18.02.2018 | 00:14

Adam Haertle

Miało być oszustwo na SMS Premium, a była kradzież danych karty kredytowej

Czasem gdy dociera do nas Wasze zgłoszenie dotyczące potencjalnego oszustwa wydaje się nam, że wiemy, co będzie dalej. Potem sprawdzamy i okazuje się, że dalej jest coś zupełnie innego. Oto taki właśnie przypadek.

Analizowaliśmy ostatnio sporo oszustw, których celem było wyłudzenie wiadomości SMS Premium. Dlatego gdy zobaczyliśmy na Wykopie wpis użytkownika RaitoKun (dzięki za zgodę na wykorzystanie zrzutu ekranu!), pomyśleliśmy, ze warto przyjrzeć się temu przypadkowi. Okazuje się jednak, że żadne SMSy w tym procesie oszustwa nie zostały skrzywdzone.

Zrezygnuj z usługi, której nie zamawiałeś

Wydawało się nam, że początek prowadzi w jedną stronę. RaitoKun otrzymał SMSa (prawdopodobnie z internetowej bramki) z taką oto informacją:

Cool Gry Premium: Potwierdzamy uruchomienie uslug na numerze [tu numer] oplata pobierana 3x tydzien. Bezplatna rezygnacja na stronie: www.cooldezaktywacja.pl

Naszą pierwszą myślą było „Pewnie by bezpłatnie zrezygnować trzeba wysłać SMSa za 30 PLN”. Sprawdziliśmy – i nie trzeba.

Krok po kroku

Poniżej znajdziecie dokładny opis tego, co dzieje się na stronie przestępcy. Trafiamy na bardzo przyzwoicie wykonaną stronę WWW:

Domena została zarejestrowana kilka dni wcześniej, strona stoi na współdzielonym hostingu, w kodzie nie znajdujemy żadnych elementów pomagających wskazać tożsamość twórcy ani żadnego powiązania z usługami SMS Premium.

Gdy wpiszecie numer telefonu (użyliśmy jednego z naszych testowych) traficie na kolejną witrynę.

Tu spodziewaliśmy się SMSa, jednak żaden nie dotarł. Gdy jednak wpiszecie w pole dowolny kod o długości między 4 a 6 znaków, okazuje się, że można przejść dalej.

Niespodzianka! Mamy nieuregulowaną płatność. Jak dobrze, że można ją uregulować kartą płatniczą!

Wystarczy podać wszystkie dane a ktoś z karty pobierze zaledwie 6,15 PLN. Niedrogo jak za pozbycie się problemu.

Jeszcze tylko przepiszemy kod PIN. Dwa razy. Dowolny.

I w końcu usługa wyłączona, uff.

O co w tym chodzi

Czy celem przestępców było wyłącznie wyłudzenie danych karty płatniczej? Być może, jednak konieczność dwukrotnego przepisywania nieistniejącego kodu na ostatnim etapie budzi nasze wątpliwości. Szablon wygląda jak przygotowany jednak do integracji z dostawcą usług SMS Premium. Wtedy scenariusz wyglądałby tak:

  • krok pierwszy – wyłudzenie subskrypcji SMS Premium,
  • krok drugi – wyłudzenie danych karty płatniczej,
  • krok trzeci – wyłudzenie jeszcze dwóch subskrypcji SMS Premium.

Ta wersja wygląda dużo bardziej realistycznie – lecz z jakiegoś powodu albo nie została zaimplementowana, albo była zaimplementowana w momencie uruchomienia strony (ok. 13. lutego) lecz została skrupulatnie usunięta.

Niestety naszej analizy nie możemy zakończyć tym, co lubimy najbardziej, czyli zgłoszeniem oszustwa do wszystkich pośredników obsługujących proces wyłudzenia, by odciąć złodzieja od ukradzionych pieniędzy. Tu żadnych pośredników nie ma, a jedynym punktem oszustwa jest wspomniana strona WWW. Chyba że macie inne pomysły – zapraszamy do współpracy w szczytnym celu.

Powrót

Komentarze

  • 2018.02.18 04:13 Maciek

    Czyli nie trzeba odpowiadać na tego sms’a? Nie trzeba nic wyłączać? Nie będą naliczane żadne koszty?

    Odpowiedz
    • 2018.02.18 14:57 gron

      Nie. Nie da się ot tak zostać zapisanym na płatną usługę bez weryfikacji. Jeśli dostajesz info o zapisaniu na płatną usługę, a nie przepisywałeś nigdzie kodów weryfikacyjnych itp. z tego samego nr telefonu, to ktoś wprowadza Cię w błąd.

      Za to jeśli ktoś każe Ci przepisać z telefonu jakiś kod, to być może właśnie próbuje Cię zapisać na swoją płatną usługę.

      Odpowiedz
      • 2018.02.20 09:47 Jarek

        „Nie. Nie da się ot tak zostać zapisanym na płatną usługę bez weryfikacji” – Nie tak do końca. Poczytaj o metodzie WAP billing gdzie wystarczy kliknąć w odpowiedni link aktywacyjny, a zapis do prenumeraty odbędzie się już automatycznie.

        Odpowiedz
  • 2018.02.18 10:39 Jacel

    Dobrze, że opisujecie takie praktyki. Mam pytanie – często na screenach widać różne wtyczki – czy zrobicie kiedyś artykuł nt. wtyczek pomocnych w ochronie bezpieczeństwa, i wtyczek pomocnych w analizowaniu zagrożenia?

    Odpowiedz
  • 2018.02.18 16:09 Adrian

    „Niestety naszej analizy nie możemy zakończyć tym, co lubimy najbardziej, czyli zgłoszeniem oszustwa do wszystkich pośredników obsługujących proces wyłudzenia (…)”
    A wyłudzenie numeru karty?!

    Odpowiedz
    • 2018.02.18 16:12 Adam

      A do kogo many to zgłosić?

      Odpowiedz
      • 2018.02.18 16:29 Adrian

        Do hostingu? Służb?

        Odpowiedz
        • 2018.02.18 16:42 Adam

          Zgłaszamy tylko tam, gdzie ma to szansę odnieść jakikolwiek skutek. Hosting – nawet jeśli konto zamknie (a często po prostu zgłoszenie zignoruje lub zażąda postanowienia prokuratorskiego), to nic nie szkodzi przestępcy, który sobie przeniesie stronę gdzie indziej. A jeśli chcesz spędzić kilka godzin na komisariacie by się dowiedzieć, że przestępstwo ścigane jest na wniosek poszkodowanego… To miłej zabawy :

          Odpowiedz
          • 2018.02.18 16:48 Adrian

            No offence Adam – teoretyzuję z amatorskiego poziomu, z (jak widać mylnym) przeświadczeniem, że rzetelni i niegarażowi hostingowcy reagują na takie zgłoszenia.

          • 2018.02.18 17:36 Adam

            None taken. Doświadczenie wskazuje że albo słabo reagują, albo skutek jest znikomy. Ale każdy może zgłosić :)

  • 2018.02.18 18:41 Xxx

    Kiedy ktos sie w koncu wezmke za te przekrety? Sms-y pfemium powinny calkowicie zniknac z rynku.

    Odpowiedz
  • 2018.02.18 19:59 rafal 06

    Moim zdaniem chcieli wyłudzić w jakiś niewiadomy sposób dane do konta bankowego. :-C :-/

    Odpowiedz
  • 2018.02.18 20:02 Maks

    Jeśli wybierzemy Bank Pekao, to zamiast o pin z banku zapyta o dane logowania. Może chodziło o 3D Secure?

    Odpowiedz
  • 2018.02.19 06:54 Luke

    Nie chcę się czepiać, ale konkurencja pisała o tym już 10 dni temu :)

    Odpowiedz
    • 2018.02.19 08:14 Adam

      Nie czepiasz się. Mamy nadzieję że w drugą stronę też zwracasz uwagę i komentarze przechodzą ;)

      Odpowiedz
      • 2018.02.20 17:15 Luke

        No, jeszcze nie zauważyłem żeby pisali z tygodniowym opóźnieniem… ale obiecuję, że jeśli zobaczę, nie omieszkam skomentować :)

        Odpowiedz
  • 2018.02.19 08:28 uwolnic_czaksa

    Dostałem tego smsa pod koniec stycznia z bramki sms. Z początku myślałem, że ktoś wykorzystał w niej jakąś lukę i z jej pomocą faktycznie mi taką usługę zamówił. Ale podobnie przeklikałem się przez stronkę, tylko za pomocą losowych, błędnych danych i doszedłem do wniosku, że jakiś dziwaczny scam/phishing. Wtedy to była stopusluga.pl w nieśmiertelnej nazwie zarejestrowana 2 dni przed wysłaniem smsa. Nie jestem pewien, ale wydaje mi się, że wtedy nie było opcji płatności kartą a jedynie sms. Natomiast była z pewnością jeszcze inna- wypełnianie jakichś ankiet i klikanie w reklamy. Myślałem o podesłaniu info na z3s, ale uznałem to wszystko za tak głupią kampanię, że pewnie zostałaby uznana za niewartą opisywania i zaliczę tylko kompromitację brakiem artykułu :p

    Odpowiedz

Zostaw odpowiedź do Luke

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Miało być oszustwo na SMS Premium, a była kradzież danych karty kredytowej

Komentarze