30.09.2020 | 11:27

Adam Haertle

Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty

Czasem po stanie naszej skrzynki możemy szybko ocenić skalę kampanii przestępców – jeśli w ciągu kwadransa dociera do nas kilkanaście raportów o złośliwych wiadomościach, to wiemy, że warto o tym napisać, by uratować kilka potencjalnych ofiar.

Do polskich skrzynek pocztowych napłynęła dzisiaj rano spora fala złośliwych wiadomości podszywających się pod serwis Allegro i informujących o rzekomym wniosku kredytowym. Ich celem jest zainfekowanie telefonów z Androidem, co prowadzi do kradzieży pieniędzy z kont ofiar. Ostrzeżcie znajomych, a my pokażemy proces krok po kroku.

Potwierdzenie wniosku o limit kredytowy Raty Od.nowa

Dzisiaj ok. 2 – 3 w nocy przestępcy rozesłali wiadomość o temacie „Potwierdzenie wniosku o limit kredytowy Raty Od.nowa”. Wiadomość wyglądała tak:

Wygląd wiadomości

Treść wiadomości to:

Witaj [email protected].

Potwierdź swoją prośbę o przyznanie kredytu Raty Od.nowa.

Informujemy, że Twój formularz o przyznanie limitu Raty Od.nowa został złożony prawidłowo. Zanim złożony wniosek zostanie wysłany do banku udzielającego pożyczki wymagamy weryfikacji email.
Przejdź do wniosku

Wiadomości wysyłane są ze zróżnicowanych adresów nadawców. Link „Przejdź do wniosku” prowadzi w każdej badanej przez nas próbce do adresu

http://102.130.124.5/redirect.html

który w momencie analizy przekierowuje do strony

https://allegro-credit.info/

Tam z kolei ofiara widzi taką stronę:

Fałszywa witryna przypomina wniosek kredytowy Allegro. Kolejne jej fragmenty mają za zadanie przekonać ofiarę, że faktycznie ktoś złożył w jej imieniu wniosek kredytowy.

Pod koniec strony znajdziemy za to guziki umożliwiające złożenie lub anulowanie wniosku.

Wybranie którejkolwiek opcji na komputerze spowoduje wyświetlenie takiego oto okienka:

Jeśli z kolei zajrzymy tam z telefonu z Androidem, otrzymamy prośbę o instalację aplikacji. Fragment kodu za to odpowiedzialny jest dość prosty:

Link do pobrania pliku ze złośliwą aplikacją to

https://allegro-credit.info/app/AllegroKredyty.apk

Aplikacja, którą przestępcy chcą infekować telefony, to najprawdopodobniej narzędzie Hydra, służące do instalacji kolejnego złośliwego oprogramowania, tym razem zapewne bankowego konia trojańskiego. Ten może wyłudzać login i hasło do banku oraz kraść kody SMS.

Warto zauważyć, że osoby posiadające aplikację mobilną banku z włączoną autoryzacją transakcji w aplikacji nie będą na ten atak podatne – złośliwa aplikacja na ich telefonie nie będzie mogła przeprowadzić autoryzacji przelewu bez ich wiedzy. Rezygnujcie z autoryzacji SMS, dopóki nie jest za późno.

Podsumowanie

Choć nasi regularni czytelnicy z łatwością rozpoznają takie ataki, to niestety większość internautów ma z tym duży problem. Można to powoli zmieniać – spróbujcie dzisiaj wytłumaczyć ten atak jednej osobie, o której sądzicie, że go może nie rozpoznać. Niech to będzie wasz środowy dobry uczynek :)

Powrót

Komentarze

  • 2020.09.30 14:02 Sloma1986

    Regularni czytelnicy to na dziendobry jak widza cos lewego to sprawdzaja zrodlo maila/strony i latwo rozpoznają fejki. Ale ma)ło kto ma na to czas i wiedzę czego i gdzie szukać.

    Odpowiedz
  • 2020.09.30 16:23 Alien

    „Warto zauważyć, że osoby posiadające aplikację mobilną banku z włączoną autoryzacją transakcji w aplikacji nie będą na ten atak podatne – złośliwa aplikacja na ich telefonie nie będzie mogła przeprowadzić autoryzacji przelewu bez ich wiedzy. Rezygnujcie z autoryzacji SMS, dopóki nie jest za późno.”
    a jak przestępca na swoim telefonie aktywuje aplikację na dane ofiary?
    jakie zabezpieczenia w banku chronią przed takim scenariuszem?
    zgadzam się że autoryzacja w aplikacji to utrudnienie dla przestępcy, ale chyba jak jest trojan na telefonie to już sytuacja nie do uratowania

    Odpowiedz
  • 2020.09.30 21:33 Atro

    Domain Name: ALLEGRO-CREDIT.INFO
    Registry Domain ID: D503300001186272565-LRMS
    Registrar WHOIS Server: whois.porkbun.com
    Registrar URL: https://porkbun.com
    Updated Date: 2020-09-30T16:34:07Z <– został zabity

    Dzięki za artykuł!

    Odpowiedz
  • 2020.10.01 09:16 Robert

    Pytanie jest takie:

    Skąd przestępcy mieli dane z Allegro?

    Czy to był ślepy strzał z jakiegoś wycieku, czy też uzyskali dostęp do danych allegro ?

    Odpowiedz
    • 2020.10.01 20:58 zagadka

      Jakie dane z Allegro? Przecież w mailu jest adres e-mail ofiary, a nie imię i nazwisko, jak w prawdziwych mailach od serwisu (na co zresztą Allegro wielokrotnie zwraca uwagę)- przestępcy nie mieli danych użytkowników Allegro tylko wysyłają maile na „jakieś” adresy. Pytanie, czy takiego maila dostali też ci, którzy nie mają konta na Allegro.

      Odpowiedz
      • 2020.10.02 07:45 Robert

        Wypadałoby uściślić czy osoby do których dotarł wspomniany mail miały konto Allegro.
        Taki mail do mnie dotarł , tak mam konto Allegro.

        Uwierzcie są ludzie którzy nie mają konta Allegro… ;)

        Odpowiedz
    • 2020.10.02 12:18 mly

      „to był ślepy strzał”. Ja dostałem tego maila na skrzynkę nie powiązaną z Allegro

      Odpowiedz
  • 2020.10.01 19:04 Stefan

    Na targu są dobre kartofle

    Odpowiedz
  • 2020.10.02 12:16 mly

    qrwa mać. po co korzystać z banku i innych w telefonie. Też dostałem tego maila, co najlepsze na skrzynkę nie powiązaną z Allegro. adres nadawcy niezbyt Allegrowy „Allegro Pożyczki [email protected]” Czy naprawdę w tym narodzie jest tylu półgłówków, że komuś chce się kombinować i wyłudzać w ten sposób???

    Odpowiedz
    • 2020.10.02 21:39 Msz

      Nie, bo atak jak widać jest bardzo dobrze przygotowany. Jest natomiast wiele osób, które spanikują, że „ktoś na mnie wziął kredyt” i klikną wszystko.

      Odpowiedz
    • 2020.10.20 18:40 niepodam

      Ze smartfonów korzystają też osoby starsze, czasem niechcący w coś klikną.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty

Komentarze