Klienci sklepu PAWO.pl otrzymują złośliwe SMS-y od przestępców

dodał 10 czerwca 2021 o 17:44 w kategorii Włamania  z tagami:
Klienci sklepu PAWO.pl otrzymują złośliwe SMS-y od przestępców

Gdy dostajemy złośliwe wiadomości, najczęściej nie mamy pojęcia, skąd, kiedy ani w jaki sposób nasze dane wyciekły. Odpowiedzi na te pytania pozostają wieczną tajemnicą. Czasem jednak okoliczności wskazują na możliwe rozwiązanie – i tak jest tym razem.

Jeśli coś wygląda jak kaczka, chodzi jak kaczka, pływa jak kaczka i kwacze jak kaczka, to chyba można pokusić się o wysunięcie hipotezy, że prawdopodobnie jest to kaczka. Ale przejdźmy do szczegółów.

Złośliwe SMS-y

Kilka godzin temu otrzymaliśmy zgłoszenie od jednego z czytelników. Tomasz był klientem firmy PAWO, zajmującej się modą męską, posiadającej kilkadziesiąt salonów w całej Polsce oraz sklep internetowy. Był przyzwyczajony do regularnych SMS-ów z informacjami o promocjach, lecz dzisiaj dostał coś jeszcze. Wiadomość wyglądała tak:

Co ważne, nazwa nadawcy tej wiadomości to PAWO – identycznie, jak w przypadku oryginalnej komunikacji od tej firmy. Powoduje to, że smartfony automatycznie układają wiadomości prawdziwe w jednym wątku z fałszywymi. Wygląda to tak:

Co dzieje się, gdy ofiara kliknie w linka w domenie sl.al? Najpierw jest przekierowana na przejętą stronę, gdzie następnie podejmowana jest próba wyłudzenia od niej danych karty płatniczej oraz autoryzacji (prawdopodobnie) transakcji online lub powiązania karty z wirtualnym portfelem. Wygląda to tak:

Po wprowadzeniu danych pojawia się okienko weryfikacji.

Na kolejnym ekranie jesteśmy proszeni o przepisanie kodu SMS (prawdopodobnie autoryzacja transakcji lub powiązania karty np. z Apple Pay czy Google Pay).

Próba wpisania losowej liczby kończy się komunikatem o błędzie.

Oszustwo wygląda na analogiczne do wielce popularnego schematu „na OLX” – wyłudzenie danych karty, tylko pretekst nieco inny.

Skąd wyciekły dane

Pierwsza osoba, która zgłosiła nam problem, wskazała, że jest klientem firmy PAWO. Skontaktowała się z nami druga osoba, która także otrzymała wiadomość i także jest klientem firmy PAWO. Na stronie PAWO znaleźć możemy ostrzeżenie o ataku.

Podobny komunikat znajduje się na firmowym profilu w serwisie Facebook, gdzie już kilka osób wspomniało, że są klientami firmy i także otrzymali takiego samego SMS-a. Do tej pory nie spotkaliśmy żadnej relacji osoby, która SMS-a otrzymała, a klientem PAWO nie jest. To wskazuje, że najprawdopodobniej na liście ofiar znajdują się głównie lub wyłącznie klienci tej firmy. Czy dane mogły wyciec z innego źródła? Pewnie tak – na przykład pośrednika obsługującego procesy logistyczne czy innego podwykonawcy. Pełną wiedzę na ten temat ma zapewne firma PAWO, lecz niestety do momentu publikacji artykułu nie otrzymaliśmy odpowiedzi na zadane jej pytania.

Epilog?

Warto w tym miejscu przypomnieć historię podobnych ataków na klientów sklepu morele.net, który mimo analogicznych dowodów na źródło wycieku przez wiele dni wypierał te ustalenia i zaprzeczał jakoby to z jego bazy dane trafiły w ręce przestępców. Był to jeden z powodów, dla którego kara nałożona przez UODO była tak wysoka.

Aktualizacja: PAWO na razie zaprzecza, jakoby było źródłem wycieku. Czekamy na rozwój sytuacji.

Aktualizacja 2, 14 czerwca

Otrzymaliśmy oficjalną odpowiedź na nasze pytania, którą cytujemy w całości:

W odpowiedzi na przesłane pytanie na wstępie informujemy, iż w dniu wczorajszym problem dotyczący nieautoryzowanej wysyłki wiadomości tekstowych sms został usunięty i odpowiednio zabezpieczony.

Problem wystąpił po stronie naszego partnera biznesowego, który udostępnia firmie PAWO platformę internetową do wysyłania wiadomości tekstowych i mailowych do Klientów.
Wyjaśniamy, że problem wystąpił wyłącznie na płaszczyźnie numerów telefonów, nie zaś danych osobowych Klientów.
Prowadzimy aktualnie postępowanie sprawdzające zmierzające do ustalenia przyczyn zaistnienia opisanego wyżej stanu rzeczy.