01.03.2022 | 08:35

Anna Wasilewska-Śpioch

Podstawy Bezpieczeństwa: Jak sprawdzać wiarygodność zbiórek na rzecz Ukrainy

W sytuacji trwającej tuż obok wojny wiele osób nie chce poprzestać na okazaniu symbolicznego wsparcia i szuka sposobu na realną pomoc Ukrainie. Podpowiadamy, jak nie pogubić się w gąszczu informacji i odróżnić wiarygodne zbiórki od tych założonych przez oszustów.

To, że wyłudzacze nie przepuszczą żadnej okazji, by zarobić na kluczowych w danym momencie wydarzeniach, obserwujemy od lat. Twórcy fałszywych stron nawołujących do wpłacania środków na rzecz Ukrainy – nie tylko przy użyciu tradycyjnych przelewów czy PayPala, ale i kryptowalut – zaczęli rejestrować adekwatne domeny jeszcze przed rozpoczęciem działań wojennych przez Rosję i spotęgowali swoje wysiłki w pierwszej dobie inwazji. Spójrzcie na zestawienie podejrzanych stron uszeregowanych przez nas według daty rejestracji, zaobserwowanych m.in. przez polski Threat Labs i ESET Research Labs. W chwili pisania tego artykułu połowa już nie była aktywna – większość działała na tyle krótko, że nie została nawet zapisana w internetowym archiwum Wayback Machine. Wciąż jednak powstają nowe.

Nazwa domenyData rejestracjiStan
supportukraine[.]today2022-02-22 13:25:50aktywna
bitcoinforukraine[.]com2022-02-24 07:17:05aktywna
ukrainecharity[.]gives2022-02-24 08:00:15nieaktywna
tokenukraine[.]com2022-02-24 08:22:56aktywna
sos-ukraine[.]xyz2022-02-24 08:52:14aktywna
saveukraine[.]xyz2022-02-24 13:18:57aktywna
findukrainenow[.]com2022-02-24 13:45:25aktywna
ukrainian-livesmatter[.]com2022-02-24 14:15:52aktywna
help-for-ukraine[.]eu2022-02-24 15:25:52nieaktywna
ukraine-solidarity[.]com2022-02-24 15:37:35nieaktywna
ukrainesolidarity[.]org2022-02-24 15:37:36nieaktywna
ukrainianrescue[.]com2022-02-24 16:28:56aktywna
saveukraine[.]co2022-02-24 19:45:34nieaktywna
saveukraine[.]live2022-02-24 21:13:47nieaktywna
helpukraine[.]su2022-02-25 12:25:00aktywna
ukraina-pomagam[.]online2022-02-26 10:27:44aktywna
btcforukraine[.]org2022-02-26 12:03:54nieaktywna
wesaveukraine[.]org2022-02-27 13:43:42nieaktywna
saveukrainetoday[.]com2022-02-27 15:44:40nieaktywna
usforukraine[.]org2022-02-27 16:03:26nieaktywna
nftsupportukraine[.]com2022-02-27 20:12:37aktywna
savethechildrenukraine[.]life2022-02-28 05:07:06nieaktywna
donationukraine[.]io2022-02-28 12:42:27aktywna
`

Skąd wiemy, że prowadzonym przez powyższe strony zbiórkom daleko do wiarygodności? Jak się pewnie domyślacie, jednym z kryteriów weryfikacji powinna być data utworzenia domen, pod którymi je znajdujemy. Żadna działająca od dłuższego czasu organizacja charytatywna nie będzie uruchamiać zbiórki pod zarejestrowanym naprędce adresem, którego nikt nie zna. Skorzysta z własnej strony, na pewno lepiej wypozycjonowanej w wyszukiwarkach niż te świeżo powstałe, co pozwoli jej dotrzeć do szerszego grona zainteresowanych. Posłuży się, co najwyżej, odpowiednio brzmiącą poddomeną.

Podstawy Bezpieczeństwa
Artykuł stanowi część cyklu pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. W poprzednich odcinkach pokazywaliśmy, jak używać menedżerów haseł, włączyć dwuskładnikowe uwierzytelnianie, zadbać o bezpieczeństwo i prywatność w usługach Google, a także na Facebooku, Twitterze, Instagramie i WhatsAppie, odpowiednio skonfigurować bardziej i mniej popularne przeglądarki oraz dobrać do nich wtyczki. Sprawdziliśmy, co oferuje Microsoft Defender i jak wypada w porównaniu z innymi antywirusami, a także czy warto instalować antywirusa na komórce. Wyjaśniliśmy, jak poradzić sobie z telemetrią w systemie Windows 10, jak go bezpiecznie skonfigurować i jak robić w nim kopie zapasowe oraz szyfrować dyski. Spróbowaliśmy odpowiedzieć na pytanie, czy warto przesiąść się na Windowsa 11. Opisaliśmy też, jak zadbać o bezpieczeństwo na Androidzie i czy powinniśmy się bać biometrii.

Zajrzyj do bazy WHOIS

Aby samodzielnie sprawdzić datę rejestracji domeny, wystarczy zajrzeć do którejś z ogólnodostępnych baz WHOIS, zawierających także informacje o abonentach poszczególnych domen, ich rejestratorze, serwerach DNS, na które są kierowane itp. W przypadku domen globalnych (jak choćby .com czy .org, ale też przewijające się w tabeli .xyz) możemy skorzystać z DomainBigData, polskie domeny skutecznie przeszukamy za pomocą usługi udostępnianej przez NASK, a europejskie (.eu) na stronie organizacji EURid. Podobnych baz jest zresztą wiele i jeśli nie uda nam się czegoś znaleźć w jednej, możemy wypróbować kolejną.

Fałszywe zbiórki aktywne w chwili pisania tego artykułu – cz. 1

Warto też wiedzieć, że abonenci mają możliwość ukrycia swoich danych. Aby to osiągnąć, rejestrują domeny jako osoby fizyczne. W przypadku domen europejskich i narodowych (jak .pl) dane osób fizycznych w bazach WHOIS są domyślnie niewidoczne, podczas gdy informacje o firmach pozostają zawsze dostępne, nawet jeśli jest to jednoosobowa działalność gospodarcza. Przy domenach globalnych, bez względu na formę prawną abonenta, dane mogą zostać ukryte po wybraniu odpowiedniej opcji w panelu – w zależności od rejestratora – płatnej lub nie (w krajach UE można powołać się na RODO). Jak się pewnie domyślacie, oszuści starają się swoich danych nie ujawniać. Jeśli widzicie na stronie informację, że zbiórka jest prowadzona przez mniej lub bardziej znaną organizację charytatywną, a przeszukując bazę WHOIS, zauważycie, że dane abonenta zostały ukryte, to w głowie powinna się wam zapalić czerwona lampka. Nie ma powodu, by tego typu organizacja rejestrowała domenę, podając się za osobę fizyczną, czy też korzystała z opcji ukrywającej jej nazwę i lokalizację, zwłaszcza jeśli musiałaby za to zapłacić.

Fałszywe zbiórki aktywne w chwili pisania tego artykułu – cz. 2

Przypatrz się stronie uważnie

Jak już wspomnieliśmy, założyciele fałszywych zbiórek mogą się podszywać pod znane organizacje lub osoby, wykorzystując ich wizerunek, logo, charakterystyczne hasła, podobnie brzmiące domeny itp. Poniżej możecie zobaczyć zrzut ekranu strony należącej do fundacji Return Alive (błędnie przez media nazywanej „Come Back Alive”, bo kto by tam zaglądał do stopki). Obok mamy nieistniejącą już stronę btcforukraine[.]org, odzyskaną z internetowego archiwum, która firmowała swoje działania hasłem „Повернись живим” (tak brzmi nazwa wspomnianej organizacji w jęz. ukraińskim). W przypadku wątpliwości, czy dany podmiot prowadzi jakąś zbiórkę, najprostszym rozwiązaniem jest poszukanie linku do niej na oficjalnej stronie. Jeśli – jak tutaj – go nie znajdziemy, powinniśmy zrezygnować z ewentualnej wpłaty na numery rachunków i adresy portfeli kryptowalutowych widniejące w podejrzanym serwisie. Możemy je zresztą porównać z udostępnianymi przez organizację, np. Return Alive faktycznie przyjmuje darowizny w bitcoinach, ale na całkiem inny adres. Z raportu firmy Elliptic wynika, że w II połowie 2021 r. dzięki wpłatom w BTC fundacja ta zebrała równowartość prawie 200 tys. dolarów.

Autentyczna strona fundacji Return Alive i ta, która miała na niej żerować

Kolejny przykład, który chcemy wam przybliżyć, pochodzi z polskiego podwórka. Administracja serwisu Pomagam.pl we współpracy z Fundacją „Nasz Wybór” prowadzi zbiórkę na rzecz Ukrainy pod adresem pomagam.pl/solidarnizukraina. Oszuści skopiowali ją właściwie jeden do jednego, tworząc stronę ukraina-pomagam[.]online. Zamieszczamy poniżej zrzuty ekranu wykonane w odstępie paru minut. Widzicie jakieś różnice? Inna jest oczywiście kwota – odwiedzając obie zbiórki i przyglądając się licznikom, zauważyliśmy, że ten na stronie oszustów stoi w miejscu. Prawdziwa strona jest zabezpieczona certyfikatem SSL (wystawionym przez Cloudflare), podróbka go nie ma – tzn. nie miała do dzisiejszego południa, a potem się pojawił. Dlatego nie przywiązujcie się za bardzo do tej myśli, twórcy większości fałszywych stron nie zapominają o certyfikatach. W obecnych czasach ich zdobycie nie stanowi większego problemu, bo wystarczy skorzystać z Let’s Encrypt i to za darmo. Warto zapamiętać, że obecność kłódki na pasku adresu nie świadczy o wiarygodności strony, choć jej brak może budzić podejrzenia.

Oryginał i podróbka zbiórki organizowanej przez Pomagam.pl

Weryfikujmy dalej. Jeśli spróbujemy kliknąć w jakiś link lub przycisk na podrobionej stronie, przekonamy się, że nigdzie nas nie przekieruje. Jednym z nielicznych wyjątków jest „Wpłać teraz”, który prowadzi na stronę z formularzem do wypełnienia – trzeba podać imię, nazwisko, kwotę i adres e-mail, na który zostaną wysłane indywidualne dane do przelewu. Tak, dobrze widzicie, w odróżnieniu od oryginalnej zbiórki ta fałszywa nie umożliwia płatności online (czyżby na Cebulce nie sprzedawano odpowiednich bramek?), nie oczekuje też od użytkownika zaakceptowania regulaminu. Licznik nadal stoi w miejscu, ale pokazuje mniejszą kwotę niż na stronie głównej – ktoś ewidentnie nie pomyślał. Mówimy o szczegółach, ale ich wyłapywanie często jest jedynym sposobem potwierdzenia powziętych podejrzeń. Pomagam.pl zostało już powiadomione o oszustwie, a na Twitterze stosowne ostrzeżenie opublikował CERT Polska.

Strona w domenie .online nie umożliwia płatności online, hm…

Przed dokonaniem wpłaty na pomocowej stronie, warto dokładnie się jej przyjrzeć – upewnić się, że zamieszczone na niej treści nie są pisane łamanym językiem (sugerującym użycie Tłumacza Google) i nie roją się od literówek. Nie zaszkodzi poklikać w linki, sprawdzając, czy wszystko z nimi w porządku, czy nie natkniemy się – jak ThreatLabs – na atrapę strony wypełnioną quasi-łacińskim tekstem „Lorem ipsum…” (standardowo używanym do demonstracji rozłożenia treści na internetowych witrynach).

„Lorem ipsum…” na pierwotnej wersji strony sos-ukraine[.]xyz. Źródło: ThreatLabs

Aby sprawdzić, kto wystawił danej stronie certyfikat SSL, możemy kliknąć w widoczną na pasku adresu kłódkę. W przypadku Chrome wybieramy „Połączenie jest bezpieczne”, następnie „Certyfikat jest ważny”. W nowo otwartym oknie przechodzimy do zakładki „Szczegóły” i szukamy pozycji „Wystawca”. Jeśli będzie to Let’s Encrypt, a zbiórkę prowadzi jakaś znana organizacja, to powinniśmy się zastanowić, czy ktoś się pod nią nie podszył, bo duże podmioty korzystają raczej z płatnych certyfikatów. Przy okazji możemy zweryfikować, kiedy certyfikat został wystawiony, na jak długo i dla jakiej konkretnie domeny. Aby zrobić to samo w Firefoksie, po kliknięciu w kłódkę wybieramy „Zabezpieczone połączenie”, a potem „Więcej informacji”. W nowo otwartym oknie zwracamy uwagę na pozycję „Zweryfikowana przez”, a jeśli chcemy poznać szczegóły, klikamy w przycisk „Wyświetl certyfikat”.

Certyfikat Let’s Encrypt i zapomniany znacznik <title> na stronie oszustów

Czy zauważyliście na powyższym zrzucie ekranu coś nietypowego? Założyciele zbiórki pod adresem helpukraine[.]su ewidentnie zapomnieli zmienić w źródle strony jej tytuł, umieszczany w sekcji <title> i dlatego u góry widzimy napis „REG.Site | Ещё один сайт на WordPress”, czyli całkiem inną domenę wraz z rozbrajającą informacją w jęz. rosyjskim, że jest to „Jeszcze jedna strona na WordPressie”. Nie wygląda to zbyt wiarygodnie, prawda?

Uważaj na nietypowe propozycje

Jak już ustaliliśmy, organizacje niosące pomoc Ukrainie nie stronią od kryptowalut, co jednak nie znaczy, że są przychylne każdej technologicznej nowince. Być może słyszeliście o „solidarnościowych” tokenach sprzedawanych za pośrednictwem platformy PinkSale. Są one promowane na stronie tokenukraine[.]com, która nie udziela praktycznie żadnych informacji na temat projektu i jego autorów. Wcześniej mieliśmy do czynienia z wykorzystaniem wizerunku znanych podmiotów, tu o założycielach strony nie wiemy nic, a zamieszczone na niej linki prowadzą do nieużywanych obecnie kont na Instagramie i Twitterze.

Ukraine Support Token do kupienia na platformie PinkSale

W takiej sytuacji trzeba być wyjątkowo ostrożnym – przekazywanie środków przypadkowym osobom, których zamiarów nie znamy, nie ma zbyt wiele wspólnego ze zdrowym rozsądkiem. To, że ktoś deklaruje przeznaczenie części zysków na cele charytatywne, nie znaczy, że faktycznie to zrobi. Podobne wątpliwości można mieć w stosunku do „pierwszej prawdziwie zdecentralizowanej kryptowaluty” rozprowadzanej za pomocą zrobionej na kolanie strony ukrainecrypto[.]eu.

Rzekome wsparcie pod postacią tokenów i NFT

Nie zabrakło też „innowatorów” zainteresowanych wspieraniem Ukrainy przy użyciu NTF, czyli niewymienialnych, opartych na blockchainie tokenów, o których coraz częściej się słyszy w kontekście nietrafionych pomysłów na szybki zarobek niskim kosztem (jak misie na Instagramowych profilach celebrytów, które trafiły pod lupę UOKiK). Handel NFT ruszył na zablokowanej już stronie ukrainecharity[.]gives, a teraz się kręci pod adresem nftsupportukraine[.]com. Zdecydowanie odradzamy ich zakup – nie ma gwarancji, że zebrane w ten sposób środki trafią do potrzebujących.

Szybkie podsumowanie

Aby nie pomylić prawdziwej zbiórki z fałszywą, wystarczy stosować się do kilku prostych zasad:

  • Wpłacaj pieniądze w ramach akcji pomocowych organizowanych przez znane podmioty. Listę wiarygodnych zbiórek opublikował m.in. serwis fact-checkingowy Demagog.
  • Jeśli chcesz zaangażować się w zbiórkę spoza powyższej listy, sprawdź, kto dokładnie ją organizuje i czy ma już na koncie podobne akcje.
  • Nie działaj pod wpływem emocji – uważnie przyglądaj się stronom, za pośrednictwem których chcesz dokonać wpłaty. Wycofaj się, jeśli zobaczysz coś podejrzanego.
  • Nie bój się zajrzeć do bazy WHOIS, aby zweryfikować datę rejestracji domeny lub informacje o jej właścicielu. Jeśli nadal masz wątpliwości, sprawdź certyfikat.
  • Unikaj nietypowych pomysłów na udzielenie wsparcia, jak zakup dopiero co powstałej kryptowaluty czy NFT.
  • Innymi słowy, pomagaj potrzebującym, ale myśl krytycznie.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.

Powrót

Komentarze

  • 2022.03.03 11:43 a

    > duże podmioty korzystają raczej z płatnych certyfikatów
    Sprawdźcie sobie login.gov ;)

    Odpowiedz
    • 2022.03.03 15:39 Anna Wasilewska-Śpioch

      Nieźle ;-)

      Odpowiedz
  • 2022.10.04 11:51 Głupi Gość potrzebujący🥺 waszej informacji o świętej kurczaki molek prawdzie

    He? 🤔 a to ciekawe kurczaki molek. Może nawet zapiszę się, żebyście mi powiedzieli co jest prawdą, a co kłamstwem. Bo ja i inni ludzie, to tacy głupi jesteśmy, że musicie nam wszystko tłumaczyć. Uwierzymy, że macie 😁 świętą kurczaki molek prawdę.

    Odpowiedz
    • 2022.10.04 12:02 Anna Wasilewska-Śpioch

      Przed skomentowaniem artykułu proponuję go jednak przeczytać, najlepiej ze zrozumieniem.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Podstawy Bezpieczeństwa: Jak sprawdzać wiarygodność zbiórek na rzecz Ukrainy

Komentarze