Facebookowi oszuści nie próżnują. Od czytelników dostajemy sygnały o nowej kampanii nabierającej internautów. Tym razem zwabiają nieświadomych zagrożenia użytkowników rewelacyjną ofertą „iPhone 5 komplet sprzedam pilnie” za 750 PLN.
Mechanizm działania oszustów jest podobny do wcześniejszych incydentów tego typu – internauta jest zachęcany do kliknięcia w link, a w rzeczywistości zamawia usługę SMS premium i sam reklamuje stronę oszustów na swoim profilu. Wygląda to tak:
Oszustwo z iPhone 5
lub tak (tutaj VW Golf 4 1.9 tdi za 3700 PLN):
Fałszywe ogłoszenie o sprzedaży Golfa
Kliknięcie w „ogłoszenie” przenosi użytkownika na stronę
http://ogloszenla.pl/oferty/iphone.php
(zwróćcie uwagę na literkę „l” zamiast „i”) gdzie proszony jest o wpisanie kodu captcha, który brzmi – jak widać na powyższym obrazku – „okazja”.
Prośba o kod captcha
Okienko wpisania kodu captcha to, jak się pewnie już domyśliliście, fragment strony Facebooka. Po wpisaniu „kodu” zostajemy przekierowani na nową stronę
http://ogloszenla.pl/oferty/ip.php
gdzie dla odmiany jesteśmy proszeni o wpisanie swojego numeru telefonu.
Kolejny etap oszustwa
W ostatnim kroku strona prosi o podanie otrzymanego SMSem kodu PIN.
Ostatni etap oszustwa
Gratulacje, właśnie włączyliście usługę firmy Badabee za 2,46 PLN dziennie, przy okazji wrzucając linka do niebezpiecznej strony na swoim facebookowym profilu z komentarzem „okazja”.
Jeśli faktycznie daliście się złapać (lub dał się złapać ktoś ze znajomych) to proponujemy pilnie wysłać SMS o treści „STOP BD” pod numer 60235 i usunąć wpis z Facebooka.
Aktualizacja 2013-11-18
Dostaliśmy informację o drugim wariancie ataku – VW Golfie, którego widzicie powyżej. Oszustwo ma jeszcze jedną funkcję – kliknięcie np. na krzyżyk zamykający okienko z propozycją oszustów powodu polubienie profilu Best Vines Polska. Profilu, który lubi już ćwierć miliona użytkowników, a który zebrał w ciągu tygodnia 100,000 fanów.
Best Vines Polska
Sama strona „ogloszenla.pl” powstała ok. 08 listopada, a kampania ruszyła ok. 16 listopada.
Podgląd katalogu serwera
Za informację dziękujemy Rafałowi, Tengo, Pawłowi i Adrianowi.
Komentarze
Możecie panowie podrzucić adres do REGULAMINU usługi ?
http://pl.badabee.com/terms-and-conditions.aspx
na fb tez jest link niby do Golfa 4 za 3.700 http://ogloszenla.pl/oferty/golf.php?fb_comment_id=fbc_173565772841635_276567_174850339379845#f114cf979faefa8
Pozdrowienia dla adminów z ATMANa ;-)
taken@taken:~$ host ogloszenla.pl
ogloszenla.pl has address 91.236.52.103
ogloszenla.pl mail is handled by 10 ogloszenla.pl.
taken@taken:~$ whois 91.236.52.103
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the „-B” flag.
% Information related to '91.236.52.0 – 91.236.55.255′
% No abuse contact registered for 91.236.52.0 – 91.236.55.255
inetnum: 91.236.52.0 – 91.236.55.255
netname: BLUE-LEAF
descr: BLUE LEAF Sp. z o.o.
country: PL
org: ORG-BLSz1-RIPE
admin-c: PC11156-RIPE
tech-c: PC11156-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: ATMAN-MNT
mnt-routes: ATMAN-MNT
mnt-domains: ATMAN-MNT
source: RIPE # Filtered
organisation: ORG-BLSz1-RIPE
org-name: BLUE LEAF Sp. z o.o.
org-type: OTHER
address: BLUE LEAF Sp. z o.o.
address: ul. Piekna 24/26A
address: 00-549 Warszawa
address: POLAND
phone: +48 (22) 100 61 81
admin-c: PC11156-RIPE
tech-c: PC11156-RIPE
mnt-ref: ATMAN-MNT
mnt-by: ATMAN-MNT
source: RIPE # Filtered
person: Piotr Chrostek
address: ul. Piekna 24/26a
address: 00-549 Warszawa
address: Poland
phone: +48 (22) 100 61 81
nic-hdl: PC11156-RIPE
mnt-by: ATMAN-MNT
source: RIPE # Filtered
% Information related to '91.236.52.0/24AS57239′
route: 91.236.52.0/24
descr: BlueLeaf
origin: AS57239
mnt-by: ATMAN-MNT
source: RIPE # Filtered
% Information related to '91.236.52.0/24AS57863′
route: 91.236.52.0/24
descr: BlueLeaf
origin: AS57863
mnt-by: ATMAN-MNT
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.70 (WHOIS1)
z jakiej strony skorzystałeś że uzyskałeś takie info?
Chciałbym dodać, że mi po wpisaniu „okazja” wygenerowało posta z strony „Best vines Poland” i automatycznie polajkowało. Czy to możliwe, że to współgra z sobą?
Best Vines Polska a nie Poland, czytac nie umiesz? https://www.facebook.com/PolskaVines?fref=ts
Zgłaszać ten fanpage do zbanowania…
UWAGA! Kolejna strona z ktorej korzystaja w celu nabicia lajków!
http://vixer.pl/frame/taknie.php
Świetna akcja fanpage znikł. Został zbanowany :D Dzięki wszystkim którzy wzieli w tej akcji udział :D
Najgorsze, że ludzie, którzy się na to nabierają najczęściej nie mają polajkowanych takich stron jak ta lub podobnych. To się nigdy nie skończy. No chyba, że takie media jak Facebook jakoś sprytnie to zablokują.
Facebookowicze, gmailowicze przyzwyczajeni do weryfikowania się smsami bez namysłu wpisują swój nr tel. i otrzymany pin. Jak bardzo by nie nagłaśniać takich oszustw to i tak znajdą się owce które się na to nabiorą. Szkoda że nasza milicja jest niemocna w takich sprawach.