szukaj

14.02.2018 | 23:00

avatar

Adam Haertle

Nowy atak na konta bankowe, czyli czemu wszyscy oszukują na Dotpaya

Od półtora roku opisujemy pewien schemat ataku. Schemat, wydawałoby się, prosty – ale najwyraźniej niestety skuteczny. Dzisiaj ujawniono kolejną jego odsłonę – analizujemy i opisujemy, skąd biorą się narzędzia przestępców.

Serwis nbzp opisał scenariusz ataku, w którym ofiara otrzymuje spersonalizowaną wiadomość SMS, prowadzącą na spreparowaną stronę przestępcy. Tam już czeka dobrze nam znany panel udający usługę Dotpaya, który świetnie wspomaga proces okradania Waszych rachunków, Piszemy, jak przebiega oszustwo i gdzie można taki panel kupić.

Skąd my to znamy

Oto widok, na jaki natrafia ofiara po wybraniu linka od przestępcy.

Zdecydowanie nie jest to widok nam obcy. Jest nawet całkiem podobny do innego obrazka sprzed prawie roku:

O atakach „przez Dotpaya” pierwszy raz pisaliśmy półtora roku temu i najwyraźniej metoda dalej działa. Sprawdźmy jednak, jak funkcjonuje oszustwo.

Krok po kroku

Co się stanie, jeśli wybierzecie jeden z banków z listy i spróbujecie „dokonać płatności”? Tu robi się ciekawie. Zostaniecie poproszeni o zalogowanie się do swojego rachunku – wszystkie strony banków zostały skopiowane, niektóre zawierają dane wskazujące, że kopie pochodzą z połowy roku 2017.

Gdy podacie już login i hasło, będziecie musieli dłuższą chwilę poczekać na ich weryfikację.

Wszystko wskazuje na to, że złodzieje sprawdzają poprawność podanych danych do logowania. Wiewiórki donoszą nam, że tak było też w poprzednich kampaniach. Czas potrzebny na weryfikację sugeruje, że albo mają baaardzo wolne proxy, albo ktoś siedzi i pieczołowicie loguje się konto po koncie. Gdy podacie nieprawidłowe dane, otrzymacie następujący komunikat:

Gdy jednak podacie dane prawidłowe,to przestępcy zdefiniują na Waszym rachunku przelew zaufany, a Wam wyświetlą prośbę na przykład o akceptację nowych warunków używania rachunku – poprzez przepisanie kodu SMS. Kto nie czyta treści wiadomości SMS, ten przepisze, żegnając się ze swoimi pieniędzmi.

Jeśli z kolei nie wybierzecie swojego banku lub będzie z jakiegoś powodu niedostępny, to traficie na panel płatności kartą. Tam scenariusz jest prosty – kończy się po podaniu danych i przekazaniu ich przestępcom.

Skąd te strony

Okazuje się, że polskie podziemie internetowe także się profesjonalizuje i dzieli pracą. W sieci znaleźć można ofertę, wystawioną na forum Cebulka w grudniu 2017 przez niejakiego Hochwanderka, która wygląda tak:

Pełny tekst ogłoszenia zawiera kilka ciekawostek:

Czesc, sprzedam bramke platnosci wraz z fake strona dotpay.pl jak dziala?

https://niebezpiecznik.pl/post/nie-opla … imilarpost

https://niebezpiecznik.pl/post/przekret … ze-na-olx/

https://zaufanatrzeciastrona.pl/post/uw … a-bankowe/

Z3s ladnie pisze, koniecznego nie lubie.
Bramka posiada wszystko co potrzebujesz do przejecia konta bankowego tak by wyplacic z niego pieniadze.
Bramka wpisany kod sms potrzebny do wykonania przelewu lub nadawcy zdefiniowanego automatycznie wysyla do administratora, ewentualnie do .txt jak kto woli.
Bramka jest odciazona czyli nie posiada zbednych smieci, nie ma glupot ktore zamulaja admina lub ofiare. Przechwytuje dane do logowania kod sms i ladnie dziekuje za platnosc. Wszystko sie robi samo.
Bramka obsluguje wiekszosc uzytecznych bankow, ale na zyczenie moge dodac jakis bank tylko kto majacy sensowne pieniadze zaklada konto w skoku w pierdziszewie gornym?
Jesli masz odrobine mozgu i socjotechniki to bramka daje mozliwosc produkcji kont na nieswiadomych slupow ktore wytrzymuja duzo dluzej niz konto na meneli otwarte 3 miesiace wczesniej.

Moja oferta jest skierowania glownie do osob ktore pracuja dla pewnej osoby za drobniaki i dostaja w zamian kilka procent tego co zarobili. Zamiast byc bialym murzynem zostan sam sobie szefem i nie daj sobie wkladac siusiaka w pupe :)

Ile takie cos zarabia? raz malo a raz duzo. Jesli wplate robi idiotka ktorej oddajesz za darmo wozek dla dziecka to 100-500zl. Jesli wplate robi osoba ogarnieta, to raz na 2-3 dni pracujac samemu  7-12k wpadnie.
Kase zrzucasz na przejety przez siebie wczesniej rachunek, dogadujesz sie z kims o bankierke lub zrzucasz na gielde do wyboru do koloru.

Bramka bedzie posiadac opcje rozsylania wiadomosci na olx z losowym odstepem czasowym do ludzi ktorzy odpowiedzieli na wiadomosc, a w przypadku podania maila bedzie wysylac link do platnosci mailem automatycznie. To jest w cenie, mysle ze w polowie stycznia ukonczone bedzie.

Wrzuce na hosting, kupie domene skonfiguruje wytlumacze i takie tam.
Podchody by otrzymac link i doniesc do certu albo wycisnac cos za friko beda bluzgane :)
Cena 10k za mniej z fotela nie wstaje a promocji nie bedzie. Nie wynajmuje za procent, ani nie szukam pracownikow. Jesli nie chcesz kupic albo nie masz kasy to szanujmy swoj czas.
Cebulke kocham wiec na escrow dam zarobic.

oraz komentarz tego samego autora:

Ze starej ekipy po dzis dzien sa ludzie ktorzy siedzac dzien i noc bez mozliwosci rozmow telefonicznych potrafia trzaskac po 15k tygodniowo ze smiesznego olxa, wiec skads idiotow musza brac a wyjebkowe sklepy aukcje i inne cuda z dokladnymi opisami dzialania kraza od lat po internecie. Dam taki przyklad: kobiecina robi prezent mezowi placac jego wlasnymi pieniedzmi. Rano maz wchodzi na konto a tam stan konta zero zlotych, przelewu cofnac sie nie da, rachunek drop mozna blokowac ale po co skoro juz kasa dawno na btc zamieniona. takich sytuacji opisywac mozna do rana, handlarze to idioci i pazerne janusze. Saldo grubo ponad 30k a on sie targuje o 2 stowki na olxie, pozniej placz i grozby na mailu bo go okradli. A powiem ciekawostke, ci idoci wyzywaja kuriera a nie mnie bo to przeciez kurier im pobral z konta.
Wklejam screena zebys mi nie powiedzial ze bajki opowiadam. Screenow z konta drop robic nie bede bo jeszcze stoi, ale musisz mi uwierzyc na slowo harcerza. moje prywatne dane wyciete ze screena. kont na godzine srednio ogarniety czlowiek robi 1-5 a saldo na nich zalezy w jaka grupe docelowa trafiasz.

poparty takim oto zrzutem ekranu:

Wygląda zatem na to, że biznes się całkiem nieźle kręci.

Kilka ciekawostek

Sam opisywany panel został postawiony ok. 6 lutego i skonfigurowany lub poprawiony ok. 12 lutego – zatem dwa dni temu. Autor tego oszustwa najwyraźniej korzystał z cudzego szablonu (być może kupionego z wyżej pokazanego ogłoszenia), ponieważ w kodzie można znaleźć kilka fragmentów nie pasujących do tego scenariusza. Wśród nich między innymi można znaleźć odwołanie do adresu

https://oplata351.pl/payment3637846745/demo/start.html

Co ciekawe, domena oplata351.pl faktycznie jest zarejestrowana 22 listopada 2017 (ogłoszenie Hochwanderka jest z 20 grudnia) i mogła być stroną „demonstracyjną”, gdzie pokazywał klientom swój wspaniały produkt. Aktualnie serwer nie odpowiada – wcześniej schowany był za Cloudlfare. Identyczną ścieżkę można było także znaleźć w listopadzie pod adresem

https://rozliczeniedp.pl/payment3637846745/

Inne ślady wskazują na to, że analogiczne kampanie trwają bez większych przerw od wielu miesięcy. Niestety najwyraźniej są skuteczne – dlatego przekażcie linka znajomym, by ograniczyć liczbę potencjalnych ofiar przestępców.

Powrót

Komentarze

  • avatar
    2018.02.14 23:19 to ja

    heh oby takie typy trzymały wszystko w BC bo niedługo spadek będzie i się popłaczą.

    Odpowiedz
    • avatar
      2018.02.15 20:12 Hgesz

      Nie będzie spadków, więc nie stracą a nawet zarobią. Będą nawet wzrosty.

      Odpowiedz
  • avatar
    2018.02.15 00:25 Filip

    Blik + czytanie co akceptuje i po sprawie.

    Odpowiedz
  • avatar
    2018.02.15 00:30 Adam

    Artykuł napisany ciekawie, daje sporo do myślenia, natomiast dziwi mnie sposób doboru jego tematu; sformułowanie „wszyscy oszukują dotpay” jest po prostu niedorzeczne.

    Odpowiedz
    • avatar
      2018.02.15 07:04 Filą

      Przeczytaj tytuł jeszcze raz. Tam nic nie ma o oszukiwaniu dotpaya.

      Odpowiedz
  • avatar
    2018.02.15 09:36 Mateusz

    Haha,
    Dawno się tak nie uśmiałem czytając newsy bezpieczników, autor rozwiązania rozbraja do łez i pisze samą prawdę :)

    Odpowiedz
  • avatar
    2018.02.15 10:59 kaczupmen

    „Z3s ladnie pisze, koniecznego nie lubie.” xddddd

    Odpowiedz
  • avatar
    2018.02.15 11:36 Rachunek

    Serio? Podał wartość konta?
    Uzgodnione saldo tj. załączony na screenie widok z konta, jego stan + widok blokad to wystarczająco żeby przy pewnym wysiłku dojść czyje to konto. Nawet jeżeli to saldo ze środka dnia, da się zrobić rewerse na transakcjach i odnaleźć to jedyne.
    W szczególności że do cross-matching’u jest dostępna wartość blokady :D

    Odpowiedz
    • avatar
      2018.02.15 14:36 Banan

      Do „cross-matchingu” masz nawet więcej danych. Wiesz, że gość nie składał wniosku 500+ i nie ma konta walutowego. Też mnie dziwi, ze podał taki zrzut ekranu, bo biorąc pod uwagę, że nie jest to bank z największą ilością klientów i widać dokładne saldo, blokady i 500+ – identyfikacja będzie prosta.

      Odpowiedz
      • avatar
        2018.02.15 15:39 kk

        ale on przecież podaje zrzut z konta na słupa, już dawno zablokowane zapewne po zgłoszeniach. takie konta żywotność mają raczej ograniczoną i przez te oszustwa teraz banki blokują konta firm działających na rynkach kryptowalut :/

        Odpowiedz
      • avatar
        2018.02.15 16:02 Maciek Sraciek

        jesli typ nie jest glupi to na pewno zmienil w paincie kila cyferek zanim wrzucil screena

        Odpowiedz
      • avatar
        2018.02.15 16:04 John

        Wierzysz komuś kto oszukuje że dał screena bez podratsowania czytaj oszustwa?

        Odpowiedz
  • avatar
    2018.02.15 14:22 rabin124

    czyli czemu wszyscy oszukują na Dotpaya?

    Odpowiedz
  • avatar
    2018.02.16 22:12 Dawidos

    Początku nie rozumiem „…scenariusz ataku, w którym ofiara otrzymuje spersonalizowaną wiadomość SMS…”

    ale niby z jakiej Przyczyny otrzymuje :)

    w Matrixie jest tylko jedna stała … Przyczyna i skutek
    Akcja i Reakcja

    hmmm

    Odpowiedz
    • avatar
      2018.02.17 07:07 Adam

      Z takiej że autor ataku tak postanowił.

      Odpowiedz
  • avatar
    2018.02.20 17:02 Marek

    Dziś moja żona otrzymała sms-a o następującej treści „Nieuregulowanie zadłużenia w kwocie 5 zł spowoduje zablokowanie połączeń wychodzących. Link do płatności ważny 2h”. Link przekierowywał do strony płatności dotpay, takiej samej jak w artykule ale dotyczył oczywiście 5 zł.

    Odpowiedz
  • avatar
    2018.02.28 16:44 msm

    „Z3s ladnie pisze, koniecznego nie lubie. [link] [link] [link]”

    Szkoda że cebulka, inaczej byłoby ładnie widać osoby które weszły po kolei na te trzy linki :P.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy atak na konta bankowe, czyli czemu wszyscy oszukują na Dotpaya

Komentarze