Robicie zakupy w internetowym sklepie. Towar nie dociera, a z Waszego konta znikają wszystkie pieniądze. Niemożliwe? Niestety to może być rezultat najnowszego pomysłu przestępców atakujących polskich internautów.
Opisywaliśmy już zarówno fałszywe sklepy, jak i fałszywe strony pośredników płatności. Tym razem złodzieje połączyli dwa pomysły i chcąc złapać okazję, można stracić nie tylko kwotę równą cenie produktu, ale wszystkie pieniądze z konta. Poniżej opisujemy dwa scenariusze takich ataków.
Przerwa techniczna
Jeśli szukacie w Google klocków LEGO, to możecie bardzo łatwo trafić na fałszywy sklep mojeklocki.com. Na poniższym zrzucie ekranu to pierwsza (!) opcja.
Nazwa sklepu jest podobna do innych sklepów z klockami. Sama strona sklepu nie wygląda szczególnie podejrzanie – ot, zwykły sklep internetowy.
Cały proces zakupu wygląda normalnie. Ciekawie robi się dopiero przy płatności. Dowiadujemy się tam, że trwa przerwa techniczna a „moduł płatności będzie włączony do 10h”. Nie dostajemy więc ani możliwości zapłacenia szybkim przelewem, ani kartą, ani nawet zwykłym przelewem. Jak zatem zarabiają przestępcy? Odpowiedź pojawia się po pewnym czasie w naszym telefonie – w formie SMSa od złodziei.
Pod adresem z SMSa czeka fałszywy panel płatności Dotpaya. Za jego pomocą przestępcy wyłudzają login i hasło do banku oraz kod jednorazowy potwierdzający zdefiniowanie przelewu zaufanego na koncie ofiary. Zrzuty ekranu tej części ataku zobaczycie w opisie drugiego scenariusza ataku. Obecnie przestępcy używają domeny dtpay.info.
Strona mojeklocki.com korzysta także z fałszywego serwisu Opineo, zamieszczonego pod adresem oppineo.com – to popularna sztuczka przestępców, mająca przekonać osoby niezdecydowane, szukające opinii o podejrzanym sklepie w Google.
Drugi scenariusz ataku
W tym scenariuszu posłużymy się przykładem już nieczynnego sklepu creative-impact.pl. Strona główna sklepu:
Wybieramy produkt i kupujemy:
Wybieramy sposób dostawy i metodę płatności:
Super, mamy link do szybkich płatności! Jak wygodnie. Klikamy.
Wygląda prawie jak prawdziwy, prawda? Obsługuje oczywiście strony logowania różnych banków.
Po podaniu loginu i hasła są one prawdopodobnie weryfikowane pod kątem poprawności a następnie operator serwisu zleca zdefiniowanie przelewu zaufanego i wyświetla prośbę o przepisanie kodu z wiadomości SMS. Po zatwierdzeniu przelewu przez ofiarę jej konto jest czyszczone do zera.
Ostrzeżcie swoich znajomych
Wiemy już o co najmniej kilku ofiarach działań sprytnych przestępców. Choć zarówno fałszywe sklepy jak i fałszywe strony pośredników płatności były już wcześniej znane, to pierwszy raz zostały w te sposoby połączone przez złodziei. Warto być świadomym nowych zagrożeń.
Powyższe przykłady trafiają do naszej prezentacji o tym, jak być bezpiecznym w sieci, która pokazuje tylko aktualne i realne zagrożenia dla użytkowników. Możemy pokazać ją także w Waszych firmach – wystarczy nas zaprosić.
Wykład
Warsztaty
Szkolenia online
Komentarze
jakby rynek był wolny to byłyby firmy certyfikujące domeny i jednym klikiem każdy mógłby sobie sprawdzić czy to nie oszust
Przecież certyfikaty EV pełnią taką rolę…
Zaskoczę cię. Wystarczy rozum. O ile strony taka jak ta, mogą używać nawet darmowego certyfikatu, i nikogo to interesować nie powinno, o tyle:
1. Jeśli sklep ma certyfikat weryfikowany po domenie, a nie firmie, należy zachować ostrożność
2. Jeśli moduł płatności (np. PayU, DotPay, PayPal, itp.) lub bank nie mają certyfikatu albo mają certyfikat weryfikowany po domenie, TO JEST OSZUSTWO.
Rozum się przydaje. Kilka dni temu szukałem stosunkowo drogiego zestawu i nawet odwiedziłem stronę tego sklepu – cena ok. 100 pln niższa niż w pozostałych. Jakoś naturalnie pominąłem sklep, nie poświęcając mu więcej uwagi. No a dzisiaj wchodzę na z3s…
Jak można sprawdzić, czy certyfikat jest weryfikowany po domenie, czy po firmie? Możesz to trochę rozwinąć? To nie jest złośliwe pytanie; nie wiem, więc pytam. Pzdr.
Certyfikat weryfikowany po domenie wyświetla się jako zwykła kłódeczka, a po firmie (EV) to wtedy wyświetla się pełna nazwa firmy, np. Firma X sp. z. o o.
W przypadku zwykłych certyfikatów OV należy w szczegółach certyfikatu sprawdzić kto jest podmiotem. Podmiot powinien zawierać dane o firmie jak nazwa firmy i jednostki organizacyjnej, kraj oraz miasto.
W przypadku rozszerzonych certyfikatów EV nazwa firmy znajduje się obok zielonej kłódki na pasku adresu. Najczęściej na stronach banków czy operatorów płatności.
Cena za tego asusa – 2340,79 – che che – tak mu się pisało od lewej do prawej po klawiaturze no i wyszło ;)
To nie lepiej było zostawić paprocha pod o lub t?
A to widzieli?
http://dtpay.info/i5626233/
Godzinę temu dostałem kilka urządzeń do sprawdzenia od spanikowanego znajomego po tej akcji, mBank zadzwonił że dzieją się dziwne ruchy na koncie i nie zdążyli wyczyścić konta
wystarczy opłacać zamówienia kodem blik, jesli go nie ma w płatnościach dotpay to już jest coś nie tak i powinnismy odpuscić transakcje, pozdrawiam
Niezłe. Strona całkiem ładnie wygląda. Co prawda w życiu nie zapłaciłbym żadnym linkiem z SMSa, ale i tak wygląda fajnie :). Że się komuś chciało… Ale z drugiej strony trochę roboty, a jak można golić nieuważnych.
Lol myslalem,ze hamulcowe:)
Eset już flaguje obydwie domeny wymienione w artykule. Czyli jednak antywirus czasem może się przydać.
A ja ma jedną taką wątpliwość dotyczącą kodów jednorazowych – czy taki kod nie jest jakoś algorytmicznie związany np. z kwotą, albo kontem docelowym, albo rodzajem operacji? Czy kod jednorazowy wygenerowany do konkretnej operacji (np. przelewu jednorazowego na konkretne konto o zdefiniowanym numerze o konkretnej kwocie) można użyć do zdefiniowania zaufanego – zupełnie innego – odbiorcy? Myślałem, że tak nie jest…
Nie. Jakby był, to można by odkryć algorytm i złamać mechanizm. Powinien być losowy.
Nie wiem jak innym, ale w moim banku przychodzi SMS z m.in. kwota przelewu.
Nie wiem jak jest w rzeczywistości, ale zwykłe math.rand() wydaje się łatwiejsze i bezpieczniejsze do zaimplementowania niż jakieś kody po kwocie itp… Dołożyłbym jeszcze ziarno losowania po czasie z maksymalną dostępną dokładnością (czyli ułamek sekundy pewnie do 6-7 miejsca po przecinku). W życiu nie zgadniesz z jakiej puli losować :)
Jest tak, natomiast przy każdej płatności do jakiegoś odbiorcy można ustawić sobie go jako odbiorcę zaufanego i przy kolejnych płatnościach do tego odbiorcy nie ma już konieczności podawania kodów
Potwierdzam. Sklep mojeklocki.com to oszuści. Zero kontaktu, towar nie wysłany, formularze kontaktowe nie działają.
Mój brat tak zakupił klocki, niestety mimo, że mieliśmy lekkie wątpliwości, nie zatrzymaliśmy się, z tym, ze sms był z takim linkiem http://dottpay.com/i5626233/payment.php?p=132.98, wszystko wyglądało dość normalnie, rano patrzy, ze z konta zniknęła cała kwota przypadająca na limit dzienny, z tym, ze jemu na szczęście udało się odzyskać pieniądze.
I tu ważna wskazówka . Ludzie ustawcie sobie rozsądny limit na transakcje internetowe i bezgotówkowe. Całą gotówkę najlepiej trzymać na subkoncie raz ze wyższe oprocentowanie , dwa uchroni was i przed kradzieżą karty i wieloma innymi tego typu przygodami.
Judyta, jak udało się bratu odzyskać pieniądze? Pytam bo ja też oszukana…
Mój brat odbrazu rano zauważył, że zniknęły pieniądze (3900, limit dzienny 4000), przelew ktoś zrobił o 00:20 zauważył Koło 8, zadzwonił do banku, kazali mu złożyć reklamacje z wszystkimi możliwymi informacjamib tak zrobiliśmy, zgodnie z instrukcją zgłosił sprawę na policje. Bank mu odpisał, że zajmą się sprawą, ale nie gwarantują sukcesu. Na szczęście następnego dnia dostał tak jakby przelew zwrotny z tytułem „zwrot na prośbę banku”
Jakiś dobry i porządny bank – napiszesz mi który? ulokuję tam swoje pieniądze. mój się nie spisał… zorientowałam się w południe następnego dnia, też złożyłam reklamację i zgłosiłam na policję…
On ma konto w pekao, tym bardziej nie mogę uwierzyć, że dał się oszukac :(
A dlaczego tym bardziej? Mają tam jakieś szczególne zabezpieczenia? Chciałam zapytać jeszcze do której komendy policji zglosiliscie sprawę? Mój prowadzący policjant mówił że mam dać znać jak się dowiem wtedy razem szukają sprawcy jeden prokurator jest wyznaczony czy jakoś tak. Może pogadajmy poza forum? Mail do mnie [email protected]
Witam. Czy może się pani do mnie odezwać ba maila [email protected], również zostałam oszukana i poszukuję kontaktu z innymi poszkodowanymi. Pozdrawiam
A dlaczego tym bardziej? Mają w Pekao jakieś szczególne zabezpieczenia? Możesz mi napisać do której komendy zglosiliscie sprawę? Moja komenda prosiła żeby dać znać jak będę wiedzieć gdzie jeszcze została zgłoszona sprawa wtedy razem szukają sprawcy czy jakoś tak. Jak wolisz to napisz do mnie na maila [email protected]
Witam. Czy może się pani do mnie odezwać ba maila [email protected], również zostałam oszukana i poszukuję kontaktu z innymi poszkodowanymi. Pozdrawiam
a z Ciekawości, który to bank się nie spisał?
Czy mogłabym poprosić o informację jak państwo odzyskali pieniądze z banku ? Bo my też padlismy ofiara oszustow ale bank umywa ręce.. mój mail [email protected] – chętnie nawiąże kontakt z innymi poszkodowanymi którzy nie odzyskali pieniędzy, może wspólnymi siłami coś uda się zrobić. Pozdrawiam
Ja w sumie napisałam całą procedurę. Brat chyba miał po prostu ogromne szczęście w takim razie, bo z tego co widzę jako jedyny odzyskał pieniądze
Wydaje mi się że twój brat miał podwójne szczęście bo najprawdopodobniej to był przelew zrobiony na konto w innym banku i poranna sesja wychodząca z banku nie została jeszcze rozliczona w KIR bo dzieje się to od 9.30, dlatego udało się to odkręcić. Jeżeli zgłoszenie byłoby zrobione później lub oszust miał konto w tym samym banku to byłoby po herbacie, bo pieniądze z konta oszusta są pewnie wymieniane na bitcoiny i szukaj wiatru w polu ;(
Nie jestem specjalistą i są to jedynie moje domysły, ale może ktoś kto zna się na Elixirze to potwierdzi.
Niech zgadnę, wszystkie trzy serwisy postawione przez tego samego złamasa?
Powiedzcie czy jest jakaś szansa odzyskać od nich pieniądze i jak to zrobić?
Jest coś takiego jak Chargeback. Polecam poczytać. Bank powinien z góry oddać pieniądze.
@Mikołaj
Polecam przed ośmieszaniem się poczytać, co to jest Chargeback.
I jakich transakcji dotyczy.
Jeśli już zrobiłaś to co ja i brat Judyty czyli reklamacja do banku i zgłoszenie na policję to teraz trzeba czekać na Ich dzialania. Jak chcesz pogadać napisz do mnie na [email protected]
A czy płatność BLIKiem też jest narażona na wrogi przejęcie? Czy można założyć, że skoro płacę BLIKiem to jestem bezpieczny?
Może się wykaże igrnoracją albo indolencją, ale jak dochodzi do kradzieży wszystkich pieniędzy?
1. Dostajemy linka do płatności, który prowadzi do fałszywej strony.
2. Linki do banków też są podrobione.
I teraz, login do banku jest widoczny, ale hasło maskowane.
Naprawdę złodzieje są w tak krótkim czasie dopasować te same pola co na prawdziwej stronie?
Poza tym jeśli wchodzimy z dotpay czy innych podobnych stron, do de facto przecież można dokonać tylko jednej konkretnej operacji na konkretną kwotę, a po 30 sekundach od potwierdzenia przelewu następuje wylogowanie z systemu.
Przecież jeśli oni w tle tworzą przelew zaufany, to fałszywy ekran płatności by się kręcił i kręcił.
To wszystko grubymi nićmi szyte, albo ludzie są naprawdę tak nierozgarnięci.
A może to ja coś pominąłem?
Przy haśle maskowanym pytają o całą maskę. Ekran się kręci, ludzie czekają. Nic na to nie poradzimy.
I to naprawdę nie budzi żadnych podejrzeń, że hasło nagle jest wymagane całe?
Albo że, w sms jest odbiorca zaufany a nie kwota za zabawkę?
W/g danych statystycznych (socjologicznych), okolo 85-90% osob ma problemy z przeczytaniem i zrozumieniem przecietnej, szmatlawej gazety. A ty oczekujesz myslenia w sprawach bardziej skomplikowanych. Chlopie. Pobudka! Tacy ludzie uwierza WE WSZYSTKO i niczego nie beda weryfikowac, a najlepsze jest to, ze pozniej zawsze maja pretensje do innych, nigdy do siebie. Przeciez to sa formalni cwiercinteligenci, takim sie nawet nie mowi „dzien dobry” na ulicy.
Takim poziomem wypowiedzi i podejściem do ludzi sam nadajesz sobie łatkę ćwierćinteligenta i z całą pewnością nie zasługujesz na kurtuazyjne „dzień dobry”.
Są zwyczajnie naiwni, trochę jak dzieci. Robili przelewy tysiące razy i było ok. Rutyna uśpiła ich czujność. Ja mam inne podejście do wydawania pieniędzy w Internecie, kupuję ostrożnie i nigdy się nie naciąłem. Ale różni ludzie, różne doświadczenia.
a możesz podać źródło takich badań?
Dlatego używam programu LastPass. Mam zapisane (trudne) hasło do banku i mogę się tylko zalogować jeśli URL jest prawidłowy. Jeśli jest inny to oznacza że coś jest nie tak.
Co ciekawe firma jest już na rynku od paru lat może by się tym zajęła w końcu policja jak to są oszuści. Właścicielem firmy jest ta osoba. http://rzetelnefirmy.com/firma/1835140/visna-kalina-wisniewska.html
Ciekawe bo who.is zwraca inne dane:
https://who.is/whois/mojeklocki.com
Registrant:
FHU A Conto +48.509013033
Izabela Bielewicz
Sw. Krzyza 16/21b
Krakow,malopolskie,POLAND 31-023
Dlatego krzywo patrzę na sklepy nie oferujące płatności Blikiem.
Kto to jest ten Blik?
Frajerzy nigdy nie uzywaja sprzetowych tokentow, ale barany oczywiscie jako „nowioczesne” koniecznie uzywaja obslugi bankow przez telefon. Przekomiczne stado baranow.
Gdy idę do piekarni po chleb to nie sprawdzam jej certyfikatów, a własciciela nie prześwietlam prywatnym detektywem. Branżę it zgubi w końcu ta arogancja.
Jeśli forum czytają osoby które zostały oszukane tak jak ja zapraszam do kontaktu na maila: [email protected]
Też jestem poszkodowana przez mojeklocki.com dlam się podjąć choć staram się być ostrożna!! Też szukam kontaktu z innymi poszkodowanymi mój mail [email protected]
Oszukany
Również zostaliśmy oszukani.jeżeli bank nie weźmie odpowiedzialności za wyprowadzenie srodkow z konta pozostanie kierowanie sprawy do sądu.Jak banki zabezpieczają pieniądze klientów,nie weryfikuja przed każdą transakcja, przelewem. Myślę, że poszkodowanych będzie wielu Polaków. Proszę o kontakt,może łatwiej będzie wytoczyć pozew zbiorowy
Weryfikują… ale „przestępcy wyłudzają login i hasło do banku oraz kod jednorazowy potwierdzający zdefiniowanie przelewu zaufanego na koncie ofiary”… więc to użytkownik musi przeoczyć gdzie podaje login, hasło, oraz na co jest ten kod jednorazowy
A jak bank ma weryfikować czy ktoś zleci przelew pieniedzy czy to przestępca? Skoro ktoś podaje swoje hasło do banku przestępcy to tak jak by oddawał komuś swoje pieniądze do ręki.
Gdyby ludzie czytali podstawowe wskazówki dotyczące bezpieczeństwa to problemu by nie było. Zawsze trzeba weryfikować czy adres banku jest poprawny i czy certyfikat strony jest autentyczny. Czytać treść SMSa z potwierdzeniem z banku też warto czytać a nie tylko bezmyślnie przepisać kod.
Panie Mirku więcej wyrozumiałości dla innych ludzi. Nie wszyscy są informatykami czy specjalistami od cyberprzestępczości,posiadając wiedzę na temat bezpieczeństwa w sieci. Sami pracownicy banku przyjmując reklamację twierdzą ,że nie uczestniczą w szkoleniach dot tej tematyki. Myślę sobie ,że przed włączeniem klientowi Banku tej usługi powinno się przejść odpowiednie szkolenie potwierdzone wydaniem certyfikatu. Wtedy nie było by takich problemów. Pozdrawiam i życzę Panu żeby nie spotkała pana taka sytuacja
Mirek ma rację w tym sensie, że bank nie uzna reklamacji, jeśli login i hasło rozdaje się na prawo i lewo. Ja nigdy nie płacę telefonem. Nigdy. Ani jakimiś BLIKami, ani SMSem, żadnym tego typu ustrojstwem. Kupuję tylko korzystając z komputera, który mam w domu. I zawsze przelewem z przekierowaniem na stronę banku, albo gdy się nie da (rzadko!) to zwykłym przelewem elektronicznym dostając e-mailem pełne informacje na temat odbiorcy pieniędzy.
Ludzie, myślcie nad tym co robicie. Ładujecie do telefonów takie dane i takie mechanizmy, że w tej chwili są niemal równorzędne portfelowi z kompletem dokumentów i plikiem pieniędzy.
Powiem Wam, ze jestem w szoku, że prawie nikt nie odzyskał pieniędzy, wychodzi na to, ze to udało się tylko mojemu bratu, zatem szacun dla PEKAO
Pewnie przetrzymywali kasę na „koncie technicznym”, a w rzeczywistości na jakiejś lokacie nocnej. „Spóźnione” poranne przelewy wychodzące to specjalność tego banku.
Zatem skoro kasa nie trafiła na czas do KIR, to spokojnie mogli oddać.
Chyba masz rację, że o to chodzi, bo zadziwiająco szybko uznali reklamację i zwrócili pieniądze, a myślałam że to Eurobank przetrzymuje pieniądze klientów opóźniając przelewy…
pewnie masz racje, bo jak robi sobie przelew PEKAO->eurobank, to czasem taki przelew idzie dwa dni, a wydawało mi się, że to Eurobank przetrzymuję kasę
Cóż zaspamowac ich fałszywymi zamówieniami to mniej osób oszukaja
A jak te sklepy wywindowały się tak szybko w wynikach wyszukiwania, że można było je znaleźć na górze przeglądarki?
Na samej górze to po prostu reklamy wykupione w Google, można je ustawić tak, aby płacić tylko za kliki w nie (albo zawarte transakcje – dawno nie używałem więc szczegółów nie pamiętam). Koszt takiego kliknięcia to 0,5-2zł i Google dba dosyć mocno, aby nie dało sie sztucznie wyklikać komuś jego budżetu np robiąc serię wejść na stronę po reklamie.
Podobny mechanizm stosuje sklep arya-toys.com. Po zlozeniu zamowienia dostajemy informacje: modul platnosci bedzie aktywny do 8h
Chciałbym ostrzec również przed sklepem
arya-toys.com
W informacjach, kolejnych stronach oraz wiadomościach e-mail nie podają bezpośredniego konta.
Brakuje również wyboru rodzaju płatności oraz dostawy
Wielkie dzieki za ostrzezenie! Wlasnie zamowilam klocki z tej strony i cos mi wlasnie tak smierdzialo, ale na szczescie jeszcze nic nie zostalo oplacone :) juz nawet do nich napisalam, ze rezygnuje. Pozdrawiam
Jak to jest, że ten sklep (mojeklocki.com) wciąż działa? I jeszcze podpisuje się certyfikatem podpisanym niby przez COMODO.
To jest to szwindel czy nie?
Niesamowity jest też fakt, że ów strona nadal działa.
Teraz to samo pod adresem pole-henny.com.
Wystarczy sprawdzić stronę pod kontem właściciela na whois