Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty
Czasem po stanie naszej skrzynki możemy szybko ocenić skalę kampanii przestępców – jeśli w ciągu kwadransa dociera do nas kilkanaście raportów o złośliwych wiadomościach, to wiemy, że warto o tym napisać, by uratować kilka potencjalnych ofiar.
Do polskich skrzynek pocztowych napłynęła dzisiaj rano spora fala złośliwych wiadomości podszywających się pod serwis Allegro i informujących o rzekomym wniosku kredytowym. Ich celem jest zainfekowanie telefonów z Androidem, co prowadzi do kradzieży pieniędzy z kont ofiar. Ostrzeżcie znajomych, a my pokażemy proces krok po kroku.
Potwierdzenie wniosku o limit kredytowy Raty Od.nowa
Dzisiaj ok. 2 – 3 w nocy przestępcy rozesłali wiadomość o temacie „Potwierdzenie wniosku o limit kredytowy Raty Od.nowa”. Wiadomość wyglądała tak:
Treść wiadomości to:
Witaj [email protected].
Potwierdź swoją prośbę o przyznanie kredytu Raty Od.nowa.
Informujemy, że Twój formularz o przyznanie limitu Raty Od.nowa został złożony prawidłowo. Zanim złożony wniosek zostanie wysłany do banku udzielającego pożyczki wymagamy weryfikacji email.
Przejdź do wniosku
Wiadomości wysyłane są ze zróżnicowanych adresów nadawców. Link „Przejdź do wniosku” prowadzi w każdej badanej przez nas próbce do adresu
http://102.130.124.5/redirect.html
który w momencie analizy przekierowuje do strony
https://allegro-credit.info/
Tam z kolei ofiara widzi taką stronę:
Fałszywa witryna przypomina wniosek kredytowy Allegro. Kolejne jej fragmenty mają za zadanie przekonać ofiarę, że faktycznie ktoś złożył w jej imieniu wniosek kredytowy.
Pod koniec strony znajdziemy za to guziki umożliwiające złożenie lub anulowanie wniosku.
Wybranie którejkolwiek opcji na komputerze spowoduje wyświetlenie takiego oto okienka:
Jeśli z kolei zajrzymy tam z telefonu z Androidem, otrzymamy prośbę o instalację aplikacji. Fragment kodu za to odpowiedzialny jest dość prosty:
Link do pobrania pliku ze złośliwą aplikacją to
https://allegro-credit.info/app/AllegroKredyty.apk
Aplikacja, którą przestępcy chcą infekować telefony, to najprawdopodobniej narzędzie Hydra, służące do instalacji kolejnego złośliwego oprogramowania, tym razem zapewne bankowego konia trojańskiego. Ten może wyłudzać login i hasło do banku oraz kraść kody SMS.
Warto zauważyć, że osoby posiadające aplikację mobilną banku z włączoną autoryzacją transakcji w aplikacji nie będą na ten atak podatne – złośliwa aplikacja na ich telefonie nie będzie mogła przeprowadzić autoryzacji przelewu bez ich wiedzy. Rezygnujcie z autoryzacji SMS, dopóki nie jest za późno.
Podsumowanie
Choć nasi regularni czytelnicy z łatwością rozpoznają takie ataki, to niestety większość internautów ma z tym duży problem. Można to powoli zmieniać – spróbujcie dzisiaj wytłumaczyć ten atak jednej osobie, o której sądzicie, że go może nie rozpoznać. Niech to będzie wasz środowy dobry uczynek :)
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Wyciekła baza ofiar producenta spyware – sprawdź, czy jest tam twój telefon
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: Jak zadbać o swoje bezpieczeństwo, używając Androida
- Podstawy Bezpieczeństwa: Biometria i inne sposoby ochrony Androida przed niepowołanym dostępem
Regularni czytelnicy to na dziendobry jak widza cos lewego to sprawdzaja zrodlo maila/strony i latwo rozpoznają fejki. Ale ma)ło kto ma na to czas i wiedzę czego i gdzie szukać.
„Warto zauważyć, że osoby posiadające aplikację mobilną banku z włączoną autoryzacją transakcji w aplikacji nie będą na ten atak podatne – złośliwa aplikacja na ich telefonie nie będzie mogła przeprowadzić autoryzacji przelewu bez ich wiedzy. Rezygnujcie z autoryzacji SMS, dopóki nie jest za późno.”
a jak przestępca na swoim telefonie aktywuje aplikację na dane ofiary?
jakie zabezpieczenia w banku chronią przed takim scenariuszem?
zgadzam się że autoryzacja w aplikacji to utrudnienie dla przestępcy, ale chyba jak jest trojan na telefonie to już sytuacja nie do uratowania
Domain Name: ALLEGRO-CREDIT.INFO
Registry Domain ID: D503300001186272565-LRMS
Registrar WHOIS Server: whois.porkbun.com
Registrar URL: https://porkbun.com
Updated Date: 2020-09-30T16:34:07Z <– został zabity
Dzięki za artykuł!
Pytanie jest takie:
Skąd przestępcy mieli dane z Allegro?
Czy to był ślepy strzał z jakiegoś wycieku, czy też uzyskali dostęp do danych allegro ?
Jakie dane z Allegro? Przecież w mailu jest adres e-mail ofiary, a nie imię i nazwisko, jak w prawdziwych mailach od serwisu (na co zresztą Allegro wielokrotnie zwraca uwagę)- przestępcy nie mieli danych użytkowników Allegro tylko wysyłają maile na „jakieś” adresy. Pytanie, czy takiego maila dostali też ci, którzy nie mają konta na Allegro.
Wypadałoby uściślić czy osoby do których dotarł wspomniany mail miały konto Allegro.
Taki mail do mnie dotarł , tak mam konto Allegro.
Uwierzcie są ludzie którzy nie mają konta Allegro… ;)
„to był ślepy strzał”. Ja dostałem tego maila na skrzynkę nie powiązaną z Allegro
Na targu są dobre kartofle
qrwa mać. po co korzystać z banku i innych w telefonie. Też dostałem tego maila, co najlepsze na skrzynkę nie powiązaną z Allegro. adres nadawcy niezbyt Allegrowy „Allegro Pożyczki [email protected]” Czy naprawdę w tym narodzie jest tylu półgłówków, że komuś chce się kombinować i wyłudzać w ten sposób???
Nie, bo atak jak widać jest bardzo dobrze przygotowany. Jest natomiast wiele osób, które spanikują, że „ktoś na mnie wziął kredyt” i klikną wszystko.
Ze smartfonów korzystają też osoby starsze, czasem niechcący w coś klikną.