Od półtora roku opisujemy pewien schemat ataku. Schemat, wydawałoby się, prosty – ale najwyraźniej niestety skuteczny. Dzisiaj ujawniono kolejną jego odsłonę – analizujemy i opisujemy, skąd biorą się narzędzia przestępców.
Serwis nbzp opisał scenariusz ataku, w którym ofiara otrzymuje spersonalizowaną wiadomość SMS, prowadzącą na spreparowaną stronę przestępcy. Tam już czeka dobrze nam znany panel udający usługę Dotpaya, który świetnie wspomaga proces okradania Waszych rachunków, Piszemy, jak przebiega oszustwo i gdzie można taki panel kupić.
Skąd my to znamy
Oto widok, na jaki natrafia ofiara po wybraniu linka od przestępcy.
Zdecydowanie nie jest to widok nam obcy. Jest nawet całkiem podobny do innego obrazka sprzed prawie roku:
O atakach „przez Dotpaya” pierwszy raz pisaliśmy półtora roku temu i najwyraźniej metoda dalej działa. Sprawdźmy jednak, jak funkcjonuje oszustwo.
Krok po kroku
Co się stanie, jeśli wybierzecie jeden z banków z listy i spróbujecie „dokonać płatności”? Tu robi się ciekawie. Zostaniecie poproszeni o zalogowanie się do swojego rachunku – wszystkie strony banków zostały skopiowane, niektóre zawierają dane wskazujące, że kopie pochodzą z połowy roku 2017.
Gdy podacie już login i hasło, będziecie musieli dłuższą chwilę poczekać na ich weryfikację.
Wszystko wskazuje na to, że złodzieje sprawdzają poprawność podanych danych do logowania. Wiewiórki donoszą nam, że tak było też w poprzednich kampaniach. Czas potrzebny na weryfikację sugeruje, że albo mają baaardzo wolne proxy, albo ktoś siedzi i pieczołowicie loguje się konto po koncie. Gdy podacie nieprawidłowe dane, otrzymacie następujący komunikat:
Gdy jednak podacie dane prawidłowe,to przestępcy zdefiniują na Waszym rachunku przelew zaufany, a Wam wyświetlą prośbę na przykład o akceptację nowych warunków używania rachunku – poprzez przepisanie kodu SMS. Kto nie czyta treści wiadomości SMS, ten przepisze, żegnając się ze swoimi pieniędzmi.
Jeśli z kolei nie wybierzecie swojego banku lub będzie z jakiegoś powodu niedostępny, to traficie na panel płatności kartą. Tam scenariusz jest prosty – kończy się po podaniu danych i przekazaniu ich przestępcom.
Skąd te strony
Okazuje się, że polskie podziemie internetowe także się profesjonalizuje i dzieli pracą. W sieci znaleźć można ofertę, wystawioną na forum Cebulka w grudniu 2017 przez niejakiego Hochwanderka, która wygląda tak:
Pełny tekst ogłoszenia zawiera kilka ciekawostek:
Czesc, sprzedam bramke platnosci wraz z fake strona dotpay.pl jak dziala?
https://niebezpiecznik.pl/post/nie-opla … imilarpost
https://niebezpiecznik.pl/post/przekret … ze-na-olx/
https://zaufanatrzeciastrona.pl/post/uw … a-bankowe/
Z3s ladnie pisze, koniecznego nie lubie.
Bramka posiada wszystko co potrzebujesz do przejecia konta bankowego tak by wyplacic z niego pieniadze.
Bramka wpisany kod sms potrzebny do wykonania przelewu lub nadawcy zdefiniowanego automatycznie wysyla do administratora, ewentualnie do .txt jak kto woli.
Bramka jest odciazona czyli nie posiada zbednych smieci, nie ma glupot ktore zamulaja admina lub ofiare. Przechwytuje dane do logowania kod sms i ladnie dziekuje za platnosc. Wszystko sie robi samo.
Bramka obsluguje wiekszosc uzytecznych bankow, ale na zyczenie moge dodac jakis bank tylko kto majacy sensowne pieniadze zaklada konto w skoku w pierdziszewie gornym?
Jesli masz odrobine mozgu i socjotechniki to bramka daje mozliwosc produkcji kont na nieswiadomych slupow ktore wytrzymuja duzo dluzej niz konto na meneli otwarte 3 miesiace wczesniej.
Moja oferta jest skierowania glownie do osob ktore pracuja dla pewnej osoby za drobniaki i dostaja w zamian kilka procent tego co zarobili. Zamiast byc bialym murzynem zostan sam sobie szefem i nie daj sobie wkladac siusiaka w pupe :)
Ile takie cos zarabia? raz malo a raz duzo. Jesli wplate robi idiotka ktorej oddajesz za darmo wozek dla dziecka to 100-500zl. Jesli wplate robi osoba ogarnieta, to raz na 2-3 dni pracujac samemu 7-12k wpadnie.
Kase zrzucasz na przejety przez siebie wczesniej rachunek, dogadujesz sie z kims o bankierke lub zrzucasz na gielde do wyboru do koloru.
Bramka bedzie posiadac opcje rozsylania wiadomosci na olx z losowym odstepem czasowym do ludzi ktorzy odpowiedzieli na wiadomosc, a w przypadku podania maila bedzie wysylac link do platnosci mailem automatycznie. To jest w cenie, mysle ze w polowie stycznia ukonczone bedzie.
Wrzuce na hosting, kupie domene skonfiguruje wytlumacze i takie tam.
Podchody by otrzymac link i doniesc do certu albo wycisnac cos za friko beda bluzgane :)
Cena 10k za mniej z fotela nie wstaje a promocji nie bedzie. Nie wynajmuje za procent, ani nie szukam pracownikow. Jesli nie chcesz kupic albo nie masz kasy to szanujmy swoj czas.
Cebulke kocham wiec na escrow dam zarobic.
oraz komentarz tego samego autora:
Ze starej ekipy po dzis dzien sa ludzie ktorzy siedzac dzien i noc bez mozliwosci rozmow telefonicznych potrafia trzaskac po 15k tygodniowo ze smiesznego olxa, wiec skads idiotow musza brac a wyjebkowe sklepy aukcje i inne cuda z dokladnymi opisami dzialania kraza od lat po internecie. Dam taki przyklad: kobiecina robi prezent mezowi placac jego wlasnymi pieniedzmi. Rano maz wchodzi na konto a tam stan konta zero zlotych, przelewu cofnac sie nie da, rachunek drop mozna blokowac ale po co skoro juz kasa dawno na btc zamieniona. takich sytuacji opisywac mozna do rana, handlarze to idioci i pazerne janusze. Saldo grubo ponad 30k a on sie targuje o 2 stowki na olxie, pozniej placz i grozby na mailu bo go okradli. A powiem ciekawostke, ci idoci wyzywaja kuriera a nie mnie bo to przeciez kurier im pobral z konta.
Wklejam screena zebys mi nie powiedzial ze bajki opowiadam. Screenow z konta drop robic nie bede bo jeszcze stoi, ale musisz mi uwierzyc na slowo harcerza. moje prywatne dane wyciete ze screena. kont na godzine srednio ogarniety czlowiek robi 1-5 a saldo na nich zalezy w jaka grupe docelowa trafiasz.
poparty takim oto zrzutem ekranu:
Wygląda zatem na to, że biznes się całkiem nieźle kręci.
Kilka ciekawostek
Sam opisywany panel został postawiony ok. 6 lutego i skonfigurowany lub poprawiony ok. 12 lutego – zatem dwa dni temu. Autor tego oszustwa najwyraźniej korzystał z cudzego szablonu (być może kupionego z wyżej pokazanego ogłoszenia), ponieważ w kodzie można znaleźć kilka fragmentów nie pasujących do tego scenariusza. Wśród nich między innymi można znaleźć odwołanie do adresu
https://oplata351.pl/payment3637846745/demo/start.html
Co ciekawe, domena oplata351.pl faktycznie jest zarejestrowana 22 listopada 2017 (ogłoszenie Hochwanderka jest z 20 grudnia) i mogła być stroną „demonstracyjną”, gdzie pokazywał klientom swój wspaniały produkt. Aktualnie serwer nie odpowiada – wcześniej schowany był za Cloudlfare. Identyczną ścieżkę można było także znaleźć w listopadzie pod adresem
https://rozliczeniedp.pl/payment3637846745/
Inne ślady wskazują na to, że analogiczne kampanie trwają bez większych przerw od wielu miesięcy. Niestety najwyraźniej są skuteczne – dlatego przekażcie linka znajomym, by ograniczyć liczbę potencjalnych ofiar przestępców.
Komentarze
heh oby takie typy trzymały wszystko w BC bo niedługo spadek będzie i się popłaczą.
Nie będzie spadków, więc nie stracą a nawet zarobią. Będą nawet wzrosty.
Blik + czytanie co akceptuje i po sprawie.
Artykuł napisany ciekawie, daje sporo do myślenia, natomiast dziwi mnie sposób doboru jego tematu; sformułowanie „wszyscy oszukują dotpay” jest po prostu niedorzeczne.
Przeczytaj tytuł jeszcze raz. Tam nic nie ma o oszukiwaniu dotpaya.
Haha,
Dawno się tak nie uśmiałem czytając newsy bezpieczników, autor rozwiązania rozbraja do łez i pisze samą prawdę :)
„Z3s ladnie pisze, koniecznego nie lubie.” xddddd
Serio? Podał wartość konta?
Uzgodnione saldo tj. załączony na screenie widok z konta, jego stan + widok blokad to wystarczająco żeby przy pewnym wysiłku dojść czyje to konto. Nawet jeżeli to saldo ze środka dnia, da się zrobić rewerse na transakcjach i odnaleźć to jedyne.
W szczególności że do cross-matching’u jest dostępna wartość blokady :D
Do „cross-matchingu” masz nawet więcej danych. Wiesz, że gość nie składał wniosku 500+ i nie ma konta walutowego. Też mnie dziwi, ze podał taki zrzut ekranu, bo biorąc pod uwagę, że nie jest to bank z największą ilością klientów i widać dokładne saldo, blokady i 500+ – identyfikacja będzie prosta.
ale on przecież podaje zrzut z konta na słupa, już dawno zablokowane zapewne po zgłoszeniach. takie konta żywotność mają raczej ograniczoną i przez te oszustwa teraz banki blokują konta firm działających na rynkach kryptowalut :/
jesli typ nie jest glupi to na pewno zmienil w paincie kila cyferek zanim wrzucil screena
Wierzysz komuś kto oszukuje że dał screena bez podratsowania czytaj oszustwa?
czyli czemu wszyscy oszukują na Dotpaya?
Początku nie rozumiem „…scenariusz ataku, w którym ofiara otrzymuje spersonalizowaną wiadomość SMS…”
ale niby z jakiej Przyczyny otrzymuje :)
w Matrixie jest tylko jedna stała … Przyczyna i skutek
Akcja i Reakcja
hmmm
Z takiej że autor ataku tak postanowił.
Dziś moja żona otrzymała sms-a o następującej treści „Nieuregulowanie zadłużenia w kwocie 5 zł spowoduje zablokowanie połączeń wychodzących. Link do płatności ważny 2h”. Link przekierowywał do strony płatności dotpay, takiej samej jak w artykule ale dotyczył oczywiście 5 zł.
„Z3s ladnie pisze, koniecznego nie lubie. [link] [link] [link]”
Szkoda że cebulka, inaczej byłoby ładnie widać osoby które weszły po kolei na te trzy linki :P.