25.04.2018 | 12:47

Adam Haertle

Uwaga Allegrowicze, nowa kampania phishingowa „zablokowana sprzedaż”

Dawno nie widzieliśmy ataku phishingowego na konta Allegro – ale najwyraźniej nic w przyrodzie nie ginie. Email jest w miarę przyzwoicie przygotowany a w linka klika po kilkadziesiąt osób na godzinę.

Po zatrzymaniu Thomasa zdecydowanie spadła liczba kreatywnych kampanii przestępców. Ostatnio tylko w kółko XLS i DHL, ileż można analizować to samo. Czasem jednak zdarza się coś innego – tak jak w tym wypadku.

Zablokowaliśmy Ci sprzedaż na Allegro

Wiadomość, która od ok. 2 godzin dociera do skrzynek Polaków, wygląda następująco:

Zablokowaliśmy Ci sprzedaż na Allegro

Ponieważ nie otrzymaliśmy Twojej płatności, której termin minął 2018-03-31, zablokowaliśmy Ci sprzedaż na Allegro. Prosimy o bezzwłoczne uregulowanie rachunku. Po zaksięgowaniu wpłaty, sprzedaż zostanie automatycznie odblokowana.

Format wiadomości wygląda znajomo, treść jest poprawna a kwota nieduża. Ciekawe sa podkreślenia na żółto – wyglądają jak wynik wyszukiwania w jakimś kliencie poczty – być może przestępca przeszukiwał skrzynkę swojej innej ofiary pod kątem wiadomości od Allegro i z rozpędu skopiował cały kod HTML, włącznie z żółtymi pokreśleniami z wyników wyszukiwania.

W wiadomości wszystkie linki prowadzą do adresu

http://wurl.cc/luemars

który obecnie przekierowuje do

https://rocdevelopers.com/dir/wp-includes/Text/Diff/Engine/zxcalg/

gdzie czeka klasyczny phishing Allegro. Co ciekawe, każde wywołanie tego adresu generuje dodatkowy tymczasowy ciąg znaków w URLu, który po chwili wygasa.

Co ciekawe, ktoś w tego linka klika – oto statystyki za ostatnie 24 godziny:

W sumie na razie ok. 60 kliknięć. Co ciekawe, skrócony URL aktywny jest od stycznia tego roku i otrzymał już prawie tysiąc kliknięć:

Lista klikających krajów sugeruje jednak, że nie tylko Polacy byli celami ataków z użyciem tego URLa:

To dość nietypowe, że jeden skrócony URL używany jest w różnych kampaniach skierowanych na różne rynki. Musi to być naprawdę leniwy przestępca – z reguły 1 URL = 1 kampania. Mamy tylko nadzieję, że większość potencjalnych ofiar wie i pamięta, że przed zalogowaniem trzeba sprawdzić adres strony, na której się wylądowało, a 60 osób, które już kliknęły, to po prostu rozbudowane zespoły bezpieczeństwa w firmach analizujących ataki oraz ich sandboksy.

Aktualizacja 2018-04-27

Strona przestępców została wyłączona.

Powrót

Komentarze

  • 2018.04.25 15:07 Papaj

    Dostałem podobnego mejla ostatnio, ale ja faktycznie nie zapłaciłem rachunku, niemniej pamiętam że sprawdzałem certyfikat strony :c

    Odpowiedz
  • 2018.04.25 15:15 Jacek

    Allegro zawsze informuje w mejlach, że zawsze w ich mejlach podawane jest imię i nazwisko allegrowicza.
    Tutaj tego brak.

    Odpowiedz
    • 2018.04.25 16:49 gszkr

      Czekać tylko na kreatywnych oszustów, którzy zaczną e-mail od „W związku z nowymi regulacjami dotyczącymi ochrony danych osobowych RODO od dnia (…) w korespondencji nie podajemy Twojego imienia i nazwiska.”

      Odpowiedz
  • 2018.04.25 17:20 Piotr

    „Ostatnio tylko w kółko XLS i DHL, ileż można analizować to samo.” – wyczuwam tu delikatne zmartwienie zatrzymaniem Thomasa… ;) :)

    Odpowiedz
  • 2018.04.25 19:48 Gabi

    A te statystyki to jak sprawdzacie ?

    Odpowiedz
  • 2018.04.25 19:49 Gabi

    a te statystki to jak sprawdzacie ?

    Odpowiedz
    • 2018.04.25 23:25 kl

      Przy pomocy błędów „pszestempcuf” ;)

      Odpowiedz
  • 2018.04.26 11:19 dobreta

    długo im zeszło;) opłata za marzec 2016:)

    Odpowiedz
  • 2018.04.27 12:16 Wojtek

    Jeśli ten e-mail nie wzbudza u ludzi żadnych podejrzeń, ani gramatycznych, ani formalnych (o nazwach domen i adresach mailowych nie wspominając), to brak mi słów :) Polecam powtórzyć wszystkie szkoły począwszy od pierwszej klasy szkoły podstawowej;)

    Odpowiedz
  • 2018.04.27 20:09 gosc

    Zastanawia mnie skad mial adresy mailowe sprzedawcow. Przy okazji chcialem skrytykowac obecne ograniczenie w wysylaniu zapytan do kupujacych na allegro. Kiedys mozna bylo zapytac sie osob ktore juz cos kupily u jakiegos sprzedawcy czy towar jest dobry i czy sprzedawca uczciwy. Teraz allegro nie dosc, ze nie ma zadnej ochrony dla kupujacego(praktycznie nie dziala a tylko wyludza ksera dowodow osobistych) to jeszcze kupujacy sam nie moze sie chronic i zapytac innych kupujacych. Dlatego przestalem korzystac z allegro. Wole juz chinczykow. Tam odpukac jeszcze mnie nie oszukali. Czego nie moge powiedziec o allegro.

    Odpowiedz
  • 2018.05.10 08:42 pawel

    A po zalogowaniu tam co się dzieje? Przechodzi do płatności? Czy tylko hasła allegro wyłudza i i później 404.

    Odpowiedz

Zostaw odpowiedź do pawel

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga Allegrowicze, nowa kampania phishingowa „zablokowana sprzedaż”

Komentarze