Dzień dziecka zbliża się wielkimi krokami i wiedzą o tym internetowi złodzieje. Pojawił się własnie nowy fałszywy sklep z klockami Lego a zakupy w nim mogą prowadzić do całkowitego opróżnienia Waszego konta. Uważajcie.
Niedawno opisywaliśmy podobny sklep, lecz działający pod inną nazwą. Przestępcy korzystają ze sprawdzonych schematów – zapewne głównie dlatego, że wiele ofiar łapie się nadal na ich sztuczki. Pomóżcie nam dotrzeć do mniej świadomych internautów i przekażcie linka do tego artykułu osobom, które prezenty swoim pociechom kupują przez internet.
Arya-Toys.com
Sklep oszustów działa pod adresem Arya-Toys.com i jego celem nie jest wyłudzenie płatności za klocki – a opróżnienie konta ofiary do zera. Przeczytajcie poniżej jak do tego dochodzi.
Strona wygląda następująco:
Jak trafiają tam ofiary? Twórcy sklepu wykupili reklamy w Google dla większości popularnych modeli klocków Lego. Wpiszcie swój ulubiony model, a jest spora szansa, że zobaczycie taką reklamę jak poniżej.
Jak widzicie ceny są wystarczająco atrakcyjne, by przyciągnąć osoby chcące zaoszczędzić kilka złotych. Sam zakup w sklepie przebiega normalnie – dopiero w trakcie płacenia za klocki pojawia się komunikat o treści „moduł płatności będzie aktywny do 8h”. Nie dostajemy więc ani możliwości zapłacenia szybkim przelewem, ani kartą, ani nawet zwykłym przelewem.
Po kilkunastu minutach na nasz telefon przychodzi SMS o poniższej treści:
Tu zaczyna się kluczowy krok w procesie oszustwa. Klikając w linka trafiamy na fałszywą stronę Dotpay (chociaż jej adres udaje stronę innego pośrednika, PayU):
Jeśli wybierzemy jeden z banków, pojawi się strona logowania. Tam podajemy login i hasło, a następnie jesteśmy proszeni o przepisanie kodu z SMSa. Niestety tym kod autoryzujemy przelew zaufany na konto przestępców – co umożliwia im kradzież wszystkich pieniędzy, jakie mamy na swoim koncie.
Jak obronić się przed atakiem
- Przy zakupach internetowych korzystajcie ze sprawdzonych sklepów lub zaufanych pośredników takich jak Allegro lub Ceneo – oni weryfikują swoich sprzedawców i zapewniają bezpieczeństwo transakcji.
- Na każdej stronie gdzie dokonujecie płatności sprawdzajcie adres witryny – jeśli obok kłódki nie ma nazwy firmy, to pewnie strona należy do oszustów.
- Nie podawajcie loginu i hasła do banku na innej stronie niż strona Waszego banku.
- Gdy podacie swoje dane przestępcom, natychmiast dzwońcie do banku.
- Wyślijcie linka do tego artykułu znajomym, by uchronić także ich przed atakiem.
- Możemy też o tym i podobnych atakach opowiedzieć w Waszej firmie – w dwie godziny opisujemy ich ok. 30, a każdy jest inny i zdarza się polskim firmom i internautom.
Dziękujemy wszystkim Czytelniczkom i Czytelnikom, którzy przysłali informację o nowym sklepie złodziei.
Komentarze
Slabe, nawet bardzo. Moze nabrac sie tylko ktos kto nie kupuje w sieci i nagle mu sie zachcialo bo 8pln taniej jest.
„Został wysłany email” a przychodzi SMS. I żadnych podejrzeń?
domena payu24, wyświetla się dotpay – żadnych podejrzeń?
Używam tylko blika.
blik to aplikacja firmy trzeciej, więc do płacenia używasz firmy która nie jest objęta nadzórem bankowym ani gwarancjami, jak ci zniknie kasa to bank powie, panie to twój problem idź Pan w h…
Nie. Właścicielami blika są banki więc nikt Cię na drzewo nie wyśle. Kierując się taką logiką nie płać kartą bo systemem nie zarządza bank tylko jakaś tam firma ;)
Niestety, różnica tkwi w szczegółach o których dowiesz się dopiero przy ewentualnych problemach, a te „złe niedobre karty” posiadają znacznie lepsze zabezpieczenie transakcji niż w przypadku promowanego dość intensywnie BLIK’a – wygodne tak, tylko co z tego.
To może zacznijmy od wylistowania przypadków nadużyć popełnionych w ramach systemu BLIK, w których użytkownicy stracili pieniądze:
Koniec listy. Chyba że uzupełnisz?
A na nadużycia popełnione za pomocą kart kredytowych nie ma miejsca na serwerze :)
http://www.rp.pl/Banki/301239904-BLIK-apeluje-o-ostroznosc.html
klientka z blikiem i okradziona, patrz Adam, poczytaj czasem jakiś super express tam piszą o bezpieczeństwie IT może coś się dowiesz lel
Ten atak nie ma NIC wspólnego z blikiem oprócz metody wypłaty z bankomatu. Klientka oddała login, hasło i pozwoliła na zmianę nr telefonu na jej rachunku. Analogicznie gotówka jest niebezpieczna bo przestępcy mogą ją wypłacić z bankomatu.
https://polskistandardplatnosci.pl/
widzisz tu jakieś banki?
ja widzę zwykła spółkę zoo, ciekawe jaki kapitał zakładowy pewnie 50 tys
Właścicielami tej spółki są polskie banki. Sprawdź sobie.
https://krs-pobierz.pl/polski-standard-platnosci-i5106170
kapitał zakładowy 5000 zł!
na tyle jest warte bezpieczeństwo blika xD
Drogi Zdzisławie, sprawdź dobrze, zanim się wypowiesz:
POLSKI STANDARD PŁATNOŚCI SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
KRS: 493783
KAPITAŁ: 13 626 000,00 ZŁ
WSPÓLNICY
ING BANK ŚLĄSKI SPÓŁKA AKCYJNA
BANK ZACHODNI WBK SPÓŁKA AKCYJNA
BANK MILLENNIUM SPÓŁKA AKCYJNA
MBANK SPÓŁKA AKCYJNA
POWSZECHNA KASA OSZCZĘDNOŚCI BANK POLSKI SPÓŁKA AKCYJNA
ALIOR BANK SPÓŁKA AKCYJNA
13,6 mln to nie 5 tys., poza tym nawet jeśli kapitał wynosiłby 5 tys., to ta spółka skupia prawie cały polski sektor bankowy, więc raczej nie należy spodziewać się problemów płynnością lub z oszustwami.
Używajcie blika, tylko.
a wystarczy włączyć autoryzacje appka zamiast SMSem i już takie Sebastiany hakierstwa nic nie zrobią.
Jeśli nie przeczytasz komunikatu w aplikacji tak damo jak nie przeczytasz w SMSie to w aplikacji też możesz zatwierdzić przelew zaufany.
tylko że w smsie gucio widać bo to zwykły tekst, w appce masz na cały ekran kolorowy komunikat, z dobrze widocznym pokolorowanym numer kąta, kwotą itp. więc tylko ślepy i głupi by się dali tak oszukać.
Za to jeśli masz syf na telefonie (Android zaś ma to do siebie, że aktualizacje są jakie są i „kiedy będą”…), to skończy się źle. Samemu mam numer „bankowy” na dumbfonie, czytam SMS. Oczywiście SMS też można przechwycić, ale dla kilkuset zeta jakie w porywach wyciągną z konta, raczej nie będzie się nikomu chciało bawić… :)
Warunek – czytać SMS, wyrobić sobie nawyk.
Dla mnie zasada jest prosta – brak certyfikatu EV (nazwa firmy na pasku przeglądarki)- nie płacę.
Od wersji 70 w Google Chrome nie będzie informacji z zieloną kłótką jak i o tym, że jest to bardziej sprawdzony certyfikat EV.
dlatego się przesiadłem na FF, Google strasznie obniżyło loty, aż mnie to zadziwia jak można było usunąć możliwość sprawdzenia fingerprinta certyfikatu, to chyba ta polityka wyrównywania szans wśród programistów zaczyna dawać efekty lol
Można dalej sprawdzic fingerprint. Po prostu funkcja z której potrafi skorzystać 0,001% użytkowników nie musi być pod prawym klawiszem myszki.
a ja sprawdzam za każdym razem, za każdym je…m razem,
już dwa razy dzwoniłem do banku bo głąby zmienili certyfikat a zapomnieli opublikować fingerprintów,
samo google padło już kiedyś ofiarą fałszywych certyfikatów, system certyfikatów jest ogólnie do dupy, kupowałem certyfikaty w imieniu firm i jedyne co chcieli to skany dokumentów, skany w 21 wieku to każdy 5 klasista zrobi w paincie, ten cały system tylko udaje bezpieczny a w rzeczywistości to wielkie G
Zdzisław, naprawdę mądrego to i dobrze posłuchać. Banki powinny u ciebie kupować porady na sztuki. Co za głąby. Jestem pod wrażeniem, ale coś czuję, że nie tylko ja.
Warto wspomnieć, że tym razem wykorzystują dane firmy z Lublina, która nie ma z tym procederem nic wspólnego, a ludzie się nabierają, bo to rzetelna firma.
Dzieki za ostrzezenie
I co z tego? Kto zgłosił domeny do abuse, kto do google phishing db ? Nikt. Hosting na digitialocean i nikt nie umie tego zablokować? Wstyd.
Hej, też mnie okradli dokładnie jak wyżej w opisie. Nie kupujcie to lipny sklep, okradają konta ?
UWAGA OSZUŚCI też mnie okradli dokładnie jak wyżej w opisie. Nie kupujcie to lipny sklep, okradają konta ?
dzizas.. dziekuje za to forum.. wlasnie mialem przelewac pieniadze.. zainteresowal mnie dziwny sms i nieaktywny tel kontatkowy.. no i zero opinii na ceneo.. mi uratowaliscie skórę
Poszukajcie lepiej firmy, która jest podana w stopce strony.
Nie Magda „Konusik” tylko „Konasiuk” i w profilu firmy nie ma słowa o sprzedaży klocków.
1. Kolega mnie namawia na placenie karta, moze ktos przetestuje?
https://jakoszczedzacpieniadze.pl/chargeback-reklamacja-platnosci-karta
2. Klodka nie chroni przed oszustami, ale moze uchronic przed wyciekiem danych.
3. Sprawdzaj opinie
4. Sprawdzaj dane i jezeli cokolwiek sie nie zgadza, chocby tylko nazwa domeny, to wiedz ze moze byc cos nie tak.
https://wyszukiwarkaregon.stat.gov.pl/appBIR/index.aspx
http://www.krs-online.com.pl/
Tutaj prosba do ministerstwa o mozliwosc darmowej rejestracji witryn. Dzieki temu uzytkownicy nie tylko beda widziec czy firma jest zarejestrowana, ale jaka posiada strone internetowa.
Poniewaz tym „prywatnym” wyszukiwarkom poprostu dokonca nie uffam.