18:26
19/11/2011

Allegro. Uwaga na phishing.

Paweł Sowiński informuje nas, że do użytkowników Allegro rozsyłane są wiadomości o poniższej treści:

Phishing na użytkowników Allegro

Allegro Phishing

Allegro - phishing

Powyższą wiadomość otrzymał jeden z kolegów Pawła. Paweł natomiast zastanawia się, czy phisherzy zaczęli już przeglądać aukcje atakowanych przez siebie osób, ponieważ w tym przypadku udało im się trafić w osobę, która faktycznie wystawiła dwa “takie same” przedmioty w różnym stanie i cenach.

Patrząc jednak na treść e-maila, można przypuszczać, że był tłumaczony automatycznie, a trafienie w osobę z dwoma ofertami sprzedaży podobnego przedmiotu może być zwykłym przypadkiem. Dajcie znać, czy ktoś z Was również dostał wczoraj podobną wiadomość — wtedy będzie łatwiej wnioskować o “skali” i “personalizacji” ataków.

Uważajcie, fałszywa (sub)domena http://ssl-allegro.c.pl/ nadal działa. Oczywiście nie ma certyfikatu, więc każdy kto pamieta o podstawowej zasadzie bezpieczeństwa — rzucie oka na pasek adresowy przeglądarki przed zalogowaniem się nie powinien dać się nabrać.

Atakujący przesyłaja wykradane loginy i hasła na darmowy hosting pod adresem: http://marktplalog.cwahi.net/useradmiallegron.php (bezpośrednie werjsie przekierowuje na oryginalną stroną Allegro).

Przeczytaj także:



37 komentarzy

Dodaj komentarz
  1. Kiepski ten phishing, aczkolwiek jak ktoś jest, delikatnie mówiąc, mądry inaczej, to się może dać nabrać.

    • na gorsze rzeczy sie ludzie nabieraja ;]
      a na takie jak to beda nabierac sie bo allegro tak robi ze wylogowuje uzytkownika co jaki czas wiec kazdy przyzwyczajony ze czasem musi znow wklepac login i pass. a jak robi sie to kilka razy dziennie to nie patrzy sie na urlbara tylko klepie byle szybciej. allegro sami sobie strzelaja w nogi troche.

    • Rondi: Chyba kazda popularniejsza przegladarka ma zapamietywanie hasel wiazane z domena. Jak juz ktos musi wklepywac te haslo kilka razy dziennie to zapewne “zapamieta” je w przegladarce, a ta dla falszywej strony nie uzupelni automatycznie formularza.

    • @mariusz: owszem, przeglądarki mają opcje zapamiętywania haseł, ale jeżeli ta funkcja zostanie wyłączona, to np. FF czy IE nie będzie pamiętać. Jedynie Opera tutaj z tym sobie radzi, i jak do tej pory, zawsze zapamiętywała pass i login, tam gdzie FF i IE nie.

  2. Dopracowali…

    http://ssl-allegro.c.pl/ ;)

    • Wygląd chyba tylko, bo większość linków prowadzi do 404 ;]

      A co do ‘wykradania’ loginów i ciągłej potrzeby logowania się: zapisanie hasła w przeglądarce nie załatwi sprawy ? O ile mnie pamięć nie myli, to przy lipnej stronie żaden login/hasło zapisane nie będzie. A to już powinno dać do myślenia.

    • Proponuję zrobić im mały floodzik trefnych haseł :D

    • Niekoniecznie. Z jakiegoś względu, np w Operze, ale i FF, czasami nie ma możliwości automatycznego zalogowania, mimo zapisanego hasła. Bug bo bug, ale Twój sposób nie zawsze jest pewny.

    • Tak, ale wtedy koń trojański może wydobyć hasła. ;)

    • No właśnie nie dopracowali, bo teraz Allegro ma nowe logo na święta, inne tło itd.

  3. Słaby ten phishing. Żaden link na stronie logowania nie działa :)

  4. A strona http://marktplalog.cwahi.net/useradmiallegron.php uznana została za niebezpieczną przez PANDA SECURITY :)

  5. Mam pytanie. Czy taki wynalazek jak LastPass jest w stanie nabrac sie na cos takiego, albo podobnego? (np. sprobuje nas zalogowac, zanim sie zorientujemy, ze certyfikatu nie ma)

    • Nie, on pilnuje nazwy domeny i dopóki ktoś nie ukradnie prawdziwej domeny takie programy będą działać poprawnie. A jeśli ktoś ukradnie domenę jakimś cudem, a się to zdarza, np. zapomnienie zapłaty tak jak było to w przypadku php.pl.

  6. Spoko, ja już flooduję ;)

  7. Ostatnio bardzo dużo z allegro tego przychodzi:
    http://img337.imageshack.us/img337/3387/mailgmail.png

    Szczegóły wiadomości:
    {{{
    Delivered-To: darek85tbg@gmail.com
    Received: by 10.231.17.197 with SMTP id t5cs35272iba;
    Mon, 7 Nov 2011 08:34:37 -0800 (PST)
    Received: by 10.180.99.225 with SMTP id et1mr8429070wib.14.1320683675832;
    Mon, 07 Nov 2011 08:34:35 -0800 (PST)
    Return-Path:
    Received: from centrocef.eu (donde1.centrodedatos-dns.com. [86.109.105.28])
    by mx.google.com with ESMTPS id i7si2410729wiz.69.2011.11.07.08.34.34
    (version=TLSv1/SSLv3 cipher=OTHER);
    Mon, 07 Nov 2011 08:34:35 -0800 (PST)
    Received-SPF: neutral (google.com: 86.109.105.28 is neither permitted nor denied by best guess record for domain of anonymous@centrocef.eu) client-ip=86.109.105.28;
    Authentication-Results: mx.google.com; spf=neutral (google.com: 86.109.105.28 is neither permitted nor denied by best guess record for domain of anonymous@centrocef.eu) smtp.mail=anonymous@centrocef.eu
    Received: (qmail 13407 invoked by uid 48); 7 Nov 2011 17:32:28 +0100
    Date: 7 Nov 2011 17:32:28 +0100
    Message-ID:
    To: darek85tbg@gmail.com
    Subject: Jestem zainteresowany kupic twoj pojazd
    From: Kamil Oziemblowski
    Reply-To: kamilziemniak1@vp.pl
    MIME-Version: 1.0
    Content-Type: text/plain
    Content-Transfer-Encoding: 8bit

    Czesc,

    Jestem zainteresowany i chce kupowac twoj samochod. Silnik jest w dobrym stanie? Zobaczylem inny samochód na serwisie internetowym Allegro. To jest twoj samochod?
    Zobaczylem inny samochod na serwisie internetowym Allegro.
    To jest twoj samochod? Oto adres serwisu internetowego:

    http://www.allegro.cu.cc/allegro.htm?audi-a8-4-2-diesel-2011-nowy-fvat-leasing-i1896892954.html?el_21862=cu&el_21863=cece&fID=2668&=cu&=cece&verCode=&alt_ref=&bcf_src=&bcf_ret_keys=&bcf_ret_keys_provided=&bcf_ret_is_ppc=&bcf_ret_se=

    Czekajac szybkiej odpowiedzi.

    Dziekuje! }}}

    I to nie jedyny email ;)

  8. Ten phishing dba o nasze bezpieczeństwo :D

    function _iecheck($)
    {

    var info = “Korzystasz z nieaktualnej wersji przeglądarki Internet Explorer 7.Wkrótce niektóre funkcjonalności serwisów Grupy Allegro mogą przestać w niej działać.”;
    var lnk = “Przejdź do strony aktualizacji i zainstaluj jedną z nowoczesnych przeglądarek”;

    if ( $.browser.msie && $.browser.version <= 6) {
    $('#headerBox').css('margin-bottom', '10px');
    $('’+info+’‘+lnk+’‘).insertBefore(jQuery(‘#pagecontent1’));
    }
    }
    document.forms.form_login.user_login.focus();

  9. odpalic mu bota logującego sie losowymi slowami ze slownikow i mu sie odechce sprawdzac konta ;)

  10. Niezastąpiony flagfox – odrazu widać że Allegro nagle przeniosło się na serwery niemieckie :P

    Ostatnio dostałem ciekawego maila, w sumie 1 raz w życiu dostałem typowy phishing, mianowicie dostałem e-maila od blizzarda że zostały dokonane zmiany na moim koncie, i żebym kliknął na linka zobaczyć jakie, zdziwiło mnie to bardzo bo nie mam konta na battle.net , jak wszedłem strona wydawała się ok ,nawet adres był bardzo bardzo podobny, ale flaga chińska przy hostingu rozwiała wszelkie wątpliwości ;).

    Zastanawiałem się czy napisać do niebezpiecznika o tym ale zrezygnowałem, gdyż zapewne informujecie głównie o polskim phishingu :P

    • Do Niebezpiecznika zawsze w takich przypadkach warto napisać. W końcu ktoś musi ostrzec Polaków.

    • phishingow battle.net jest tysiace wiec nie warto ;)

  11. Nie wiem jak u Was, ale u mnie w FF po kliknięciu w pole usera przeglądarka sugeruje ostatnie loginy. Albo dopracowany atak, albo dupiasta przeglądarka. Mimo wszystko, warto sprawdzać urlbar, co od dziś będę czynił nagminnie, nawet wchodząc na niebezpiecznika :) Pozdro dla świadomych userów.

    • ehh… sugeruje ci loginy bo pole input ma takie samo id

  12. Heh, nie rozumiem jednego: czemu każdy, ale to KAŻDY pishing musi być tłumaczony google translatorem, ew. pisany przez gimnazjalistę? Nigdy jeszcze nie natknąłem się na poprawną polszczyznę w tego typu wiadomościach.

    • Rozwalelies mnie. Przeciez to robia obcokrajowcy. To co wreszcie, maja isc na kurs Polskiego i sie go uczyc? ;>

    • @1sz
      Jakby się postarali, to by mogli “zatrudnić” jakiegoś Polaka, aby mi coś takiego machnął.

    • Polski należy do trudnych języków, więc na szczęście zagraniczni phisherzy nie będą się go uczyć. Oni po prostu atakują po kolei różne kraje, zaczynając od USA i innych krajów zachodnich. Polskiego uczy się ktoś, kto naprawdę wiąże przyszłość z naszym krajem. Zatrudnienie Polaków do tłumaczenia raz, że kosztuje a dwa istnieje ryzyko doniesienia na policję, bo tłumacz może domyśleć się zastosowania zlecenia i odmówić zlecenia a nawet iść na policję i zgłosić podejrzenie przestępstwa lub po wykonaniu zlecenia może zostać zatrzymany (choćby na podstawie obserwowanego przez policję maila phishera) i ujawnić zleceniodawcę (płotki lubią szybko wpadać). Google translator też nie daje 100% anonimowości, ale łatwiej przetłumaczyć w necie niż szukać tłumacza. Poza tym już sama płatność za tłumaczenie daje okazję do kolejnej identyfikacji na etapie płatności i komplikuje sprawę (phisher musi mieć lewe konto, lewą kartę kredytową itp.). Przesyłanie tekstu do tłumaczenia mailem również.

  13. To jest prowokacja Allegro. Zbliża się okres świąt i zwiększonych zakupów w sieci a tym samym żniwa dla złodziei. Robią takie akcje aby wzmóc czujność użytkowników. I w sumie mają rację, bo uświadamiania o bezpieczeństwie, szczególnie na aukcjach, nigdy nie za wiele.

    Wyobrażacie sobie jakie możliwości niesie przejęcie “zaledwie” 1000 kont “ciemnych” użytkowników, wystawienie “okazji” po atrakcyjnych cenach, promowanie wpłaty bezpośrednio na rachunek (bez PzA) itd. Taka kilkunastogodzinna akcja max. 2 osób i kilkadziesiąt tysięcy zarobku. Pieniądze wypłacone z bankomatu z konta założonego na kradziony dowód i szukaj wiatru w polu. A to tylko jeden z przykładów.

  14. Mi zaś przychodzą e-maile z zachętą do kupna pendrive niby 128GB a w rzeczywistości nie mają nawet 4 GB z tego co zauważyłem to allegro jest zasypane fałszywymi pendrive’ami.
    Wiadomość jaką dostałem :
    http://img40.imageshack.us/img40/9016/pendriveh.jpg

    Subject: NIESAMOWITA OKAZJA ekskluzywny PENDRIVE 128GB HIT 2011!
    X-PHP-Originating-Script: 1000:mail.php
    Content-Transfer-Encoding: base64
    From: noreply
    MIME-Version: 1.0
    Content-Type: text/html; charset=”iso-8859-2″
    Message-Id:
    Date: Thu, 17 Nov 2011 16:31:30 +0100

  15. Hostname ssl-allegro.c.pl
    ISP Hetzner Online AG RZ
    Piszemy do hetznera?

    • Pisz…
      To może być VPS opłacony u resellera przejętym kontem paypal :)

  16. @sebastian – Teorie spiskowe? Proszę cię… Allegro nie pozwoliło by sobie na takich hazard – to mogło by zachwiać ich wiarygodność niemal dosłownie “na stałe”.
    “bezpośrednie werjsie ” – wersje. Tak wiem, że nie powinienem o tym wspominać w komentarzu ale aż oczy bolą .;)

  17. ssl-allegro.c.pl zablokowane, i po phishingu :D Ale zewnętrzny serwer nadal działa, więc może mają kilka takich stron, kto wie.

  18. Już niema strony, została zablokowana ;)

  19. Też kilka dni temu zgłosiłem do allegro, od razu zareagowali.
    I nawet mam wrażenie, że odpisał mi człowiek.

  20. W ostatnim zdaniu (w nawiasie) jest lierówka: “werjsie”.

  21. Już niedługo żadna ochrona nie pomoże, a kwestia 1000 będzie realniejsza, właściwie już prawie jest gotowa. Udanego łowienia palanty.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: