05.07.2019 | 20:04

Adam Haertle

Prawdziwa płatność na fałszywym Allegro – uwaga na nowe oszustwo

Złodzieje wymyślili, jak użyć prawdziwej strony pośrednika płatności na fałszywej stronie Allegro i ukraść w ten sposób pieniądze swoich ofiar. Oszustwo jest sprytne, więc warto o nim opowiedzieć i ostrzec internautów.

Historia zaczyna się od atrakcyjnej oferty sprzedaży. Można na nią natrafić w serwisie OLX, na Facebooku lub na innej stronie, która pozwala na zamieszczanie ofert handlowych. Co powiecie na Iphone X 256GB black za 1000 PLN? Na dokładkę okazuje się, że sprzedający może wystawić ofertę w serwisie Allegro. To zwiększa wiarygodność propozycji – zakupy na Allegro są z reguły dużo bezpieczniejsze. Otrzymujemy zatem linka do oferty – na przykład takiego:

https://ailegro.pl.ua/product?id=3892364879

Prowadzi on do strony udającej Allegro. Wy pewnie widzicie, że adres się nie zgadza – ale zwykły internauta może nie zwrócić na to uwagi.

Fałszywa witryna Allegro

Strona – poza błędnym adresem – wygląda dość normalnie. Próba zakupu towaru prowadzi do kolejnej witryny.

Dostawa i płatność

Gdy wybierzemy sposób dostawy (tylko przesyłka kurierska, ale za to za darmo) i podamy adres, pozostaje nam płatność.

Wybór metody płatności

Bez względu na wybraną metodę płatności lądujemy zawsze na tej samej witrynie. Co ważne – jest to prawdziwa (!) witryna pośrednika płatności BlueMedia.

Prawdziwa strona BlueMedia

Po chwili oczekiwania okazuje się jednak, że…

Czas płatności upłynął

Gdy dotarliśmy do tego miejsca oszustwa, transakcja już wygasła. Gdy jednak trafiała tu prawdziwa ofiara, widziała normalny, prawdziwy panel płatności. Oszuści zastosowali bowiem bardzo prostą, lecz skuteczną sztuczkę. Zanim ją opiszemy, zobaczcie, gdzie trafimy, gdy wybierzemy opcję „Przejdź do sklepu”. Link prowadzi to adresu:

https://www.easysend.pl/app/payment/pay-by-link/verify?ServiceID=101352&OrderID=c37dc63a4d224b02895ebd7790518f82&Hash=2ec0f8c3fc4da9a3a002a14a08bb54bb6cc8ac319e74c966f5f71d653c369523

Tam czeka na nas serwis umożliwiający przelewanie pieniędzy na wskazane konto.

Strona EasySend

Co najważniejsze z punktu widzenia oszustów, za przelewy można tam płacić… szybkim przelew przez usługę BlueMedia.

Ekran płatności

Przebieg oszustwa

To na czym polega oszustwo przestępców? Scenariusz jest prosty:

  1. Oszuści zlecają w serwisie EasySend przelew na kwotę 1000 PLN na kontrolowane przez siebie konto.
  2. Wybierają szybką płatność za pośrednictwem BlueMedia.
  3. Ofiary, ściągnięte przez fałszywą stronę Allegro, zostają przekierowane na stronę prawdziwej płatności zleconej przez oszustów, gdzie płacą za przelew przestępców.
  4. Oszuści otrzymują prawidłowo opłacony przelew z usługi EasySend.

Podsumowanie

Nie jest to jedyny scenariusz ataku, w którym przestępcy sprytnie używają prawdziwych mechanizmów szybkich płatności – kolejne opiszemy już wkrótce. Internautom pozostaje pilnie zwracać uwagę na adresy stron, na które wskazują linki przesyłane przez osoby oferujące atrakcyjne towary w internecie. Jeśli się przyjrzeć, to różnice łatwo zauważyć:

Prawdziwa strona
Fałszywa strona

Czasem strona przestępców może mieć także kłódkę w adresie, jednak nigdy jej adres nie będzie identyczny jak strony prawdziwej.

Powrót

Komentarze

  • 2019.07.05 20:40 Piotr

    Nie mozna zrobic czegoś takiego, ze przeglądarka sprawdzałaby paski adresu w przypadku duzych serwisów i wyswietlałaby komunikaty [co mogloby byc rowniez opcjonalne do oznaczenia dla bardziej zaawansowanych np.]

    Duze serwisy powinny być w puli tych zaufanych i jezeli nowa strona zawierałaby adres starej to niech wyskakuje ofierze żółty komunikat
    „uwazaj to nie jest strona serwisu allegro”

    czy nie wiem subelniej zaznaczyć fragment paska, chociaz to nie byloby juz dobre

    Odpowiedz
    • 2019.07.06 09:37 adamh

      Ale jak to ma działać? Skąd przeglądarka ma wiedzieć, że to strona Allegro, skoro adres jest inny? Opisz ten algorytm…

      Odpowiedz
      • 2019.07.06 15:16 Pasztetowy

        Fraza 'allegro’ pojawia sie w kodzie strony i to nie raz.

        Odpowiedz
        • 2019.07.06 15:24 Adam Haertle

          Ale wiesz że ta fraza pojawia się na tysiącach stron które nie są Allegro.pl?

          Odpowiedz
          • 2019.07.06 22:21 Pasztetowy

            DEF recognized_payment_processors = [(’paypal’,’paypal.com’), (’payu’,’payu.pl’),(’fatwallet’,’fatwallet.com’)]

            SUB check_if_url_is_fishy(url)
            subdomain = get_subdomain_from_url(url)
            IF (subdomain in recognized_payment_processors)
            10 PRINT 'Hm… why is this payment processor in subdomain?’
            20 GOTO 10

            Nie ma za co!

      • 2019.09.15 19:58 pssss

        no właśnie jak adres jest inny, to pokazuje się, że to nie jest prawdziwa strona

        wg. mnie tak to wygląda
        1. do puli bezpiecznych adresów w przeglądarce trafia jedynie strona allegro.pl – ją wyświetla normalnie
        2. jak strona jest fejkiem – wyskakuje komunikat o błędzie

        Odpowiedz
        • 2019.09.15 21:18 adamh

          1. Jak namówisz przeglądarki do zapamiętania listy prawdziwych stron i dlaczego akurat Allegro?
          2. Po czym magicznie rozpoznajesz czy strona jest prawdziwa czy nie?

          Odpowiedz
  • 2019.07.06 07:27 Wiktor

    „Czasem strona przestępców może mieć także kłódkę w adresie, jednak nigdy jej adres nie będzie identyczny jak strony prawdziwej.”

    Proponuję być ostrożny z tym stwierdzeniem. Adres może być identyczny w przypadkach:
    – DNS cache poisoningu
    – W przypadku, gdy malware na komputerze ofiary modyfikuje proces przeglądarki (wpisanie w pasku URL prawdziwego adresu będzie kierowało na fałszywa stronę)

    Warto napisać, że w obu tych przypadkach nie będzie certyfikatu EV pokazującego nazwę podmiotu obok adresu strony.

    Odpowiedz
    • 2019.07.06 09:35 adamh

      Wiktor, piszę o atakach praktycznych, a nie teoretycznych. Jeśli znasz przypadek DNS cache poisoningu lub malware modyfikującego proces przeglądarki w opisany sposób użyte w masowych atakach w ciągu ostatnich 3 lat w Polsce to odszczekam, ale sam nie spotkałem, zatem przed nimi nie ostrzegam :)

      Odpowiedz
      • 2019.07.06 10:35 Wiktor

        Jeżeli chodzi o DNS cache poisoning wyłącznie w Polskę to nie, ale np. rok temu atak DNS cache poisoning został przeprowadzony m.in. na popularny serwis/portfel MyEthaWallet:
        http://www.ethnews.com/dns-cache-poisoning-attack-effects-myetherwallet-server
        Jeżeli chodzi o malware, który zagraża Polakom to Danabot ustawia proxy i przekierowuje użytkownika(po wpisaniu przez użytkownika prawdziwego adresu strony w pasku przeglądarki) na fałszywą stronę przestepców. W przeglądarce widnieje prawdziwy adres www strony banku. Nie jest to wpinanie się w proces przeglądarki jak to robi Nymaim, ale cel jest osiągnięty: użytkownik, którego komputer został zarażony złośliwym oprogramowaniem, po wpisaniu prawdziwego adresu w przeglądarce ląduje na fałszywej stronie – adres się zgadza, nie zgadza się cert EV.

        Odpowiedz
      • 2019.07.06 17:35 ...

        może zostać przejęty zewnętrzny skrypt na prawdziwej stronie
        masowe przykłady to Coinhive, https://zaufanatrzeciastrona.pl/post/co-doprowadzilo-do-wycieku-danych-platniczych-380-000-klientow-british-airways/

        Odpowiedz
      • 2019.07.06 21:18 Adam Dobrawy

        Szybko załatane, ale jeszcze w tym roku PowerDNS miał podatność, która pozwalała na to :) CVE-2019-3871
        Podatność nie wymagała dużych umiejętności od przestępców (POC: dig @dns-server evil-server.com), ale – o dziwo – nie została masowo wykorzystana. Może z powodu rozsądnego podejścia do wydania aktualizacji.

        Odpowiedz
    • 2019.07.08 14:37 me

      – Kłódka przy adresie nie świadczy o tym że jesteśmy na bezpiecznej stronie.
      – Kłódka przy adresie nie świadczy o tym że jesteśmy na na stronie na jakiej nam się wydaje że jesteśmy dopóki nie klniemy na nią i nie sprawdzimy do kogo należy zarejestrowana domena.
      – Certyfikat SSL (domenę z kłódką) może każdy sobie uruchomić nawet za darmo bez pododawania swoich prawdziwych danych osobowych.
      – Kłódka przy adresie pomaga tylko zabezpieczyć nas przed tym że ktoś obcy nie podsłucha naszego połączenia i nie podmieni danych np, numeru konta.

      Odpowiedz
  • 2019.07.06 07:58 prezez

    No fajny ten atak, ale jaka jest jego frupa docelowa? Nie za duza, waskie grono ktore nie potrafi czytac, badz nie wie, ze jesli oferta jest na allegro to moze ja wyszukac sobie tam, nie musi przeciez korzystac z olx. Do kogo jeszcze to trafi? Do jakiegos losia ktory nie wiem gdzie zyje i nie wiem, ze jak cos w 1 miejscu jest tanie, a wszedzie jest drogie to musi to byc WAL. Ktos jeszcze zostal ?

    Odpowiedz
    • 2019.07.06 09:36 adamh

      „Wąskie grono które nie potrafi czytać” to jakieś 80-90% użytkowników internetu, którzy nie wiedzą, że na takie rzeczy trzeba zwrócić uwagę lub wiedzą, ale i tak nie zauważą bo im się nie chce patrzeć.

      Odpowiedz
    • 2019.07.06 09:39 Observer

      Niestety bez problemu znajdą się ludzie, którzy kupią sprzęt wiedząc, że pochodzi on z kradzieży.

      Odpowiedz
  • 2019.07.06 15:35 Maciej

    No i wychodzi kolejny raz niespójność w całym systemie AML. Co z tego, że BM dokonało pełnego audytu tożsamości spółki EasySend, adresata płatności, skoro faktycznie beneficjent ostateczny jest całkowicie nierozpoznawalny? Tego typu ataki będą się powtarzać. Ale nikt (tzn Komisja Europejska) przy zdrowych zmysłach nie zreformuje systemowo dyrektywy AML – bo rozlegnie się krzyk, że „odbierajom prywatnosc w internetach, sodomia i gomoria, panie!”.

    Odpowiedz
    • 2019.07.06 21:44 sandalarz

      i bez tego Panie odbierajom! sodomia jedna Panie

      Odpowiedz
  • 2019.07.06 20:25 Artur

    Transakcje wypłat gotówkowych mogą być poniżej limitów i rozpraszane poprzez przelewy na konta powiązane. Dodatkowo pomijane są w monitorowaniu AML przelewy podczas zakupów, co może być sposobem omijania zabezpieczeń finansowych.

    Odpowiedz
  • 2019.07.07 07:49 Max Kolanko

    Mój antywirus w smartfonie nie dopuszcza mnie do fałszywej strony Allegro.

    Odpowiedz
  • 2019.07.07 11:38 Maciej

    A ja jestem za tym żeby nic z tym nie robić. Jak ktoś chce iPhone za 1000zł to niech kupuje. Ludzie trochę rozumu!!!!

    Odpowiedz
  • 2019.07.07 11:39 Maciej

    Jak się Janusze nauczą że nie ma iPhone x za 1000 zł. To się skończą przekręty.

    Odpowiedz
  • 2019.07.08 16:32 Grabaz1982

    Dziwne. Wystarczą zabezpieczenia i antyvirus, żeby system dalej nie przepuścił do strony podejrzanej. Mi po kliknięciu w link jakoś nie chciała się otworzyć strona pokazana na zdjęciu, wręcz przeciwnie antyvirus ją zablokował i uznał za bardzo podejrzaną z zapytaniem co chcę zrobić dalej. Chyba normalnemu „Kowalskiemu” po wyskoczeniu takiego komunikatu raczej nie przyszłoby na myśl wchodzić dalej.

    Odpowiedz
  • 2019.07.09 11:19 sputnikov

    W przypadku wyłączenia adblocka pewnie łatwo rozpoznać ten nieprawdziwy serwis :)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Prawdziwa płatność na fałszywym Allegro – uwaga na nowe oszustwo

Komentarze