Przyzwyczailiśmy się już do lawiny ataków na osoby sprzedające towar na OLX, prowadzących do utraty środków z rachunku. Tym razem atak wymierzony jest w kupujących w serwisie Allegro i poprowadzony trochę innym torem – ale też sprytnie.
Nasz czytelnik Krystian chciał kupić HomePoda Apple. Znalazł dobrą ofertę – i przy okazji złodzieja. Zgłosił nam wczoraj wieczorem oszustwo, lecz gdy chcieliśmy je zweryfikować, Allegro zablokowało konto oszusta w trakcie naszej rozmowy z nim. Brawo Allegro!
Okazało się jednak, że dla Krystiana nie było to przeszkodą – znalazł kolejne konto oszusta i udokumentował cały proces wyłudzania danych karty, dzięki czemu możemy was ostrzec, a wy możecie ostrzec swoich bliskich i znajomych robiących zakupy w sieci.
Do tej pory oszustwo „na OLX”, które opisywaliśmy już w listopadzie, dotyczyło tylko osób sprzedających w sieci. Ten wariant jest groźniejszy, bo dotyczy znacznie większej grupy – kupujących. Zobaczmy, jak działa.
Atak krok po kroku
Najpierw Krystian znalazł dobrą ofertę. HomePod w tej wersji za 800 PLN to okazja – cena jest niższa od rynkowej o około 20%. Rozmowa ze sprzedającym przebiega dobrze. Odpowiada na pytania, nie robi rażących błędów.
Niestety okazuje się, że nie potrafi włączyć opcji „kup teraz”. W związku z tym prosi o numer telefonu kupującego.
Następnie sugeruje, że kupujący dostanie SMS-a od Allegro. To pierwsza anomalia – w normalnym procesie zakupu taki krok nie występuje.
Krystian podał swój numer i oto wiadomość, którą otrzymał. Nadpis o treści „Allegro”, a w wiadomości skrócony link. Docelowo link prowadził do adresu
https://allegro.lokallnie.site/oferta/?b=apple-homepod-czarny-smart-glosnik-bluetooth-4
Oczywiście pod adresem z linka czekał już fałszywy serwis, udający Allegro Lokalnie. Dlaczego link był wysłany SMS-em? Pewnie z dwóch powodów. Pierwszy – by nie znalazły go w rozmowie algorytmy Allegro. Drugi – by ofiara, która zapewne kliknie w link na komórce, nie zwróciła uwagi, że wylądowała na fałszywej stronie.
Na stronie przestępcy trzeba podać dane dostawy.
Jeszcze więcej danych.
Strona prosi o lokalizację – lecz raczej jest to wynik kopiowania procesu zakupu z prawdziwego serwisu, niż jakaś inicjatywa przestępcy.
Lokalizacja służy wyborowi odpowiedniego Paczkomatu.
Po przebrnięciu przez fazę fikcyjnego zbierania danych docieramy do kulminacyjnego momentu – ofiara ma wybrać swój bank.
Wybór ten nie ma większego znaczenia – i tak w kolejnym kroku pojawi się prośba o wpisanie danych karty płatniczej.
To o te dane chodzi złodziejowi, który będzie próbował podpiąć kartę do wirtualnej portmonetki (np. Apple / Google Pay), by maksymalnie wykorzystać jej dostępne saldo.
Najważniejszy krok oszustwa – złodziej rejestruje kartę, jej posiadacz dostaje SMS-a i złodziej musi wyłudzić kod zawarty w wiadomości.
Tu oszustwo się kończy: złodziej używa karty do zakupów lub przelewów karta – karta, ofiara składa reklamację w swoim banku, bank najczęściej reklamację odrzuca, bo ofiara sama autoryzowała połączenie karty z cudzą portmonetką. Koniec historii.
Podsumowanie
Dziękujemy Krystianowi za skrupulatne opisanie procesu – chcielibyśmy otrzymywać tylko tak udokumentowane opisy oszustw (chociaż oczywiście wszystkie przyjmujemy z otwartymi ramionami). Gratulujemy Allegro szybkich reakcji. Konta, z których wystawiane są fałszywe oferty, to przejęte konta z długą historią – Allegro dość sprawnie je blokuje.
Was prosimy o pokazanie tego oszustwa bliskim i znajomym, zanim znowu zaleje nas fala zgłoszeń od oszukanych osób, jak było w przypadku scenariusza „na klienta OLX”.
Komentarze
Też trzeba zwrócić uwagę na to, ze allegro jak na jego portalu są oszustwa może zablokuje oszusta ale nadal jest tak samo co bezpieczeństwa dla kupującego jaki już pchnął pieniądze https://totemat.pl/ochrona-kupujacych-w-allegro-to-brak-ochrony/ allegro jak policja nie rozpocznie śledztwa i postępowania nic nie zrobi i ktoś nie odzyska pieniędzy. Inna sprawa to allegro lokalnie jest jakiś dziwnym ruchem, najgorszą możliwą opcją i dla sprzedawcy i dla klienta – a czemu tak zrobili, pewnie zyski.
Sęk w tym, że większość z tych 'oszustw’ wymaga dużo pracy i kombinacji, podawanie jakichś kodów z smsów sprzedającemu itd. Mi by się od razu zapaliła czerwona lampka, gdyby proces moich zakupów na allegro przebiegał chociażby w 1% inaczej niż zazwyczaj, czyli:
-znajduję interesującą mnie aukcję na allegro
-klikam kup teraz
-sprawdzam dane dostawy
-płacę przez blika/przelew
-czekam na potwierdzenie od allegro, że wpłata przeszła
-i tyle, czekam na przesyłkę
jako sqa od razu widze bledy w polskiej pisowni: ostatni screen : „opyznione” i ogolnie brak polskich znaków ….
Szefc bes butuf hodzi, powiadasz?;)
Odnosząc się do końcówki tekstu raczej nie „koniec historii”. Karty posiadają usługę chrageback. Nawet jak bank odrzuci reklamację (również zakładam, że tak będzie), należy zwrócić się za pośrednictwem banku do wystawcy karty i tu oszukany konsument powinien otrzymać zwrot środków.
Pozdrawiam
Michał
Tylko z punktu widzenia wystawcy karty pozwoliłeś komuś kupić sobie z twojej karty bitkoiny, czy zrobić z niej przelew środków czy wybrać z jej pomocą pieniądze bankomatu więc co chcesz chargebackowac skoro ta transakcja akurat przebiegła poprawnie? Musiałbyś ty zapłacisz sprzedającemu za towar i on musiałby się niewywiazac z umowy ale ty nigdy tego nie zrobiłeś tylko zacząłeś kombinować oszukiwać i się przejechałeś na tym.
Zgłaszałem takie coś allegro około miesiąca temu. Odpisali że nie widzą problemu oszustwa. Konto złotego próbowano mnie oszukac dalej istnieje
Allegro to olewa
Z tym, że sprawa nie dotyczy Allegro, tylko Allegro lokalnie, trzeba to wyraźnie zaznaczać od samego początku. Allegro lokalnie to dokładnie taki sam syf jak olx obecnie. Więcej oszustów niż normalnych sprzedających…
Domeny zgłaszajcie bezpośrednio do CERT Polska pod tym linkiem: https://incydent.cert.pl/domena#!/lang=pl
Jeśli chcielibyście używać listy CERT Polska/KAD, a także zależnie od ustawień blokować reklamy i tracking możecie skorzystać z nextDNS – https://soo.bearblog.dev/nextdns/
hm, w jakim to języku u i y czesto sie myli? (ktyry)
Jeśli intuicja jest trafna, to by znaczyło że autor ma pojęcie o transkrypcji/transliteracji fonetycznej, za to nie zszedł do poziomu etymologicznych źródeł ortografii. Mnie w szkole uczono, że jednym z testów na „u zwykłe czy z kreską”, jest porównanie wyrazu z jego rosyjskim odpowiednikiem. W naszym przypadku mamy „który” – „kotoryj”, czyli oczywiste byłoby pisanie polskiego wyrazu przez „ó”, więc „u” pomylonego z „y” zapewne użył ktoś przyzwyczajony do cyrylicy i niezastanawiający się nad niuansami historyczno-ortograficznymi.
Od 18 wieku w użyciu jest grażdankaa nie cyrylica.
Klawiatura autora strony zamieniła ó na y i usunęła inne polskie znaki:
opóźnione – opyznione
który – ktyry
Dlatego jeśli spora część ludzi nie potrafi sprawdzić czy domena gdzie podają dane do płatności jest prawidłowa, Allegro powinno dać możliwość ustawienia 2FA za pomocą sprzętowego klucza, żeby ograniczyć możliwość phishingu. Jest już nawet chyba jakieś rozszerzenie do przeglądarek, które działa jak sprzętowy klucz, więc nie trzeba wydawać kasy na Yubikeya.
I wtedy pojawi się wygodniejszy serwis Amazegro który nie będzie miał 2fa i do którego Januszku dające się oszukać zmigruja, a inteligentni którzy nie dadzą się nabrać na takie sztuczki tanie też zmigruja bo będą woleli wygodę. Ja np. na allegro robię zakupy najczęściej w pociągu bo wtedy mam chwilę i cenie sobie właśnie wygodny proces.
Już na pierwszym etapie komunikacji ze sprzedającym widać, że nie mówi poprawnie po polsku. Na takie coś to się nabierają tylko naiwni.
Ukrainiec albo bosy Hindus 😂
Właśnie dlatego w internecie nigdzie nie podaję danych z karty płacę tylko BLIKiem. Nawet jeśli ktoś by mnie oszukał to nie wyczyściłby mi całego konta.
BLIK nie ma chargeback. Nigdy nie miałem okazji (na szczęście!) reklamować transakcji BLIK, ale spodziewam się że to tak jak bitcoinem – jak poszło to już nie wróci :-)
Kod blik chroni przed takim oszustwem ale jak zamiast iPhona dostaniesz nadgryzione jablko to już lepiej mieć transakcje wykonana kartą.
Mnie oszust z allegro wysłał na tę stronę https://lombardjanusz.com
Udało się odzyskać pieniadze?
Się nie dziwię, żeby dostać HomePoda z pewnego źródła to trzeba mieć adres najbliżej w Niemczech. Do Polski nie ma opcji zamówić.
Można by to zakwalifikować jako cyber -szaber/szabrowinctwo. Myślę że to lepiej trafi do wyobraźni odbiorców i się utrwali niż oszustwo czy cyber atak
Mam kilka kont w kilku bankach. Każdy bank ma możliwość wysłać SMS na wskazany nr telefonu o operacji kartą. To nie kosztuje w większości banków. Ludzie na własne życzenie dają się oszukać.Podaja kody do autoryzacji operacji też.3D secure. Absurd. A potem mają pretensję do świata
@Polo
Przecież żeby autoryzować transakcję 3d secure musisz na stronie podać kod. Tyle, że w opisanym przypadku strona jest kontrolowana przez oszusta. Jeśli ktoś wcześniej tego nie zauważył, to poda złodziejowi kod – tamten na to właśnie liczy. Dlaczego tak Ciebie to dziwi?
Ja robię płatności kartą przedpłaconą, wirtualną, jednorazową. Po każdej transakcji karta zmienia numer.
Dlatego że ja płacę na stronie na PC a place (potwierdzam) w telefonie w aplikacji (nigdy nie z linku przysłanego przezkogos). Gdyby strona poprosiła mnie o kod a nie aplikacja to bym przerwał transakcje bo to oszustwo.
Miałem na myśli że kupuje na PC a potwierdzam płatność w telefonie.
A jak będziesz chciał zrobić chargeback, a kartę usunąłeś, to co zrobisz?
Napiszcie coś o tym jak gościu zamówił replikę broni z plastiku za 500 zl ,a dostał worek ziemniaków.
A co by było gdyby mu podać fikcyjne dane karty?
Nic – jak widać na zrzutach ekranu
Jedynym wymogiem autoryzacji karty w aplikacji google pay jest podanie kodu sms wysłanego przez bank?
Taki kod powinien być opatrzony specjalnym komunikatem typu próbujesz zainstalować kartę w nowym urządzeniu i tutaj model urządzenia, a także aplikacja powinna wykryć że kod został wysłany na inny numer telefonu, niż ten na który podpinana jest karta.
Tak, wraz z danymi karty. Ale bank nie widzi niczego oprócz danych karty. Apple czy Google nie mówi, z jakiego telefonu karta jest dodawana, o numerze nie wspominajac.
Opyznione / ktyry (ostatni obrazek z potwierdzeniem płatności) – raczej na allegro nie ma takich „wpadek”…
Czytając inne komentarze zauważyłem, że wiele osób wskazuję, że przebieg zakupów znacznie różni się od tego znanego z Allegro i fakt ten powinien zaalarmować kupującego.
Pominę poziom uświadomienia użytkowników, bo to znany problem, że osoby „techniczne” dziwią się często, że ktoś inny dał się oszukać. Chciałbym odnieść się do tego, że w przekręcie użyto Allegro Lokalnie. O ile z Allegro korzystałem wielokrotnie, o na Lokalnie nigdy nic nie kupiłem. Podejrzewam, że gdyby atakujący poprawił literówki to w sprzyjających okolicznościach mógłbym się dać nabrać, a uważam się za osobę o wysokim poziomie paranoi. Nawet błędy językowe z rozmowie ze „sprzedającym” by mnie bardzo nie zaalarmowały, bo przecież obcokrajowiec ma prawo mieszkać w Polsce i sprzedawać coś na Allegro.
Tak się teraz zastanawiam, czy Surface GO, którego widziałem ostatnio w okazyjnej cenie, właśnie na Allegro Lokalnie nie był próbą oszustwa :)
Podsumowując, moim zdaniem wybór Allegro Lokalnie był dobrym pomysłem, nad czym ubolewam.
Klikasz na linki wysylane SMSem i uwazaz sie za ostroznego??? Eee…? Ze jak?!
Nie robię żadnych zakupów w serwisach gdzie muszę użyć mojej karty bezpośrednio. To chyba najgorsza metoda kupowania na świecie. Nawet jak wszystko będzie ok to i tak ktoś te dane wykradnie (Morele i inne takie tam). Jedyne miejsce gdzie to zrobiłem to google. Tam nie ma innego wyjścia.
Client:64593789 (hubert lach) sprzedaje na allegro zużyte kody do różnych gier. To że kod jest zużyty widzimy dopiero po otwarciu szczegółów opisu. W tej chwili ma 18 takich aukcji, perfidnie oszukuje ludzi i jest bezkarny.