Dawno nie widzieliśmy ataku phishingowego na konta Allegro – ale najwyraźniej nic w przyrodzie nie ginie. Email jest w miarę przyzwoicie przygotowany a w linka klika po kilkadziesiąt osób na godzinę.
Po zatrzymaniu Thomasa zdecydowanie spadła liczba kreatywnych kampanii przestępców. Ostatnio tylko w kółko XLS i DHL, ileż można analizować to samo. Czasem jednak zdarza się coś innego – tak jak w tym wypadku.
Zablokowaliśmy Ci sprzedaż na Allegro
Wiadomość, która od ok. 2 godzin dociera do skrzynek Polaków, wygląda następująco:
Ponieważ nie otrzymaliśmy Twojej płatności, której termin minął 2018-03-31, zablokowaliśmy Ci sprzedaż na Allegro. Prosimy o bezzwłoczne uregulowanie rachunku. Po zaksięgowaniu wpłaty, sprzedaż zostanie automatycznie odblokowana.
Format wiadomości wygląda znajomo, treść jest poprawna a kwota nieduża. Ciekawe sa podkreślenia na żółto – wyglądają jak wynik wyszukiwania w jakimś kliencie poczty – być może przestępca przeszukiwał skrzynkę swojej innej ofiary pod kątem wiadomości od Allegro i z rozpędu skopiował cały kod HTML, włącznie z żółtymi pokreśleniami z wyników wyszukiwania.
W wiadomości wszystkie linki prowadzą do adresu
http://wurl.cc/luemars
który obecnie przekierowuje do
https://rocdevelopers.com/dir/wp-includes/Text/Diff/Engine/zxcalg/
gdzie czeka klasyczny phishing Allegro. Co ciekawe, każde wywołanie tego adresu generuje dodatkowy tymczasowy ciąg znaków w URLu, który po chwili wygasa.
Co ciekawe, ktoś w tego linka klika – oto statystyki za ostatnie 24 godziny:
W sumie na razie ok. 60 kliknięć. Co ciekawe, skrócony URL aktywny jest od stycznia tego roku i otrzymał już prawie tysiąc kliknięć:
Lista klikających krajów sugeruje jednak, że nie tylko Polacy byli celami ataków z użyciem tego URLa:
To dość nietypowe, że jeden skrócony URL używany jest w różnych kampaniach skierowanych na różne rynki. Musi to być naprawdę leniwy przestępca – z reguły 1 URL = 1 kampania. Mamy tylko nadzieję, że większość potencjalnych ofiar wie i pamięta, że przed zalogowaniem trzeba sprawdzić adres strony, na której się wylądowało, a 60 osób, które już kliknęły, to po prostu rozbudowane zespoły bezpieczeństwa w firmach analizujących ataki oraz ich sandboksy.
Aktualizacja 2018-04-27
Strona przestępców została wyłączona.
Komentarze
Dostałem podobnego mejla ostatnio, ale ja faktycznie nie zapłaciłem rachunku, niemniej pamiętam że sprawdzałem certyfikat strony :c
Allegro zawsze informuje w mejlach, że zawsze w ich mejlach podawane jest imię i nazwisko allegrowicza.
Tutaj tego brak.
Czekać tylko na kreatywnych oszustów, którzy zaczną e-mail od „W związku z nowymi regulacjami dotyczącymi ochrony danych osobowych RODO od dnia (…) w korespondencji nie podajemy Twojego imienia i nazwiska.”
„Ostatnio tylko w kółko XLS i DHL, ileż można analizować to samo.” – wyczuwam tu delikatne zmartwienie zatrzymaniem Thomasa… ;) :)
A te statystyki to jak sprawdzacie ?
a te statystki to jak sprawdzacie ?
Przy pomocy błędów „pszestempcuf” ;)
długo im zeszło;) opłata za marzec 2016:)
Jeśli ten e-mail nie wzbudza u ludzi żadnych podejrzeń, ani gramatycznych, ani formalnych (o nazwach domen i adresach mailowych nie wspominając), to brak mi słów :) Polecam powtórzyć wszystkie szkoły począwszy od pierwszej klasy szkoły podstawowej;)
Zastanawia mnie skad mial adresy mailowe sprzedawcow. Przy okazji chcialem skrytykowac obecne ograniczenie w wysylaniu zapytan do kupujacych na allegro. Kiedys mozna bylo zapytac sie osob ktore juz cos kupily u jakiegos sprzedawcy czy towar jest dobry i czy sprzedawca uczciwy. Teraz allegro nie dosc, ze nie ma zadnej ochrony dla kupujacego(praktycznie nie dziala a tylko wyludza ksera dowodow osobistych) to jeszcze kupujacy sam nie moze sie chronic i zapytac innych kupujacych. Dlatego przestalem korzystac z allegro. Wole juz chinczykow. Tam odpukac jeszcze mnie nie oszukali. Czego nie moge powiedziec o allegro.
A po zalogowaniu tam co się dzieje? Przechodzi do płatności? Czy tylko hasła allegro wyłudza i i później 404.