9:02
16/8/2017

Dostajesz wiadomość od znajomego. Zaczyna się od Twojego imienia, a potem jest różnie. Albo sam buziaczek i link albo link z dodatkowym pytaniem “czy to Ty”?

W przypadkach, które analizowaliśmy link był skracany przez Tinyurl i prowadził do Gogole Drive:

https://drive.google.com/file/d/[...]/preview

Tam ofiara widziała prawdziwe zdjęcie swojego rozmówcy (nie siebie), pobrane z jego profilu i z naniesionym przyciskiem “play” sugerującym, że ktoś przerobił fotkę na film:

Rzut oka w kod pokazuje, na czym polega trick:

Po kliknięciu, w zależności od tego z jakiego systemu operacyjnego korzysta ofiara, prezentowane są jej:

  • na komputerze: fałszywe serwisy udające hostingi plików, wyłudzające opłate za ich pobranie — zupełnie jak w opisywanym przez nas miesiąc temu ataku:

  • albo

  • na telefonie komórkowym: poprzez technikę zwaną WAP Billing automatycznie i natychmiastowo, a co więcej BEZ podawania numeru telefonu i BEZ wpisywania jakichkolwiek kodów z otrzymanych SMS-ów, rachunek ofiary jest obciążany pewną kwotą. Tak, wystarczy wejść (lub zostać przekierowanym) na jakąś stronę i już można być z automatu, bez żadnej swojej akcji obciążonym kosztami usługi SMS Premium (por. zwykłe kliknięcie na link może nabić Ci wysoki rachunek). Chyba — że jak nasza Czytelniczka — masz włączoną blokadę usług Premium, co sugerujemy zrobić każdemu:

Polacy stojący za tym atakiem próbują naciągać Was na wiele sposobów. Oto inne preteksty z wiadomości scamu “na zdjęcie”, które do nas dotarły:

hxxps://apps.facebook.com/gizrama

przekierowuje na

hxxp://nowepliki.pl/fotki-9

Ale po sieci krąży także taki link:

hxxps://apps.facebooK.com/gesdcawqz

który przekierowuje na

hxxp://easydownload.pl/zdjecia-12

Wykorzystywane do oszustwa domeny Easydownload.pl i Nowepliki.pl prowadzą do dokładnie tego samo serwisu autorstwa firmy Soho Invest Sp. z o.o. SK., która zmieniła działalność z rolniczej na kredytowo-nieruchomościową i w której udziały posiada firma SOHO Invest Sp. z o.o., a pośrednio Kabalo Invest. Wszystkie z jednego adresu z Wrocławia.

Ponieważ ciężko jest na tych stronach znaleźć formularz reklamacyjny, to jeśli ktoś z Was został oszukany, formularz reklamacyjny linkujemy tu. Proponujemy też każde takie nadużycie zgłaszać swoim operatorom telefonii komórkowej, ponieważ to ich usługi są wykorzystywane do naciągania wciąż przez te same podmioty i nie wygląda na to, aby operatorzy coś z tym robili.


Aktualizacja 24.08.2017, 17:04
Po publikacji niniejszej wiadomości skontaktowała się z nami kancelaria prawna RM Legal, która przedstawiła pełnomocnictwo, w którym Michał Kazimierczak, prezes Soho Invest sp. z o.o. upoważnił kancelarię do prowadzenia korespondencji w imieniu spółki. Radca prawny Marek Plota poprosił nas o publikację niniejszego oświadczenia:

W imieniu Soho Invest sp. z o.o. sp. k. z/s we Wrocławiu, w związku z opublikowanym w dniu 16 sierpnia 2017 r. artykułem, niniejszym oświadczam, że skrypty i aplikacje opisane w niniejszym artykule nie należą do Spółki, nie są przez nią udostępniane ani w żaden sposób polecane do stosowania. Ponadto Spółka nigdy nie posiadała w swojej ofercie usługi WAP Billing.

Wyjaśnienia w tym miejscu wymaga, że strony nowepliki.pl oraz easydownload.pl są portalami należącymi do Spółki, lecz za opisane procedery związane z tymi stronami przez udostępnione przez Spółkę usługi z numerami o podwyższonej opłacie, są odpowiedzialni tylko i wyłącznie nierzetelni partnerzy Spółki.

Z chwilą powzięcia informacji o charakterze prowadzonych działań, Spółka zablokowała wykorzystywany, przez partnerów Prefix numeru Premium, aby nie mogli promować swoich usług w danej formie. Jednocześnie pragnę zaznaczyć, że ujawniony proceder Spółka uznaje za niezgodny zarówno z prawem, jaki i regulaminem programów partnerskich na podstawie, których Spółka współpracowała z partnerami.

Mając na względzie wizerunek i dobre imię Spółki, Spółka wnikliwie i rzetelnie rozpatrzy wszystkie reklamacje zgłoszone w związku z opisanymi wyżej działaniami partnerów korzystających z domen nowepliki.pl oraz easydownload.pl, w stosunku do których podjęte zostały odpowiednie kroki prawne

Pochwalamy reakcję, a z kronikarskiego obowiązku odnotujmy, że w e-mailu z kancelarii tytuł niniejszego artykułu, choć brzmiał poprawnie, był podlinkowany do …innej naszej publikacji, pt. Uwaga na fałszywe e-maile o przesyłkach konduktorskich. Zastanowiło nas to, ale szybko znaleźliśmy rozwiązanie tej zagadki.

Otóż tamten artykuł, opisujący przekręt na przesyłki konduktorskie, także był przedmiotem korespondencji między nami a tą samą kancelarią i doczekał się oświadczenia nadesłanego a przez Michała Kazimierczaka, który wtedy był prezesem zarządu spółki Loupe Adnew. Spółka ta prowadziła serwis eforsa.pl, który oferował programy partnerskie z numerem Premium SMS 92550, który to numer był w trakcie pisania tamtego artykułu wykorzystywany do oszustwa.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

40 komentarzy

Dodaj komentarz
  1. A numer telefonu skąd bierze? Z ustawień konta na Fejsbuku? Nie podałam Fejsbukowi mojego numeru. Co robić, jak żyć?

    • Po prostu wchodząc na jakąś określoną stronę używając 3G/4G aktywuje ci się usługa.

    • W artykule było powiedziane, na czym to polega. Skrypt wykrywa, czy link został otwarty na komórce, czy komputerze i w zależności od tego stosuje różne typy ataku.

  2. Warto dodać, że atak dotyczy raczej użytkowników smartfonów, bo doczytałem do końca artykuł i nadal nie mam pojęcia jakim cudem używająć FB miałbym być podatny na to surfując na zwykłym komputerze.

    • Przeglądając internet przy użyciu np. LTE.

    • Miałem taką sytuację w firmie, router z podłączonym modem usb z kartą sim oraz kilkoma komputerami podpiętymi po kablu. Oczywiście wtedy jeszcze domyślnie nie kazałem wyłączać usług premium :) , po 2 miesiącach (faktura zbiorcza) zobaczyłem, że doliczają jakieś 60zł/mies. Okazało się, że została aktywowana usługa abonamentowa na dostęp do jakiegoś serwisu z grami! Na początku myślałem, że może ktoś wyjął sim i coś aktywował przez sms, ale po rozmowie z BOK operatora okazało się , że nie jest to konieczne. Wystarczyło, że ktoś z sieci wszedł i kliknął na link aktywacyjny i usługa została włączona, zero potwierdzania sms czy jakkolwiek. Złożyłem reklamację którą uznali i zwrócili kasę ale to pewnie dlatego, że z firmy która ma u nich więcej tel, nie wiem jak skończyło by się dla zwykłego użytkownika. To tak ku przestrodze :)

    • Jak masz internet w wersji mobilnej, to o ile nie masz wyłączonych usług premium, to doliczy ci to do rachunku. Bo ten atak ma w 4 literach czy karta sim jest w telefonie, tablecie czy routerze :)

  3. Czyli w teorii wystarczy iframe na stronie z odpowiednim adresem i każdy (podatny) wchodzący będzie miał aktywowaną taką usługę?

  4. Wygląda na to, że z Plusa auto-zapis na usługę nie działa, pyta mnie o podanie nr tel

  5. Ta sama firma, która już się przewijała wiele razy: Loupe AdNew Sp. z o.o. sp. k Sokolnicza 5/19 53-676 Wrocław
    https://web.archive.org/web/20170214152928/http://easydownload.pl http://reguls.pl/
    Czyli po prostu zmienili sobie firme

  6. A co na to UKE?

  7. Z aero2 mozna klikać do woli :)

    • BDI oczywiście na myśli miałem

  8. Dialery powracają w wielkim stylu?
    Tak jak dbx napisał – wystarczyłby iframe na dowolnej stronie chyba. A z pewnością taki pływający pod kursorem…

  9. Aż dziw, że link skrócony, Google Drive wygląda raczej wiarygodniej niż tinyurl.

  10. Takie coś dostałem:
    Hej, :/ zła wiadomosc, ktos wrzucił twoje foty na swoją stronke, niestety jest ich dużo, musisz cos z tym zrobic, zobacz – https://[apps].[facebook].[com]/%5Bqikcfsk%5D
    do linku dodałem [] żeby nikt przypadkiem nie kliknął

    • wystarczy podmiana https na hxxps :)

  11. Brak FB brak problemów, proste. Wybór należy do Was.

    • Potwierdzam.

    • Świetna rada!
      A koledze, który np. miał stłuczkę samochodem mówisz: nie miałbyś auta, nie byłoby stłuczki?
      Dziwne podejście…

    • @Piotrze zgadzam się z Tobą.
      Jakiej innej porady możesz spodziewać się od Montera… ;)

    • @Tomek, ale to prawda. Nie mając konta tylko sobie czytam o tych scamach, nadużyciach, złośliwych rzeczach, zamiast samemu doświadczać. Po prostu popularność serwisu zrobiła swoje.

    • @Monter, czy to samo poradzisz innym odnosnie Windowsa/Wordpressa bo sa popularne? Mozemy spodziewac sie na Twojej sztronie wpisu jak to komputery sa niebezpieczne i nalezy ich nie uzywac…?

  12. https://www.facebook.com/stsqq

  13. W mój orange można sobie też ustawić limit na usługi premium

  14. Na to wszystko pozwala myeforsa.pl. Nie jedno takie oszustwo się tam pojawia..

  15. Ja profilaktycznie nie wierzę w żadne akcje na facebooku. A może to dla tego że od kilku lat nie używam facebooka…

  16. “wysylamy.pl”… serio?

    Kaspersky
    Internet Security
    DOSTĘP ZABRONIONY
    Żądany adres internetowy nie może zostać wyświetlony

    Adres internetowy:

    http://wysylamy.pl/

    Zablokowane przez Ochronę WWW

    Powód: strona zawierająca phishing

    Kliknij tutaj, jeśli uważasz, że ta strona internetowa została niesłusznie zablokowana.

    Metoda wykrycia: analiza heurystyczna
    Komunikat wygenerowano: 00:28:30

  17. Abonentem wysylamy.pl jest:firma:

    Domain Privacy Limited

    ulica:

    Global Gateway 8, Rue De La Perle

    miasto:

    Providence Mahe

    lokalizacja:

    SC

    telefon:

    • Domain Privacy Limited nie jest abonentem, tylko serwisem/usługą anonimizującą dane faktycznego abonenta domeny

  18. taka usługa nie powinna istnieć
    klient nie może mieć możliwości nabyć usługi nie będąc tego świadomym, musi zostać poinformowany o kupnie, musi wyrazić na to zgodę, potwierdzić kupno
    dlaczego urząd ochrony konsumenta nic z tym nie robi???

    • a zgłaszałeś im to? pewnie nie, jak wszyscy – gdyby było milion skarg to z pewnością by zrobił, ale nikomu się nie chce pism składać – i tak to u nas działa, na zniechęcenie, zamęczenie, większość odpuszcza.

  19. facebook – lepiej tu nie klikaj…
    Przy okazji – co to jest “Gogole Drive”?

    • virtualny dysk od googla
      kiedyś można to było nawet podmapować jak zwykły dysk sieciowy – była apka napisana GmailFS :)

    • Wirtualny dysk od google ma troszkę inną nazwę. Stąd było pytanie.

    • @Kraina Grzybow TV, powaznie nie mogles sie domyslic o jaka usluge chodzi? Musiales zapytac, bo inaczej nie zaspokoilbys swojej ciekawosci…? Trol jakich malo… Mam nadzieje ze chociaz znasz geneze ‘Krainy Grzybow’. Uprzedzajac pytanie, tak wiem.

    • Wiadomo, że przestawione przypadkiem litery, nie ma co się przesadnie czepiać. Skoro jednak ktoś zwrócił na to uwagę, warto by było poprawić w tekście, chyba że “gogole” pojawiły się z pełną premedytacją? :)

  20. wczoraj dostałem “sory ze pisze ale jakis typ na grupie wrzucil Twoje prywatne zdjecia i teraz kazdy moze je pobrac, to nie wirus wiec lepiej to sprawdz – hxxps://apps.facebook.com/mnjweiegopew”

  21. Ja właśnie to dostałam kliknęłam i pokazała się fotka z playem kliknęłam na play i przekierowało mnie na yt tam zaraz się pokazało że jakieś rozszerzenie muszę zainstalować, żeby to odtworzyć no to zainstalowałam i rozesłało się do moich znajomych.

    • Teraz ci sie dysk szyfruje pewnie, to że cie na youtube przekierowało to nie znaczy że musisz ufać że “ROZSZERZENIE jEST POTRZEBNE ŻEBY YOUTUBE DZIAŁAŁ” bo youtube potrzebuje samego flasha…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: