4/6/2012
Jeden z naszych czytelników podesłał następującą wiadomość, jaka dziś wpłynęła na jego “allegrowy” adres e-mail. Ktoś się ładnie napracował:
Dzień dobry.
Proszę Pana pod koniec zeszłego tygodnia kupiłam u Pana narzędzia, które
miały być wysłane w jednej paczce.
Tak jak wcześniej uzgodniliśmy miałam wpłacić zanarzędzia na Pańskie
konto bankowe pieniądze należne za towar i wysyłkę.
Wpłatę na konto bankowe dokonałam ale do dziś paczki nie otrzymałam.
Jest to bardzo dla mnie niepokojąca sytuacja bo ten zakup był robiony z
mojego konta allegro a narzędzia są dla mojego sąsiada i teraz wychodzi
na to że ja oszukałam sąsiada.Macie Państwo profesjonalną stronę allegro, wszystko ładnie ale sposób w
jaki podchodzicie do klienta pozostawia wiele do życzenia.
Tak się składa, że mój wnuczek pracuje w allegro w dziale bezpieczeństwa
i zwróciłam się do niego z poradą co mam w tej sprawie zrobić.Wnuczek poradził napisać do was maila bo nie odbieracie telefonu, który
jest podany w formularzu dla kupującego i jeśli sprawa dziśsię nie
wyjaśni to zablokują wam konto allegro do wyjaśnienia tej sprawy a to
może odbić się na waszej dalszej sprzedaży bo takie wyjaśnienie sprawy
może potrwać i tydzień.Wysyłam Państwu skan wpłaty tj. przelewu bankowego:
http://www.platnosci24.ugu.pl/przelew.exeW tytule przelewu jest mój login i numery aukcji.
Teraz to żałuje, że zapłaciłam z góry, mogłam zapłacić przy odbiorze.
Może to więcej kosztuje, ale człowiek się tyle nie nadenerwuje.W wyrazami szacunku Katarzyna.
Buu, już zablokowali stronę… chciałem sobie zobaczyć dane przelewu… :-(
Ktoś jeszcze ma przelew.exe?
W fajnych formatach teraz te potwierdzenia robią. Ja to tylko zdjęcia w txt zapisuję.
Ciekawe, co było w “skanie wpłaty”…
Swoją drogą — gdyby jakoś ukryli link (html, tiny.pl czy cuś), pewnie mieliby większe szanse na sukces.
Pewnie botnet, skid z trojanem/keyloggerem do Tibii by takiego czegoś nie wymyślił.
Wystarczyłoby napisać skrypt w PHP i zrobić link w stylu /przelew.php?jpg albo gdyby atakujący miał większe umiejętności reguła w .htaccess i pod /przelew.jpg byłby plik .exe
Spotkałem się kiedyś z wirusem, do którego adres właśnie był skryptem PHP sugerującym zdjęcie. Po ściągnięciu mieliśmy archiwum .zip a w środku plik http://www.facebook.COM – czyli jak ktoś ma nawet pokazane rozszerzenia – zwykły adres, a jednak plik wykonywany. :)
Ale co z tego, że w adresie url masz przelew.php?jpg , skoro przeglądarka wyraźnie wyświetli okno pobierania pliku exe
jeszcze mądrzej by było, jakby użyli mod rewrite :)
http://cafe.allegro.pl/showthread.php?46103-Plik-EXE-jako-dow%C3%B3d-wykonania-przelewu
Nie pierwszy raz ma miejsce taka sytuacja
Skan wpłaty w .exe? Ciekawe ilu się na to nabrało ;]
Skan wpłaty w EXE -> FTW!
Kiedys dostałem coś takiego, na skrzynke sklepu internetowego.
UWAGA! Mail zawiera wirusa:
Gen:Trojan.Heur.hm1@cjCDV7li
Zainfekowane fragmenty zostały usunięte.
Witam
Wysylam dane do faktury w zalaczniku.
Pieniazki juz powinny byc na koncie.
pozdrawiam serdecznie
Ewa Misztal
Bicz Plis .exe ?
Na szczęście Thunderbird ma filtr antyphishingowy, a mój antywirus skanuje maile.
No dobrze, a czy Twój antywirus Flame potrafił wykryć rok temu, pół roku, miesiąc? Ciekawe ilu wirusów on ci nie wykrywa.
“zapłaciłem”… a na końcu “W wyrazami szacunku Katarzyna.”
… pewnie Waśniewska.
Ogólnie wszystko brzmi ok, ale link spowodował u mnie parsknięcie przez co musiałem wycierać monitor :(
Naucz się śmiać nie plując, albo sobie błotnik załóż.
hahah no nieźle :D
Eee, na Cafe Pomoc już o 1 czerwca :) http://cafe.allegro.pl/showthread.php?105821-Uwaga!-Fa%C5%82szywa-wiadomo%C5%9B%C4%87-od-kupuj%C4%85cego.-Aktualizacja-01.06.2012
Niech ktoś się podzieli przelewem.exe, bo chciałbym go zobaczyć :)).
Dzięki z góry!
przelew.exe? A co, jak ktoś ma Maka albo Linuksa? ;)
Swoją drogą, parsknąłem śmiechem jak zobaczyłem ten link.
Użyj Wine :P.
Jak ma Maca, to kliknie w link do exploita na niezapatchowana Jave, która mu zainstaluje Flashback. A jak ma linuxa, to ma pecha i komputer niezdatny do czegokolwiek :)
Cześć Kasiu,
podeślij mi proszę potw. przelewu, a zrobię wszystko. Nawet przyjadę do ciebie z towarem jeśli podasz aderes.
Pozdrawiam,
Wesoly Romek, co ma na przedmieściach domek.
http://www.wykop.pl/link/1109037/kolejny-sposob-oszukiwania-uzytkownikow-allegro/
To jest komercyjne Perfect Keylogger, spakowany komerycjna Themidą. Wszystko do pobrania w internecie i za free.
No litości… Takie numery to z 10 lat temu by przeszły…
Mogli się postarać i jakoś tego trojana zamaskować – taki bezczelny link do .exe to przesada… ;)
Buehehe, mistrz manipulacji – i ten wnuczek i .exe i ugu.pl :D
Tia…
Wszyscy jesteście tacy mądrzy i tak pięknie wyedukowani, ale jak mechanik powie, że trzeba wymienić trumbumbulator w samochodzie, to łykniecie to bez mrugnięcia okiem :)
Nie wszyscy użytkownicy komputerów są wyedukowani i takie akcje z założenia mają uderzyć w szarą masę która nawet nie pomyśli, że .exe to nie jest odmiana PDF’a.
P.S.
Żeby było jase – oczywicie zamiast mechanika i trumbumbulatora można wstawić hydraulika i kultowe “Ferszlus trzeba roztrajbować”.
Ale takiemu szaraczkowi wyświetli co najmniej dwa razy ostrzeżenie, że coś jest nie tak. Plus antywirus.
Żeby ten chwyt zadziałał, ofiara musi:
1)Nie zauważyć, że domena w link’u to nie [platnosci24.pl] obsługująca (kiedyś?) Płacę z Allegro, tylko [ugu.pl],
2)Nie zwrócić uwagi na [/przelew.exe] i ostrzeżenia pojawiające się przy otwieraniu takiego link’u,
3)Nie zastanowić się nad tym, czemu [platnosci24.pl] miałoby prowadzić hosting grafiki.
Jakoś trudno mi współczuć komuś, kto się na coś takiego łapie.
Trochę logiki:
Jeśli docelowy odbiorca/ofiara e-mail’a prowadzi sklep na Allegro, to sprzedaje spore ilości przedmiotów, więc “Kupujący” widocznie oczekuje ze strony “Sprzedającego” jasnowidztwa, gdyż ani razu w treści e-mail’a nie wspomniał numeru/tytułu aukcji.
Poza tym jeśli rzeczywisty Kupujący bezpośrednimi e-mail’ami – słusznie lub nie – straszy nas “wnuczkiem/itd. pracującym w Allegro”, piszemy do Allegro na [http://allegro.pl/contact/contact.php], wklejamy treść e-mail’a i reinstalujemy kapcie na tą babcię.
W tego typu korespondencji powinno pośredniczyć Allegro, bo właściwie tylko wtedy, w połączeniu z wglądem do historii transakcji, mają dowody, na podstawie których mogą pieniacza potraktować ostrzeżeniem lub ban’em.
W Twoim rozumowaniu jest jeden, maleńki, ale cholernie ważny błąd: większość średnio rozgarniętych użyszkodników komputerów nie zastanowi się nad tym co to za link tylko kliknie i odpali exeka.
Dla Ciebie (i dla mnie i wszystkich czytelników niebezpiecznika) to oczywiste, że domena to nie przelewy24, że exe to nie potwierdzenie i że przelewy nie hostują grafiki. Ale dla szaraka to link, który trzeba wdusić, bo przecież “mi się nigdy nie zdarzy oszustwo”, bo przecież w nazwie jest “przelewy24”, a hostowanie grafiki to dla nich nieznane pojęcie.
Trudno to byłoby współczuć człowiekowi obeznanemu, który by się na to dał złapać.
Właśnie dla tej “większości średnio rozgarniętych użyszkodników komputerów” przeglądarka i Windows wyświetlają ostrzeżenia przy pobieraniu i próbie otwarcia. Ktoś, kto wszystko [Yes]’uje i [Next]’uje jak leci zamiast poświęcić kilka sekund na przeczytanie komunikatu i zastanowienie się nad potencjalnymi konsekwencjami, sam dobrowolnie pakuje się w bajzel. Takie “olewające” podejście do obsługi komputera lub innej czynności wymagającej chociażby elementarnej uwagi sprawia, że po prostu nie mogę takiej osobie współczuć. Ponadto celem tego scam’u (na podstawie treści e-mail’a) są Allegrowicze prowadzący “profesjonalną”, masową sprzedaż (ew. sklep) na Allegro, a więc często wystawiający aukcje, zazwyczaj operując przy tym plikami graficznymi. Taka osoba naprawdę powinna zauważyć, że ten plik “graficzny” jest traktowany przez przeglądarkę i Windows dość nietypowo.