Czego nie chcą Wam powiedzieć w Morele.net i kto teraz ma Wasze dane

dodał 18 grudnia 2018 o 16:17 w kategorii Info, Wpadki  z tagami:
Czego nie chcą Wam powiedzieć w Morele.net i kto teraz ma Wasze dane

Wielu polskich internautów dowiedziało się dzisiaj, że ich dane wyciekły ze sklepu Morele.net. Sklep nie udziela poszkodowanym dodatkowych informacji, więc spróbujemy go w tej roli trochę zastąpić – bo podejrzewamy, że wiemy coś o incydencie.

Poniżej przytoczymy fakty oraz naszą ich interpretację. Niestety nie mamy pełnego obrazu sprawy – jeśli wiecie coś więcej, będziemy wdzięczni za dodatkowe informacje. Tymczasem wróćmy do listopada, kiedy to prawdopodobnie wszystko się zaczęło.

Tajemnicze SMS-y

Oszuści korzystający z fałszywych paneli płatności Dotpay (a ostatnio także PayU) coraz bardziej panoszą się w sieci. Regularnie opisujemy ich poczynania, a oni szukają nowych sposobów namawiania internautów na oddanie im wszystkich swoich pieniędzy. I są w tym niestety bardzo skuteczni.

Podstawą dobrego oszustwa jest wiarygodność. Co może być wiarygodniejszego od otrzymania wiadomości dotyczącej właśnie wykonanych zakupów internetowych? To właśnie stało się w okolicy 21-22 listopada. Opisaliśmy wtedy, jak klienci Morele.net dostają SMS-y od oszustów w kilka godzin po dokonaniu zakupów. Wiadomości wyglądały tak:

Link prowadził do strony oszustów:

Tam z kolei wyłudzano od użytkowników najpierw login i hasło do banku, a potem kod autoryzujący transakcję.

To nie my!

Z uwagi na wysoką korelację momentu zakupu w Morele.net z otrzymaniem SMS-a (mieliśmy kilka zgłoszeń klientów, którzy dostawali wiadomości w czasie krótszym niż 24h od zakupu) i brakiem przypadków, gdzie wiadomość trafiłaby do kogoś, kto zakupów nie zrobił, wnioski były oczywiste – z Morele.net wyciekają dane klientów i ich zakupów. Jednak Morele.net z tym wnioskiem długo nie potrafiły się pogodzić.

Pod adresem WWW https://www.morele.net/wiadomosc/uwaga-na-sms-y-proszace-o-doplate-1-pln-do-zamowienia-w-sklepach-grupy-morele/12319/ przez wiele dni widniał komunikat opisujący wyżej wskazane ataki. Obecnie strona wydaje się usunięta. Jeszcze wczoraj tam była (tu kopia), chociaż jej treść była już inna niż 23 listopada. Około 6 grudnia z wpisu zniknęła między innymi linijka mówiąca tak:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.

Na Wykopie oficjalne konto Morele.net tak ratowało sytuację:

Zła informacja jest taka, że podobny problem spotka Klientów również innych sklepów. Prawdopodobnie wyciekła baza dużego operatora logistycznego, który obsługuje wszystkie sklepy, i mamy już informacje, że podobny problem wystepuje u innych.

Jak udało się nam dowiedzieć, Morele.net przez pewien czas były przekonane, że dane faktycznie wyciekają od jednego z partnerów logistycznych. Zmiana dostawcy nie wpłynęła jednak na zakończenie incydentu. Problem tkwił w tym, że jedyne zgłoszenia tego rodzaju, jakie otrzymywaliśmy, dotyczyły właśnie Morele.net. Nie znamy żadnego przypadku innego sklepu, którego klienci od razu po zakupie dostawaliby SMS-y od złodziei.

Pośrednio potwierdzamy

Morele.net – po zmodyfikowaniu, a następnie usunięciu oryginalnego komunikatu – w końcu najwyraźniej dotarło do źródła wycieku informacji, ponieważ od północy rozsyłało do dziesiątek (jak nie setek) tysięcy klientów taką oto wiadomość:

Jej kluczowy fragment brzmiał:

Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.

co pośrednio wiąże wyciek z incydentem opisywanym powyżej. Niestety próba uzyskania jakichkolwiek dodatkowych informacji od Morele.net kończy się standardowym komunikatem:

Jesteśmy w stałym kontakcie z Policją i prowadzone są czynności dochodzeniowe w celu ustalenia przyczyn nieuprawnionego dostępu. Na chwilę obecną nie możemy podać więcej szczegółów. Pragniemy jednak zapewnić, że… (i tu więcej standardowych formułek)

Niestety możemy się spodziewać, że cała baza klientów sklepu trafiła w ręce grupy zajmującej się oszustwami, zatem nikogo nie powinny zaskoczyć kolejne nadużycia z jej wykorzystaniem.

Będzie tego więcej

Oszustwa z użyciem fałszywego panelu płatności rosną w siłę i nie będzie lepiej. Przestępcy zarabiają na nich ogromne pieniądze, a w grze pojawiają się kolejne grupy zainteresowane szybkimi i łatwymi zyskami. Panel Dotpaya można kupić, jednak warto zauważyć, że tylko wykwalifikowani przestępcy potrafią go wykorzystać do skutecznej kradzieży. Nie stoi to na przeszkodzie temu, by kradzieżami zajmowali się także amatorzy – oszustw można dokonywać nawet w modelu FPDaaS (Fałszywy Panel Dotpaya as a Service), gdzie przestępczy narybek zajmuje się naganianiem ofiar, a fachowcy czyszczeniem ich rachunków. To sprawia, że liczba oszustw regularnie rośnie. I będzie ich więcej, skoro w sieci można znaleźć takie ogłoszenia:

Przypomina Wam to jakąś historię? Nam niestety też. Jeśli chcecie utrudnić zadanie przestępcom, każcie wszystkim swoim znajomym z dostępem do internetu przeczytać dokładnie ten artykuł, gdzie opisujemy mechanizm oszustwa. Zgłaszajcie też nam wszystkie podobne przypadki – my wiemy, co z nimi dalej zrobić.

Na pożegnanie jeszcze jeden zrzut ekranu – już bez komentarza (zwróćcie uwagę na daty):