W popularnym komunikatorze WhatsApp trwa właśnie kampania oszustów, którzy namawiają użytkowników do rozsyłania złośliwych linków w zamian za obietnicę otrzymania darmowych biletów lotniczych.
Atak zaczyna się od otrzymania od znajomej lub znajomego wiadomości prowadzącej do całkiem nieźle podrobionej rzekomej domeny LOTu, której adres wygląda prawie jak prawdziwy, co może zmylić część użytkowników.
Domena prawie jak prawdziwa
Otrzymywana wiadomość wygląda następująco:
LOT Polish Airlines rozdaje 2 darmowe bilety z okazji 89. rocznicy. Uzyskaj bezpłatne bilety na: http://www.lọt.com/ .
Zwróćcie uwagę na nazwę domeny – zawiera ona znak specjalny, literę „o” z kropką pod spodem. Wygląda prawie jak prawdziwa – lecz nią nie jest. Gdy ofiara da się skusić na kliknięcie (w końcu to darmowe bilety!) trafia na następujący ciąg wiadomości.
Najpierw musi odpowiedzieć na kilka bardzo prostych pytań. Zwróćcie uwagę na ciągle malejącą liczbę dostępnych biletów!
Gdy już odpowie (w absolutnie dowolny sposób) na pięć pytań, widzi nieśmiertelne „Gratulacja” i prośbę o wysłanie wiadomości do 20 kontaktów z WhatsAppa. Przycisk „zgłaszać bilety” jest nieaktywny dopóki nie kliknie przycisku „WhatsApp” (na zrzucie ekranu się już nie zmieścił). Po kliknięciu „WhatsApp” ofiara jest przenoszona do aplikacji, gdzie czeka na nią gotowy komunikat do wysłania (który widzieliście na początku artykułu) – i musi już tylko wybrać kogo nim poczęstuje. Nie musi wybierać 20 osób – wystarczy jedna by aktywować przycisk „zgłaszać bilety”.
Aktywowany przycisk prowadzi do strony
http://www.lọt.com/final.html
gdzie następuje cały ciąg przekierowań. My trafiliśmy w końcu na adres
https://www.najlepszedlaciebie.com/cgi-bin/wingame.pl?partner_pk=227&wingame_pk=56&freetest_pk=167&sub_id=3518-2400&sub_id_postback=1026743254e6e78d9b1f4efc4d921e
gdzie okazuje się, że dostaniemy 1500 PLN na bilety lotnicze Ryanair…
Musimy tylko zostawić absolutnie wszystkie nasze dane osobowe i zgodzić się na to, że przez następne kilka lat będziemy nieustannie bombardowani ofertami wszystkich możliwych usługodawców. Najwyraźniej firma toleadoo GmbH, która taki „konkurs” organizuje, płaci rekruterom ściągającym kolejnych naiwnych. Oczywiście 1500 PLN można wygrać – konkurs trwa zaledwie rok i pewnie zgłosi się do niego kilkaset tysięcy osób. Inne domeny tego samego schematu wyłudzania danych osobowych to
www.darmowe-zakupy.com www.fabryka-nagrod.com www.fabryka-nagrod.com www.fajnefanty.com www.nagroda-dla-ciebie.com www.twoj-bon.pl www.twoje-nagrody.com.pl www.twoje-nagrody.pl www.twoj-macbook.pl www.twoj-voucher.com www.wybieraj-wygrywaj.pl www.wytypowana-osoba-wygrywajaca.pl www.wytypowany-zwyciezca.com www.wytypowany-zwyciezca.pl
Przekazane w ten sposób dane mogą trafić do następujących firm działających w Polsce:
AJA Media Sp. z o.o. Bank Handlowy w Warszawie S.A. bon prix Sp. z o.o. Caf Call Sp. z o.o. Call Center Inter Galactica Sp. z o.o. CTDP Sp. z o.o. Digital Contact Sp. z o. o. Dom Kredytowy Notus Spółka Akcyjna ECONOMIST SP. Z O. O. Fortum Marketing and Sales Polska S.A. Fyrklövern Sp. z o.o. MAKSIMUM Sp. z o.o. HOLDING S.K.A. MobileB2B Sp. z o. o. Multiratka.pl Sp. z o.o. My Travel Sp. z o.o. Nationale-Nederlanden Towarzystwo Ubezpieczeń na Życie S.A. Nationale-Nederlanden Usługi Finansowe S.A. Niezależne Wydawnictwo Informacyjne Sp z o.o. Orange Polska S.A. P4 Sp. z o.o. Salelifter sp. z o.o Tarsago Polska Sp. z o.o. Towarzystwo Ubezpieczeń Europa S.A. Zuwi Sp. z o.o.
Przekażcie wiadomość znajomym, by nie zostawiali swoich danych na przypadkowych stronach w sieci, bo potem zastanawiają się, „skąd te firmy mają nasze dane i dlaczego tyle do nas dzwonią”… Co ciekawe, to nie nie pierwszy tego typu incydent – bardzo podobny analizowaliśmy dwa lata temu.
Opisane powyżej oszustwo
trafia do naszego szkolenia uświadamiającego pracowników – ponieważ zawsze dbamy o to, by w materiale były jak najświeższe przykłady. Chcesz zobaczyć co jeszcze w nim pokazujemy? Zaproś nas do swojej firmy.
Aktualizacja
Otrzymaliśmy komentarz firmy Orange, który zamieszczamy w całości:
Wojciech Jabczyński, rzecznika Orange Polska
Komentarze
Patrząc na te fachowa stronę lotu aż się zastanawiam jakim trzeba być debilem, żeby uwierzyć że to prawdziwa strona firmowa dużego przewoźnika lotniczego. Lepiej zrobione były e-ziny 15 lat temu…
Biorąc pod uwagę jak topornie działa ich aplikacja na smartfony, to ta lewa strona to profeska :)
Pytam dlaczego przynajmniej w nawiasie nie jest powadana nazwa xn-- dla takiej domeny? Jestem przeciwniczką krajowych znaków w domenach bez podania przynajniej nazwy zapisanej w ASCII.
Jeszcze brakuje nam ruskiego er zamiast polskiego pe – wtedy można sobie szukać ze świecą różnic w wyglądzie. Ciekawe kiedy tak załatwią payu. Właściwie to wszystkie te litery można zastąpić ruskimi (-;
Już był taki incydent, lewa bramka płatności. Przypięte do lewego sklepu. Zgłoszone i znikło.
Mnie właśnie też zastanawia, czemu Google Chrome nie pokazuje „www.xn--lt-68s.com” po najechaniu wskaźnikiem na ten link. W przypadku wielu innych domen IDN tak robi, a tu kuku. Zupełnie jakby tylko pewien zakres znaków traktował jako Unicode.
Tylko na prawdę ciśnie się jeden komentarz do tego jak to przeglądarki i serwisy wyświetlają: xn--al-vva.pl
Stary biznes: http://mielecin.pl/oszusci-w-internecie/twojenagrody-pl-oszustwo
Uważajcie, podobny scenariusz tylko na Lufthansę:
Lufthansa verlost 2 Freikarten zum 65. Geburtstag. Erhalten Sie Ihre Freikarten bei: „http://www.lufthạnsa.com/”
tu jest a z kropką na dole.
Akcja na rybkę, która złapie paprocha (-; Ci co mają Firefoxa mogą w głębokim ukryciu (about:config) ustawić sobie blokadę wyświeltania takich znaków i wszystkie domeny które rozpoczynają się sekwencją xn-- traktować jako podejrzane.
Witam.
A jak usunąć swoje dane jak się im je już podało?
No one asks, but who ran this link like me (stupid me I know), but what data was stolen from my phone? did it install anything?
Thank you in advance