Uwaga na nową falę ataków – celem sprzedawcy Allegro

dodał 28 września 2015 o 15:00 w kategorii Złośniki  z tagami:
Uwaga na nową falę ataków – celem sprzedawcy Allegro

Od kilku godzin otrzymujemy zgłoszenia nowej fali ataków charakterystycznych dla fiat126pteam. Charakteryzuje je nowa, zmodyfikowana warstwa graficzna oraz inna grupa docelowa – są nią sprzedawcy z Allegro.

Po poprzednio opisywanej przez nas fali ataków przez ostatnie kilka dni nie widać było żadnych nowych wysyłek of fiat126pteam. Dopiero dzisiaj pojawiła się kolejna kampania i wygląda na to, że autorzy pracowali nad nową grafiką.

Tradycyjnie solidne przygotowanie

Treść komunikacji jest cechą charakterystyczną fiat126pteam – wiarygodnie brzmiące i dostosowane do charakteru odbiorców wiadomości mogą zwieść czytających. W aktualnej kampanii wiadomość ma tytuł „Pomyłka w otrzymanym zamówieniu” a treść wygląda następująco:

Dzień dobry,

Około tygodnia temu zamówiłem u Państwa w sklepie za pośrednictwem allegro kilka przedmiotów użytku domowego. Zamówienie składałem mailowo ponieważ nie posiadam konta na Allegro.

Zapewniono mnie o dostępie do towaru oraz szybkiej wysyłce po wpłacie środków, co uczyniłem przesyłając pieniądze na konto w ING.

Paczka dotarła dotarła w dniu dzisiejszym, po dośc dłguim opóźnieniu. Problemem jest, iż nie dość że zamówienie było znacząco opóźnione to otrzymałem towar za który niestety, ale nie zapłaciłem …

Wysłali do mnie Państwo przedmiot z zupełnie innej aukcji, mianowicie;

[link do aukcji allegro]

Zastanawia mnie czy ktoś przypadkiem nie odberał mojego zamówienia…

Interesują mnie na tym etapie dwa możliwe rozwiązania sytuacji.
1. Zwrot środków w całości na mój rachunek z którego otrzymali Państwo przelew na swoje konto ing
2. Wysyłka w zamówionego towaru w ciągu 24h …

Oczywiście przedmiot, który otrzymałem przez pomylkę odeslę na podany adres.
Dla przypomnienia jeszcze raz załączam potwierdzenie przelewu na konto w ING, szczególy mojego zamówienia a także zdjęcie tego co otrzymałem:

http://docs.kraket.eu/?file=szczegoly_zamowienia_allegro_andrzej_jarzebski.doc

Proszę o odpowiedź jeszcze w dniu dzisiejszym, w innym wypadku będę zmuszony zgłosić sprawę do serwisu allegro.pl, mam jednak nadzieję na polubowne rozwiązanie sprawy

Z poważaniem,
Andrzej Jastrzębski

Drugi, lekko zmodyfikowany wariant tej same wiadomości:

Dzień dobry,

Blisko ponad tydzień temu zamówiłem u Państwa za pośrednictwem serwisu allegro parę przedmiotów użytku domowego. Zamówienie składałem mailowo gdyż nie posiadam konta na serwisie allegro. Zapewniono mnie o dostępności poszukiwanego towaru oraz natychmiastowej wysyłce po wpłacie środków, co też uczyniłem przelewając pieniądze na konto w mBank.

Dla przypomnienia jeszcze raz załączam potwierdzenie wykonanego przelewu na Państwa konto w mbanku, szczególy mojego zamówienia oraz zdjęcie tego co otrzymałem na dowód pomyłki w wysyłce. Mam nadzieję, że to wyjaśni sprawę.

http://docs.rakone.eu/?file=szczegoly_zamowienia_allegro_janusz_romanowski.doc

Wysłali do mnie Państwo towar z zupełnie innej aukcji, mianowicie;

[link do aukcji]

Zastanawia mnie teraz czy ktoś zatem odberał moje zamówienie.

Interesują mnie na tym etapie dwa możliwe rozwiązania sytuacji.

1. Zwrot środków w całości na mój rachunek bankowy z którego otrzymali Państwo przelew na swoje konto w mBank
2. Wysyłka w całości zamówionego towaru w ciągu 24h …

Proszę o ustosunkowanie się do mojej prośby jeszcze w dniu dzisiejszym. Plik zawiera wszystko co od Państwa dostałem oraz szczegóły zamówienia.

Z poważaniem,
Janusz Romanowski

Co ważne, link do aukcji faktycznie prowadzi do aukcji odbiorcy wiadomości a nazwa banku wymieniowego w treści emaila także odpowiada bankowi obsługującemu rachunek odbiorcy.

Nowa szata graficzna

Atak ma wszystkie cechy poprzednich edycji, oprócz jednej, dość istotnej z punktu widzenia przeciętnego użytkownika. Warstwa graficzna wygląda inaczej niż w poprzednich 4 przypadkach:

fiat126pteam - nowa grafika

fiat126pteam – nowa grafika

Wybranie opcji „Napraw teraz” powoduje pobranie pliku

Z kolei pod adresem kraket.eu (lub rakone.eu) widnieje bardzo uproszczona witryna, nie wskazująca na żadną firmę (co pasuje do prywatnego charakteru wysyłanej wiadomości):

Domena kraket.eu

Domena kraket.eu

Ciekawe jest to, że tym razem domeny zarejestrowano realtywnie wcześnie – rakone.eu i kraket.eu 17 września, a mscenter.com 23go września. Z kolei złośliwy plik wygląda – przynajmniej na pierwszy rzut oka – na bardzo podobny do dotychczas używanych:

Atak nosi wszystkie istotne cechy dotychczasowych popisów fiat126pteam: wiarygodność wiadomości, mechanizm dostarczenia złośliwego pliku, sposób rejestracji domen, sposób wysyłki poczty, nagłówki wiadomości – albo ktoś wykupił franczyzę, albo jest to nowy występ tych samych autorów.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside

Dziękujemy osobom, które nadesłały informacje o atakach.