorem.
Każda literówka czy błąd językowy – w komunikacji ze sprzedającym lub stronie WWW – powinny być powodem do podejrzeń i dodatkowej weryfikacji.
Jeżeli czujecie, że coś w waszej transakcji jest niepokojącego, że może jednak to oszustwo, zadzwońcie szybko do banku. Przestępcy potrzebują kilku minut na wyczyszczenie konta.

 

Strona główna

Umówienie wizyty

Umówienie serwisu online

Kontakt

 


0 komentarzy

Leave a Reply