Uwaga na dużą falę ataków udających pośredników szybkich płatności

dodał 22 listopada 2018 o 17:06 w kategorii Socjo  z tagami:
Uwaga na dużą falę ataków udających pośredników szybkich płatności

Święta się zbliżają i przestępcy też muszą zarobić na prezenty. Codziennie widzimy wiele nowych ataków, ale to, co dzieje się dzisiaj, to wyjątkowy napór internetowych oszustów. Pod różnymi pretekstami podszywają się pod pośredników płatności i czyszczą konta.

Skuteczność oszustw, gdzie ofiara trafia na fałszywą stronę Dotpaya, musi być wyjątkowo duża, ponieważ widzimy coraz to nowe ataki oparte o ten sam schemat. Ofiary są przekonywane, że powinny zapłacić / dopłacić do zakupów, aktywacji konta czy kuriera, a w efekcie tracą wszystkie pieniądze ze swojego konta. Oto kilka przykładów.

Kupił na Morele.net, dostał zaraz SMS-a od przestępców

Jeden z Wykopowiczów opowiedział ciekawą historię. Zrobił zakupy w sklepie Morele.net i krótko potem dostał takiego oto SMS-a:

Jak pisze sam zaatakowany, do zamówienia użył nowego konta i numeru, którego nie używał wcześniej. Skąd zatem przestępcy mieli jego numer komórki i wiedzieli, że zrobił zakupy w Morele.net? Sklep wyjaśnia następująco:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu.

Masowości? Nie wygląda to na masowy atak. Od wczoraj w linka kliknięto jedynie ok. 80 razy, z czego bez wątpienia część to badacze, analizujący ten atak. Oczywiście jest taka możliwość, że linków było więcej – jednak skoro 80 kliknęło akurat w tego, to jest szansa, że atak jednak nie był masowy.

Na Wykopie oficjalne konto Morele.net dodało:

Prawdopodobnie wyciekła baza dużego operatora logistycznego, który obsługuje wszystkie sklepy, i mamy już informacje, że podobny problem wystepuje u innych.

Użycie czasu przeszłego nie wydaje się tu zasadne – jeśli do ataków dochodzi na bieżąco, to i dane na bieżąco muszą wyciekać. Dajcie znać, jeśli dostaliście podobnego SMS-a.

Co czekało pod linkiem

Po kliknięciu w link można było znaleźć się na takiej oto stronie:

Jak przebiega ciąg dalszy oszustwa – zobaczycie pod koniec artykułu. Podobnych ataków było bowiem więcej.

Weryfikacja konta na OtoMoto

Dowiedzieliśmy się także o scenariuszu, w którym przestępcy nakłaniają ofiary do „weryfikacji konta na OtoMoto” za pomocą przelewu na kwotę 1 PLN. Tak wygląda strona, na której lądują ofiary:

Jak widać, mimo innej ścieżki, mechanizm oszustwa będzie podobny. Ale to nie koniec – mamy też trzeci scenariusz.

Fałszywy panel PayU

To zaskakujące odkrycie. Ostatnio zdecydowanie dominują fałszywe panele płatności Dotpay, a tu nagle panel… PayU.

Wygląda na to, że tu mamy do czynienia z innymi autorami – pula banków do wyboru jest dużo większa.

Jak to działa

W jaki sposób ofiary tracą wszystkie swoje pieniądze? Mechanizm jest prosty i odbywa się w kilku krokach.

  1. Ofiara ląduje na fałszywej stronie pośrednika płatności. Dróg do wyboru, jak widzicie, jest wiele.

2. Ofiara nie zwraca uwagi na to, że nie jest na prawdziwej stronie Dotpaya i inicjuje proces płatności. Wybiera jeden z banków. Ofiara nie zwraca uwagi, że nie jest na stronie banku i podaje swój login.

3. Następnie podaje swoje hasło. Przestępcy omijają hasło maskowalne, wyświetlając całą maskę. Ofiara się cieszy, że nie musi w końcu liczyć literek swojego skomplikowanego hasła.

4. Przestępcy biorą login i hasło ofiary i logują się do prawdziwego banku, gdzie definiują przelew zaufany. Ofiara czeka.

5. Gdy przelew jest zdefiniowany, ofiara lada moment dostanie wiadomość SMS z kodem jednorazowym. Trzeba przygotować jego wyłudzenie. Ofiara dostaje ekran łudząco podobny do systemu bankowego.

Wszystkie szczegóły płatności – oprócz numeru rachunku ofiary – się zgadzają. Ale kto sprawdza swój numer rachunku na stronie banku…

6. Ofiara jest proszona o podanie kodu jednorazowego, który właśnie przyszedł w SMS-ie.

7. Ofiara się myli, więc otrzymuje komunikat o błędzie. Następnym razem wpisuje kod prawidłowo.

8. Proces zakończony prawidłowo, ofiara autoryzowała przelew zaufany, którym za chwilę z jej rachunku zostaną wyprowadzone wszystkie zgromadzone tam środki. Gdyby wykonanie przelewu wymagało np. zmiany limitów transakcji, ofiara zostanie poproszona o kod SMS ponownie, pod pretekstem błędu w poprzedniej próbie.

Ładnie wygląda, prawda?

Jeśli ktoś nie zwróci uwagi na adres strony i treść SMS-a, to naprawdę nie jest trudno paść ofiarą złodziei. Wyślijcie link do tego artykułu swoim bliskim i znajomym, bo tego rodzaju ataki zdarzają się w ostatnich dniach bardzo często i ludzie tracą oszczędności swojego życia.

Jeśli chcecie pokazać takie ataki (i wiele innych) swoim pracownikom, to zapraszamy do kontaktu – mamy jeszcze wolne dni w styczniu, kiedy możemy przyjechać i pokazać, jak krok po kroku działają przestępcy.