W sytuacji trwającej tuż obok wojny wiele osób nie chce poprzestać na okazaniu symbolicznego wsparcia i szuka sposobu na realną pomoc Ukrainie. Podpowiadamy, jak nie pogubić się w gąszczu informacji i odróżnić wiarygodne zbiórki od tych założonych przez oszustów.
To, że wyłudzacze nie przepuszczą żadnej okazji, by zarobić na kluczowych w danym momencie wydarzeniach, obserwujemy od lat. Twórcy fałszywych stron nawołujących do wpłacania środków na rzecz Ukrainy – nie tylko przy użyciu tradycyjnych przelewów czy PayPala, ale i kryptowalut – zaczęli rejestrować adekwatne domeny jeszcze przed rozpoczęciem działań wojennych przez Rosję i spotęgowali swoje wysiłki w pierwszej dobie inwazji. Spójrzcie na zestawienie podejrzanych stron uszeregowanych przez nas według daty rejestracji, zaobserwowanych m.in. przez polski Threat Labs i ESET Research Labs. W chwili pisania tego artykułu połowa już nie była aktywna – większość działała na tyle krótko, że nie została nawet zapisana w internetowym archiwum Wayback Machine. Wciąż jednak powstają nowe.
| Nazwa domeny | Data rejestracji | Stan |
| supportukraine[.]today | 2022-02-22 13:25:50 | aktywna |
| bitcoinforukraine[.]com | 2022-02-24 07:17:05 | aktywna |
| ukrainecharity[.]gives | 2022-02-24 08:00:15 | nieaktywna |
| tokenukraine[.]com | 2022-02-24 08:22:56 | aktywna |
| sos-ukraine[.]xyz | 2022-02-24 08:52:14 | aktywna |
| saveukraine[.]xyz | 2022-02-24 13:18:57 | aktywna |
| findukrainenow[.]com | 2022-02-24 13:45:25 | aktywna |
| ukrainian-livesmatter[.]com | 2022-02-24 14:15:52 | aktywna |
| help-for-ukraine[.]eu | 2022-02-24 15:25:52 | nieaktywna |
| ukraine-solidarity[.]com | 2022-02-24 15:37:35 | nieaktywna |
| ukrainesolidarity[.]org | 2022-02-24 15:37:36 | nieaktywna |
| ukrainianrescue[.]com | 2022-02-24 16:28:56 | aktywna |
| saveukraine[.]co | 2022-02-24 19:45:34 | nieaktywna |
| saveukraine[.]live | 2022-02-24 21:13:47 | nieaktywna |
| helpukraine[.]su | 2022-02-25 12:25:00 | aktywna |
| ukraina-pomagam[.]online | 2022-02-26 10:27:44 | aktywna |
| btcforukraine[.]org | 2022-02-26 12:03:54 | nieaktywna |
| wesaveukraine[.]org | 2022-02-27 13:43:42 | nieaktywna |
| saveukrainetoday[.]com | 2022-02-27 15:44:40 | nieaktywna |
| usforukraine[.]org | 2022-02-27 16:03:26 | nieaktywna |
| nftsupportukraine[.]com | 2022-02-27 20:12:37 | aktywna |
| savethechildrenukraine[.]life | 2022-02-28 05:07:06 | nieaktywna |
| donationukraine[.]io | 2022-02-28 12:42:27 | aktywna |
Skąd wiemy, że prowadzonym przez powyższe strony zbiórkom daleko do wiarygodności? Jak się pewnie domyślacie, jednym z kryteriów weryfikacji powinna być data utworzenia domen, pod którymi je znajdujemy. Żadna działająca od dłuższego czasu organizacja charytatywna nie będzie uruchamiać zbiórki pod zarejestrowanym naprędce adresem, którego nikt nie zna. Skorzysta z własnej strony, na pewno lepiej wypozycjonowanej w wyszukiwarkach niż te świeżo powstałe, co pozwoli jej dotrzeć do szerszego grona zainteresowanych. Posłuży się, co najwyżej, odpowiednio brzmiącą poddomeną.
Zajrzyj do bazy WHOIS
Aby samodzielnie sprawdzić datę rejestracji domeny, wystarczy zajrzeć do którejś z ogólnodostępnych baz WHOIS, zawierających także informacje o abonentach poszczególnych domen, ich rejestratorze, serwerach DNS, na które są kierowane itp. W przypadku domen globalnych (jak choćby .com czy .org, ale też przewijające się w tabeli .xyz) możemy skorzystać z DomainBigData, polskie domeny skutecznie przeszukamy za pomocą usługi udostępnianej przez NASK, a europejskie (.eu) na stronie organizacji EURid. Podobnych baz jest zresztą wiele i jeśli nie uda nam się czegoś znaleźć w jednej, możemy wypróbować kolejną.
Warto też wiedzieć, że abonenci mają możliwość ukrycia swoich danych. Aby to osiągnąć, rejestrują domeny jako osoby fizyczne. W przypadku domen europejskich i narodowych (jak .pl) dane osób fizycznych w bazach WHOIS są domyślnie niewidoczne, podczas gdy informacje o firmach pozostają zawsze dostępne, nawet jeśli jest to jednoosobowa działalność gospodarcza. Przy domenach globalnych, bez względu na formę prawną abonenta, dane mogą zostać ukryte po wybraniu odpowiedniej opcji w panelu – w zależności od rejestratora – płatnej lub nie (w krajach UE można powołać się na RODO). Jak się pewnie domyślacie, oszuści starają się swoich danych nie ujawniać. Jeśli widzicie na stronie informację, że zbiórka jest prowadzona przez mniej lub bardziej znaną organizację charytatywną, a przeszukując bazę WHOIS, zauważycie, że dane abonenta zostały ukryte, to w głowie powinna się wam zapalić czerwona lampka. Nie ma powodu, by tego typu organizacja rejestrowała domenę, podając się za osobę fizyczną, czy też korzystała z opcji ukrywającej jej nazwę i lokalizację, zwłaszcza jeśli musiałaby za to zapłacić.
Przypatrz się stronie uważnie
Jak już wspomnieliśmy, założyciele fałszywych zbiórek mogą się podszywać pod znane organizacje lub osoby, wykorzystując ich wizerunek, logo, charakterystyczne hasła, podobnie brzmiące domeny itp. Poniżej możecie zobaczyć zrzut ekranu strony należącej do fundacji Return Alive (błędnie przez media nazywanej „Come Back Alive”, bo kto by tam zaglądał do stopki). Obok mamy nieistniejącą już stronę btcforukraine[.]org, odzyskaną z internetowego archiwum, która firmowała swoje działania hasłem „Повернись живим” (tak brzmi nazwa wspomnianej organizacji w jęz. ukraińskim). W przypadku wątpliwości, czy dany podmiot prowadzi jakąś zbiórkę, najprostszym rozwiązaniem jest poszukanie linku do niej na oficjalnej stronie. Jeśli – jak tutaj – go nie znajdziemy, powinniśmy zrezygnować z ewentualnej wpłaty na numery rachunków i adresy portfeli kryptowalutowych widniejące w podejrzanym serwisie. Możemy je zresztą porównać z udostępnianymi przez organizację, np. Return Alive faktycznie przyjmuje darowizny w bitcoinach, ale na całkiem inny adres. Z raportu firmy Elliptic wynika, że w II połowie 2021 r. dzięki wpłatom w BTC fundacja ta zebrała równowartość prawie 200 tys. dolarów.
Kolejny przykład, który chcemy wam przybliżyć, pochodzi z polskiego podwórka. Administracja serwisu Pomagam.pl we współpracy z Fundacją „Nasz Wybór” prowadzi zbiórkę na rzecz Ukrainy pod adresem pomagam.pl/solidarnizukraina. Oszuści skopiowali ją właściwie jeden do jednego, tworząc stronę ukraina-pomagam[.]online. Zamieszczamy poniżej zrzuty ekranu wykonane w odstępie paru minut. Widzicie jakieś różnice? Inna jest oczywiście kwota – odwiedzając obie zbiórki i przyglądając się licznikom, zauważyliśmy, że ten na stronie oszustów stoi w miejscu. Prawdziwa strona jest zabezpieczona certyfikatem SSL (wystawionym przez Cloudflare), podróbka go nie ma – tzn. nie miała do dzisiejszego południa, a potem się pojawił. Dlatego nie przywiązujcie się za bardzo do tej myśli, twórcy większości fałszywych stron nie zapominają o certyfikatach. W obecnych czasach ich zdobycie nie stanowi większego problemu, bo wystarczy skorzystać z Let’s Encrypt i to za darmo. Warto zapamiętać, że obecność kłódki na pasku adresu nie świadczy o wiarygodności strony, choć jej brak może budzić podejrzenia.
Weryfikujmy dalej. Jeśli spróbujemy kliknąć w jakiś link lub przycisk na podrobionej stronie, przekonamy się, że nigdzie nas nie przekieruje. Jednym z nielicznych wyjątków jest „Wpłać teraz”, który prowadzi na stronę z formularzem do wypełnienia – trzeba podać imię, nazwisko, kwotę i adres e-mail, na który zostaną wysłane indywidualne dane do przelewu. Tak, dobrze widzicie, w odróżnieniu od oryginalnej zbiórki ta fałszywa nie umożliwia płatności online (czyżby na Cebulce nie sprzedawano odpowiednich bramek?), nie oczekuje też od użytkownika zaakceptowania regulaminu. Licznik nadal stoi w miejscu, ale pokazuje mniejszą kwotę niż na stronie głównej – ktoś ewidentnie nie pomyślał. Mówimy o szczegółach, ale ich wyłapywanie często jest jedynym sposobem potwierdzenia powziętych podejrzeń. Pomagam.pl zostało już powiadomione o oszustwie, a na Twitterze stosowne ostrzeżenie opublikował CERT Polska.
Przed dokonaniem wpłaty na pomocowej stronie, warto dokładnie się jej przyjrzeć – upewnić się, że zamieszczone na niej treści nie są pisane łamanym językiem (sugerującym użycie Tłumacza Google) i nie roją się od literówek. Nie zaszkodzi poklikać w linki, sprawdzając, czy wszystko z nimi w porządku, czy nie natkniemy się – jak ThreatLabs – na atrapę strony wypełnioną quasi-łacińskim tekstem „Lorem ipsum…” (standardowo używanym do demonstracji rozłożenia treści na internetowych witrynach).
Aby sprawdzić, kto wystawił danej stronie certyfikat SSL, możemy kliknąć w widoczną na pasku adresu kłódkę. W przypadku Chrome wybieramy „Połączenie jest bezpieczne”, następnie „Certyfikat jest ważny”. W nowo otwartym oknie przechodzimy do zakładki „Szczegóły” i szukamy pozycji „Wystawca”. Jeśli będzie to Let’s Encrypt, a zbiórkę prowadzi jakaś znana organizacja, to powinniśmy się zastanowić, czy ktoś się pod nią nie podszył, bo duże podmioty korzystają raczej z płatnych certyfikatów. Przy okazji możemy zweryfikować, kiedy certyfikat został wystawiony, na jak długo i dla jakiej konkretnie domeny. Aby zrobić to samo w Firefoksie, po kliknięciu w kłódkę wybieramy „Zabezpieczone połączenie”, a potem „Więcej informacji”. W nowo otwartym oknie zwracamy uwagę na pozycję „Zweryfikowana przez”, a jeśli chcemy poznać szczegóły, klikamy w przycisk „Wyświetl certyfikat”.
Czy zauważyliście na powyższym zrzucie ekranu coś nietypowego? Założyciele zbiórki pod adresem helpukraine[.]su ewidentnie zapomnieli zmienić w źródle strony jej tytuł, umieszczany w sekcji <title> i dlatego u góry widzimy napis „REG.Site | Ещё один сайт на WordPress”, czyli całkiem inną domenę wraz z rozbrajającą informacją w jęz. rosyjskim, że jest to „Jeszcze jedna strona na WordPressie”. Nie wygląda to zbyt wiarygodnie, prawda?
Uważaj na nietypowe propozycje
Jak już ustaliliśmy, organizacje niosące pomoc Ukrainie nie stronią od kryptowalut, co jednak nie znaczy, że są przychylne każdej technologicznej nowince. Być może słyszeliście o „solidarnościowych” tokenach sprzedawanych za pośrednictwem platformy PinkSale. Są one promowane na stronie tokenukraine[.]com, która nie udziela praktycznie żadnych informacji na temat projektu i jego autorów. Wcześniej mieliśmy do czynienia z wykorzystaniem wizerunku znanych podmiotów, tu o założycielach strony nie wiemy nic, a zamieszczone na niej linki prowadzą do nieużywanych obecnie kont na Instagramie i Twitterze.
W takiej sytuacji trzeba być wyjątkowo ostrożnym – przekazywanie środków przypadkowym osobom, których zamiarów nie znamy, nie ma zbyt wiele wspólnego ze zdrowym rozsądkiem. To, że ktoś deklaruje przeznaczenie części zysków na cele charytatywne, nie znaczy, że faktycznie to zrobi. Podobne wątpliwości można mieć w stosunku do „pierwszej prawdziwie zdecentralizowanej kryptowaluty” rozprowadzanej za pomocą zrobionej na kolanie strony ukrainecrypto[.]eu.
Nie zabrakło też „innowatorów” zainteresowanych wspieraniem Ukrainy przy użyciu NTF, czyli niewymienialnych, opartych na blockchainie tokenów, o których coraz częściej się słyszy w kontekście nietrafionych pomysłów na szybki zarobek niskim kosztem (jak misie na Instagramowych profilach celebrytów, które trafiły pod lupę UOKiK). Handel NFT ruszył na zablokowanej już stronie ukrainecharity[.]gives, a teraz się kręci pod adresem nftsupportukraine[.]com. Zdecydowanie odradzamy ich zakup – nie ma gwarancji, że zebrane w ten sposób środki trafią do potrzebujących.
Szybkie podsumowanie
Aby nie pomylić prawdziwej zbiórki z fałszywą, wystarczy stosować się do kilku prostych zasad:
- Wpłacaj pieniądze w ramach akcji pomocowych organizowanych przez znane podmioty. Listę wiarygodnych zbiórek opublikował m.in. serwis fact-checkingowy Demagog.
- Jeśli chcesz zaangażować się w zbiórkę spoza powyższej listy, sprawdź, kto dokładnie ją organizuje i czy ma już na koncie podobne akcje.
- Nie działaj pod wpływem emocji – uważnie przyglądaj się stronom, za pośrednictwem których chcesz dokonać wpłaty. Wycofaj się, jeśli zobaczysz coś podejrzanego.
- Nie bój się zajrzeć do bazy WHOIS, aby zweryfikować datę rejestracji domeny lub informacje o jej właścicielu. Jeśli nadal masz wątpliwości, sprawdź certyfikat.
- Unikaj nietypowych pomysłów na udzielenie wsparcia, jak zakup dopiero co powstałej kryptowaluty czy NFT.
- Innymi słowy, pomagaj potrzebującym, ale myśl krytycznie.
Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.
Komentarze
> duże podmioty korzystają raczej z płatnych certyfikatów
Sprawdźcie sobie login.gov ;)
Nieźle ;-)
He? 🤔 a to ciekawe kurczaki molek. Może nawet zapiszę się, żebyście mi powiedzieli co jest prawdą, a co kłamstwem. Bo ja i inni ludzie, to tacy głupi jesteśmy, że musicie nam wszystko tłumaczyć. Uwierzymy, że macie 😁 świętą kurczaki molek prawdę.
Przed skomentowaniem artykułu proponuję go jednak przeczytać, najlepiej ze zrozumieniem.