Są tacy przestępcy, którzy ciągle używają sprawdzonych schematów oszustwa i trwają przy nich miesiącami, a są tacy, którzy są bardziej kreatywni i co chwilę próbują nowych sztuczek. Dzisiaj pokażemy efekt działania tej drugiej grupy.
Wiele osób zgłasza nam nowy, dobrze przygotowany scenariusz ataku. Przestępca zadbał zarówno o treść wiadomości, jak i o adresy, na które po drodze trafiają ofiary. Po drodze można nie tylko stracić pieniądze, ale i dane uwierzytelniające do Allegro.
Aktywacja konta Allegro
Scenariusz wygląda dość wiarygodnie. Oto treść wiadomości:
Szanowni Państwo
Informujemy, że zgodnie z interpretacją ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, serwis Allegro jest zobowiązany do zapobiegania występowaniu zjawiska prania pieniędzy i finansowania terroryzmu będącego skutkiem świadczenia usług dla osób fizycznych lub innych podmiotów posiadających zdolność do czynności prawnych.
W związku z powyższym serwis Allegro został zobligowany do regularnego weryfikowania tożsamości swoich użytkowników. Wszystkie konta zweryfikowane przed 1 czerwca 2020 muszą przejść ponowną weryfikację.
Możesz aktywować konto, korzystając z wpłaty online i przelewając na nasz rachunek najmniejszą możliwą kwotę – 1,01 zł. Aktywacja służy wyłącznie potwierdzeniu poprawności danych rejestracyjnych. Po aktywacji wpłaconą kwotę zwrócimy w całości na rachunek, z którego została przesłana. Środki odeślemy w ciągu 3 dni roboczych po aktywacji.
Proces aktywacji możesz przejść klikając w poniższy link:
AKTYWACJA KONTA ALLEGRO
Sama wiadomość wygląda tak:
Link do „aktywacji konta” prowadzi, w zależności od wersji wiadomości, do stron:
https://allegro4.pl/login/auth.php
https://allegro5.pl/login/auth.php
Co ciekawe, na tym samym adresie IP (w Home.pl, niestety nadal aktywnym) znaleźliśmy też domenę allegrolokalnie1.pl, ale nie udało nam się złapać jej treści.
Pod ww. adresami czeka fałszywy panel logowania Allegro:
Dane, które podamy, trafią do skryptu pod adresem
http://allegro5.pl/activate/veryfication.php
Jak widać, znajomość angielskiego nie jest mocną stroną napastnika. Stamtąd ofiara trafia na
http://allegro5.pl/activate/przelew.php
Tam z kolei ma kliknąć w „Przejdź do PayU”. Tym razem link prowadzi do
https://allegrofinanse2.pl/MYNKgeHn/hz6hZnA
gdzie czeka już dobrze nam znany formularz udający panel szybkich płatności.
Prawie bez błędów
Wiadomość jest skonstruowana poprawnie. Nadawcą jest [email protected], do wysłania użyty został ten sam serwer Home.pl, na którym stoi złośliwa witryna. W zasadzie jedynym błędem, rzucającym się w oczy, jest określenie „przelewając na nasz rachunek najmniejszą możliwą kwotę – 1,01 zł” – pewnie wszyscy wiecie, że przelać można także 0,01 zł. Poza tym kampania jest całkiem solidnie przygotowana, a strony są aktywne od kilkunastu godzin – można się zatem spodziewać, że ofiar nie brakuje.
Aktualizacja: Jak donoszą czytelnicy, sformułowanie o 1,01 zł jest skopiowane z procesu aktywacji konta Allegro. Pytanie zatem, dlaczego Allegro uznało akurat taką kwotę za „najmniejszą możliwą”. Ktoś zgadnie?
Oszustwa „na Dotpaya / Payu”
Myślicie, że wasi rodzice albo inne bliskie osoby mogą się złapać na taki atak? Chcecie spać spokojniej? Zafundujcie im kurs wideo Bezpieczeństwo Dla Każdego. Pokazujemy w nim podobne scenariusze i w przystępny sposób tłumaczymy, jak najprościej odróżnić strony prawdziwe od fałszywych. Uważne zapoznanie się z naszymi lekcjami pozwala nauczyć się rozpoznawać takie ataki i uchronić się przed nimi w przyszłości.
Komentarze
W zasadzie jedynym błędem, rzucającym się w oczy, jest określenie „przelewając na nasz rachunek najmniejszą możliwą kwotę – 1,01 zł” – pewnie wszyscy wiecie, że przelać można także 0,01 zł.
Jeśli to jest jedyny błąd rzucający się w oczy to jest to błąd Allegro bo to dokładna kopia treści z ich pomocy.
Nabrałbym się :( Dopiero na stronie udającej PayU bym się zastanowił że url jest nietypowy.
Mój FF już blokuje (Google Safe Browsing) wszystkie podane adresy.
Z ciekawości wrzuciłem linki z artykułu na urlscan io i widzę, że ten allegrofinanse2 jest blokowany przez Cloudflare (domena jest za CF właśnie). Jestem pod wrażeniem, nie wiedziałem, że mają taki feature.
Dobrze tam widzę noreply@alle”q”ro.pl ?
Może niekoniecznie w temacie, ale tyczy się samego Alleqro. Nie wiem, czy ludzie już się ogarnęli, ALE… obecnie wystawiając aukcję alleqro lokalnie płacimy prowizję ZA OBSŁUGĘ, nie za samą sprzedaż. Hmmmmm… No właśnie. Oznacza to, że podczas sprzedaży nie pobiera nam za to kasy w formie prowizji. Ciekawe. „Prowizja” jest pobierana w chwili zapłacenia za towar i jest to opłata ZA OBSŁUGĘ PŁATNOŚCI… Że co?! No właśnie. Na przykład. Sprzedałem czajnik. Ktoś za niego zapłacił. Ja zapłaciłem „prowizję”. Ale w następnym mailu ten ktoś pisze, że jednak nie chce tego czajnika lub po wysłaniu i obejrzeniu chce go zwrócić. NIE OTRZYMAUJĘ ZWROTU „prowizji”, bo to nie prowizja od sprzedaży, TYLKO OD OBSŁUGI PŁATNOŚCI… Nie otrzymujesz zwrotu „prowizji”, bo płatność została obsłużona. Nie rzadko zdarza się, że ktoś się rzmyśli i to są już nasze koszta. Czy jest tego dużo – może sobie każdy odpowiedzieć.
Opłaty – 7,9% wartości przedmiotu (z wyjątkiem działu Elektronika – 4,9%). Samo kliknięcie przycisku kup teraz lub zakończenie licytacji nie spowoduje naliczenia opłaty. Opłatę za obsługę transakcji pobierzemy dopiero, gdy:
– kupujący zrealizuje płatność online (w przypadku płatności z góry),
– kupujący wypełni formularz dostawy (w przypadku płatności za pobraniem lub przy odbiorze osobistym).
Z uwagi, że jednak takie ryzyko istnieje (ryzyko zwrotu) wolę jednak wystawiać po staremu. Żeby „obejść” temat wystawienia towaru na alleqro lokalnie, można go wystawić na starym fomularzu wystawiania aukcji. ALE… Tych aukcji nie widać potem z aplikacji Alleqro, bo… Nie są wystawione jako aukcja lokalna… Widać je natomiast w komputerze i aplikacji alleqro… Hmmm?!?!? Ano widać je w aplikacji, ALE… „allegro sprzedaż”… Że co?! Dokładnie. Alleqro SPRZEDAŻ. I faktycznie są tam aukcje wystawione na starym formularzu. No, fajnie. Jest też ikonka – wystaw nowy przedmiot. Po kliknięciu – PRZENOSI MNIE DO APLIKACJI ALLEQRO (tej pierwszej) i… mogę wystawić przedmiot jako aukcja lokalnie… Normalnie wow.
Ideą „Allegro Lokalnie” jest sprzedaż między dwiema osobami prywatnymi, a w takim przypadku przepisy prawa odnośnie 14 dni na zwrot nie obowiązują. Ktoś u Ciebie kupuje, płaci i tylko od Twojej dobrej woli zależy czy zwrócisz hajs.
Łukasz ma rację. 14 dni tyczy się tylko sytuacji jak konsument kupuje towar od przedsiębiorcy. Jak firma sprzedaje firmie, lub są dwie osoby fizyczne to 14 nie działa. To wynika z ustawy o prawach konsumenta. Co jest lepsze nie w każdym przypadku jak umowa jest zawarta poza lokalem i na odległość jest obowiązek przyjęcia zwrotu w ciągu 14 dni. Są liczne wyłączenia :)
Mam pytanie, a co sie dzieje po przelaniu 0,01 zł? Nie rozumiem, ofiara dostawala zlotowke od wrobionych ofiar, co to za przekret?
Tu sobie poczytaj: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-udajacych-posrednikow-szybkich-platnosci/
A mnie wydało się dziwne i podejrzane to, jak niby wpłata jakichś pieniędzy ma zweryfikować tożsamość i dane użytkownika? Przecież zapłacić może ktokolwiek.
W ten sposób da się co najwyżej sprawdzić, czy konto jest nadal używane, ale tutaj raczej nie o to chodzi…