27.02.2018 | 09:41

Adam Haertle

Uwaga na kampanię oszustów oferujących „darmowe bilety” LOTu

W popularnym komunikatorze WhatsApp trwa właśnie kampania oszustów, którzy namawiają użytkowników do rozsyłania złośliwych linków w zamian za obietnicę otrzymania darmowych biletów lotniczych.

Atak zaczyna się od otrzymania od znajomej lub znajomego wiadomości prowadzącej do całkiem nieźle podrobionej rzekomej domeny LOTu, której adres wygląda prawie jak prawdziwy, co może zmylić część użytkowników.

Domena prawie jak prawdziwa

Otrzymywana wiadomość wygląda następująco:

LOT Polish Airlines rozdaje 2 darmowe bilety z okazji 89. rocznicy. Uzyskaj bezpłatne bilety na: http://www.lọt.com/ .

Zwróćcie uwagę na nazwę domeny – zawiera ona znak specjalny, literę „o” z kropką pod spodem. Wygląda prawie jak prawdziwa – lecz nią nie jest. Gdy ofiara da się skusić na kliknięcie (w końcu to darmowe bilety!) trafia na następujący ciąg wiadomości.


Najpierw musi odpowiedzieć na kilka bardzo prostych pytań. Zwróćcie uwagę na ciągle malejącą liczbę dostępnych biletów!

Gdy już odpowie (w absolutnie dowolny sposób) na pięć pytań, widzi nieśmiertelne „Gratulacja” i prośbę o wysłanie wiadomości do 20 kontaktów z WhatsAppa. Przycisk „zgłaszać bilety” jest nieaktywny dopóki nie kliknie przycisku „WhatsApp” (na zrzucie ekranu się już nie zmieścił). Po kliknięciu „WhatsApp” ofiara jest przenoszona do aplikacji, gdzie czeka na nią gotowy komunikat do wysłania (który widzieliście na początku artykułu) – i musi już tylko wybrać kogo nim poczęstuje. Nie musi wybierać 20 osób – wystarczy jedna by aktywować przycisk „zgłaszać bilety”.

Aktywowany przycisk prowadzi do strony

http://www.lọt.com/final.html

gdzie następuje cały ciąg przekierowań. My trafiliśmy w końcu na adres

https://www.najlepszedlaciebie.com/cgi-bin/wingame.pl?partner_pk=227&wingame_pk=56&freetest_pk=167&sub_id=3518-2400&sub_id_postback=1026743254e6e78d9b1f4efc4d921e

gdzie okazuje się, że dostaniemy 1500 PLN na bilety lotnicze Ryanair…

Musimy tylko zostawić absolutnie wszystkie nasze dane osobowe i zgodzić się na to, że przez następne kilka lat będziemy nieustannie bombardowani ofertami wszystkich możliwych usługodawców. Najwyraźniej firma toleadoo GmbH, która taki „konkurs” organizuje, płaci rekruterom ściągającym kolejnych naiwnych. Oczywiście 1500 PLN można wygrać – konkurs trwa zaledwie rok i pewnie zgłosi się do niego kilkaset tysięcy osób. Inne domeny tego samego schematu wyłudzania danych osobowych to

www.darmowe-zakupy.com
 www.fabryka-nagrod.com
 www.fabryka-nagrod.com
 www.fajnefanty.com
 www.nagroda-dla-ciebie.com
 www.twoj-bon.pl
 www.twoje-nagrody.com.pl
 www.twoje-nagrody.pl
 www.twoj-macbook.pl
 www.twoj-voucher.com
 www.wybieraj-wygrywaj.pl
 www.wytypowana-osoba-wygrywajaca.pl
 www.wytypowany-zwyciezca.com
 www.wytypowany-zwyciezca.pl

Przekazane w ten sposób dane mogą trafić do następujących firm działających w Polsce:

AJA Media Sp. z o.o.
 Bank Handlowy w Warszawie S.A.
 bon prix Sp. z o.o.
 Caf Call Sp. z o.o.
 Call Center Inter Galactica Sp. z o.o.
 CTDP Sp. z o.o.
 Digital Contact Sp. z o. o.
 Dom Kredytowy Notus Spółka Akcyjna
 ECONOMIST SP. Z O. O.
 Fortum Marketing and Sales Polska S.A.
 Fyrklövern Sp. z o.o.
 MAKSIMUM Sp. z o.o. HOLDING S.K.A.
 MobileB2B Sp. z o. o.
 Multiratka.pl Sp. z o.o.
 My Travel Sp. z o.o.
 Nationale-Nederlanden Towarzystwo Ubezpieczeń na Życie S.A.
 Nationale-Nederlanden Usługi Finansowe S.A.
 Niezależne Wydawnictwo Informacyjne Sp z o.o.
 Orange Polska S.A.
 P4 Sp. z o.o.
 Salelifter sp. z o.o
 Tarsago Polska Sp. z o.o.
 Towarzystwo Ubezpieczeń Europa S.A.
 Zuwi Sp. z o.o.

Przekażcie wiadomość znajomym, by nie zostawiali swoich danych na przypadkowych stronach w sieci, bo potem zastanawiają się, „skąd te firmy mają nasze dane i dlaczego tyle do nas dzwonią”… Co ciekawe, to nie nie pierwszy tego typu incydent – bardzo podobny analizowaliśmy dwa lata temu.

Opisane powyżej oszustwo

trafia do naszego szkolenia uświadamiającego pracowników – ponieważ zawsze dbamy o to, by w materiale były jak najświeższe przykłady. Chcesz zobaczyć co jeszcze w nim pokazujemy? Zaproś nas do swojej firmy.

Aktualizacja

Otrzymaliśmy komentarz firmy Orange, który zamieszczamy w całości:

Orange nie zamawiał od toleadoo GmbH – firmy prowadzącej opisane działania żadnych danych. Nie jesteśmy jej „sponsorem” ani „partnerem”. Również żaden z agentów ani subagentów świadczących usługi na rzecz Orange Polska nie zamawiał od tej firmy danych. Umowy, które określają zasady współpracy Orange z agentami i subagentami jasno precyzują, by bazy przez nich wykorzystywane pochodziły z legalnego źródła oraz nie naruszały żadnych praw osób trzecich. Dodatkowo, żeby zabezpieczyć klientów Orange Polska przed atakiem, polegającym na próbie wyłudzenia danych osobowych, zdecydowaliśmy się zablokować strony internetową, która została wskazana w tekście.

Wojciech Jabczyński, rzecznika Orange Polska

Powrót

Komentarze

  • 2018.02.27 11:29 Papaj

    Patrząc na te fachowa stronę lotu aż się zastanawiam jakim trzeba być debilem, żeby uwierzyć że to prawdziwa strona firmowa dużego przewoźnika lotniczego. Lepiej zrobione były e-ziny 15 lat temu…

    Odpowiedz
    • 2018.02.27 16:35 Alagner

      Biorąc pod uwagę jak topornie działa ich aplikacja na smartfony, to ta lewa strona to profeska :)

      Odpowiedz
  • 2018.02.27 12:57 Pytam dlaczego

    Pytam dlaczego przynajmniej w nawiasie nie jest powadana nazwa xn-- dla takiej domeny? Jestem przeciwniczką krajowych znaków w domenach bez podania przynajniej nazwy zapisanej w ASCII.

    Jeszcze brakuje nam ruskiego er zamiast polskiego pe – wtedy można sobie szukać ze świecą różnic w wyglądzie. Ciekawe kiedy tak załatwią payu. Właściwie to wszystkie te litery można zastąpić ruskimi (-;

    Odpowiedz
    • 2018.02.27 19:01 B&B

      Już był taki incydent, lewa bramka płatności. Przypięte do lewego sklepu. Zgłoszone i znikło.

      Odpowiedz
    • 2018.02.28 08:25 Piotr

      Mnie właśnie też zastanawia, czemu Google Chrome nie pokazuje „www.xn--lt-68s.com” po najechaniu wskaźnikiem na ten link. W przypadku wielu innych domen IDN tak robi, a tu kuku. Zupełnie jakby tylko pewien zakres znaków traktował jako Unicode.

      Odpowiedz
  • 2018.02.27 12:58 Pytam dlaczego?

    Tylko na prawdę ciśnie się jeden komentarz do tego jak to przeglądarki i serwisy wyświetlają: xn--al-vva.pl

    Odpowiedz
  • 2018.02.27 18:12 Mateusz

    Uważajcie, podobny scenariusz tylko na Lufthansę:

    Lufthansa verlost 2 Freikarten zum 65. Geburtstag. Erhalten Sie Ihre Freikarten bei: „http://www.lufthạnsa.com/”

    tu jest a z kropką na dole.

    Odpowiedz
  • 2018.02.27 20:00 Xn

    Akcja na rybkę, która złapie paprocha (-; Ci co mają Firefoxa mogą w głębokim ukryciu (about:config) ustawić sobie blokadę wyświeltania takich znaków i wszystkie domeny które rozpoczynają się sekwencją xn-- traktować jako podejrzane.

    Odpowiedz
  • 2018.03.01 11:09 Asia

    Witam.
    A jak usunąć swoje dane jak się im je już podało?

    Odpowiedz
  • 2018.03.01 16:01 alex

    No one asks, but who ran this link like me (stupid me I know), but what data was stolen from my phone? did it install anything?
    Thank you in advance

    Odpowiedz

Zostaw odpowiedź do Piotr

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na kampanię oszustów oferujących „darmowe bilety” LOTu

Komentarze