19:32
29/4/2015

Na skrzynki e-mail rozsyłana jest właśnie fałszywa wiadomość, rzekomo od Allegro, informująca o “włamaniu” na konto i prosząca o kliknięcie w link w celu jego odblokowania. W rzeczywistości, strona wyłudza opłatę.

Wiadomość przychodzi z podrobionego adresu security@allegro.pl i wygląda tak:

allegro

Received: from [151.80.164.239] (unknown [151.80.164.239])
by studiostylsc.nazwa.pl (Postfix) with ESMTP id 371E01CD529
for ; Wed, 29 Apr 2015 17:16:19 +0200 (CEST)
Reply-To: security@allegro.pl
From:"security@allegro.pl"

Drogi Uzytkowniku
Ta wiadomosc zostala do Ciebie automatycznie, przez system rozpoznawania niebezpieczenstw platformy allegro.
Dnia 29-04-2015 wykryto nieautoryzowany dostep do Twojego konta w portalu.
W zwiazku z wykrytym niebezpieczenstwem Twoje konto zotalo tymczasowo zawieszone.
Aby odbokowac swoje konto przejdz pod adres : http://odblokuj.allegro.pl?6846713

Grupa Allegro Sp. z o.o.
ul. Grunwaldzka 182
60-166 Poznan
Firma wpisana do Rejestru Przedsiebiorców prowadzonego przez Sad Rejonowy Poznan – Nowe Miasto i Wilda w Poznaniu,
Wydzial VIII Gospodarczy Krajowego Rejestru Sadowego pod numerem KRS 0000268796, NIP 527-25-25-995, REGON 140762508,
Kapital zakladowy 33 976 500,00 PLN

Link jest w HTML i w rzeczywistości prowadzi do hxxp://up-windows.in/odblokuj.allegro.pl/, pod którym widnieje strona prosząca o wysłanie SMS na numer premium (faktyczny koszt 3,69 PLN):

odblokuj-aliegro_80_pl

Numer ten jest wykorzystywany do zakupów Bitcoin:

Kupuj_BitCoin_za_sms__Szybko_i_bezpiecznie_

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. Czego to człowiek jeszcze nie wymyśli ;)

  2. Miałem Wam to dopiero jutro opisać, ale jak widać ktoś mnie uprzedził. W każdym razie wysłałem zgłoszenie e-mail w tej sprawie do Allegro.pl oraz nazwa.pl. Odpowiedź z nazwa.pl przyszła błyskawicznie – problem został rozwiązany. Na informację zwrotną z Allegro.pl nadal czekam.

  3. Mam pytanie.
    Co to za protokół HXXP w tym prawdziwym URL’u?
    hxxp(colon)//up-windows(dot)in/odblokuj(dot)allegro(dot)pl
    O tym jeszcze nie słyszałem

    • Tak Niebezpiecznik oznacza “złe” linki, aby nie były traktowane jako zwykłe linki, np. przez wyszukiwarki

    • …maskowanie http, żeby adres nie był dalej rozpowszechniany i śledzony przez boty indeksujące.

    • Ahaaa, takie buty…
      a ja myślałem, że to jakiś protokół którego nie znam :)

  4. I jeszcze za prawie 4 zł kupujemy bitcoiny wartości ok. 30 groszy – to dopiero jest przekręt!

    • Przekret roku 2015, zaplac wiecej dostan mniej, prmocja trwa tylko przez najblizsze 5 dni !
      Oto co przyniosl nam nowy rok, przekrety warte mniej niz zaplacono, nie ma co, postep niesammowity jak na 2015!

      A tak na powaznie jestem ciekaw ilu sie na to nabierze, hmm.

  5. Ale to już słabe. Z reguły to są akcje dla naiwnych ale ta to już musi chyba jakichś niekumatych totalnie targetować. URL zdupy, pomysł żeby pisać o problemie z bezpieczeństwem i żądać kasy. Sorry, ale prędzej allegro zostanie zbombardowane oburzonymi, że sms żądają za odblokowanie.

  6. A byłem pewien, że to powrót Armagedona ;)

  7. Też to dostałem o godzinie 21:42 na gmaila

  8. Czy ktoś może mi logicznie wytłumaczyć, dlaczego KAŻDE wyłudzenie tego typu jest napisane językiem mało ogarniętego gimnazjalisty?

    Jasne, rozumiem gdy jest tłumaczone automatycznie. Ale jak jakiś rodak to pisze, to czy, do diabła, nie może tego napisać rzeczywiście po polsku? Aż mnie korci(*), żeby kiedyś samemu rozesłać takiego maila, nawet z nieszkodliwym linkiem tylko rejestrującym wejścia. Tylko po to, żeby zobaczyć jaka byłaby skuteczność starannie napisanej wiadomości.

    (*)Tak, wiem, że nie można. Ale to nie zmienia faktu, że korci.

    • Bo to właśnie rozsyłają mało ogarnięci gimnazjaliści. Ci z gatunku “zrobiłem tutorial z jutuba jak pisać strony i wysyłać masowo maile, więc jestem chakierem”

    • @pionner. Nie do końca. Kiedyś, być może na Nbzp, był artykuł o tego typu mailingach. Okazuje się, że jeśli taki jest napisany niedbale, to nabierze się na niego dużo mniejsza ilość osób, ale za to z dużo lepszą konwersją. Tj jak ktoś już w coś takiego kliknie, to ma spore szanse na wpadnięcie do końca. Ogólna konwersja jest podobno taka sama, jak przy lepiej napisanych mailingach.

      A z drugiej strony wyobrażam sobie, że dużo większą uwagę mediów ściągnęłyby perfekcyjne podróbki, niż nieudolne.

      Reasumując: efekt ten sam, a zainteresowanie mas mniejsze (czyli większa szansa na długie niezakłócone działanie). Profit!

    • Dokładnie na to samo mam ochotę ;) Bo aż dziw bierze ile takich dzieł literackich można dostać. Rozumiem że parę, ale gdy prawie każdy jest pisany w taki sposób, to świadczy o jakimś szerszym problemie…
      A z drugiej strony – dzięki temu, łatwiej filtry ustawić, właśnie żeby wyłapywały takie typowe gim-frazy. Można zebrać całkiem pokaźny zbiór cytatów z “literatury” i przynajmniej mnie zaczęło to dość skutecznie wycinać spam… A jak coś przejdzie przez filtr, to znaczy że autor się postarał i należy poświęcić mu nieco uwagi – choćby po to aby docenić go, za dobry kawał nikomu niepotrzebnej roboty :)

  9. Ciekaw jestem ile osób się na to faktycznie nabrało…

    Allegro ma dość twardą politykę odnośnie rozsyłki e-maili, o której informuje gdzie tylko się da: każdy e-mail zwraca się do użytkownika po nicku (mail zaczyna się od Witaj NICK) i gdzie tylko się da informują by ignorować maile, które prawidłowego nicku nie zawierają. Poważniejsze maile z tego co pamiętam zawierają imię, albo nawet dodatkowo nazwisko. Z tego co wiem, sporo użytkowników allegro ma tą świadomość i widzi, że coś jest nie tak.

    • Teraz piszą po imieniu, czasem nawet odmienionym do wołacza

  10. Do mnie też przyszła podobna wiadomość, tyle że z adresu ”bezpieczenstwo@aliegro.pl”
    Wielkie I zamiast L. Zastanawiam się w jaki sposób mój adres mejlowy, założony na yahoo, kończący się na .com trafił do bazy polskiego spam bota. Używam go w niewielu miejscach, a ostatnią czynnością była korespondencja z paroma użytkownikami allegro. Czyżby krąg podejrzanych mógł być tak cholernie ciasny?

    • Nie zdziwiłbym się, gdyby sami mieli jakiś syf, który wyciągnął Twój adres z korespondencji do nich ;]

  11. Wow!
    To znaczy, że jeszcze trochę i Allegro “naumie” swoje serwery odmieniać nazwiska, a to wywinduje standard ponad poziom przeciętnej infolinii!

  12. phishing szedł z dziurawych serwerów kilku firm… ze Szczecina, Zgierza itp.
    w większości przypadków został zatrzymany jeszcze w trakcie.

    złapanie autora to kwestia czasu. Żaden się jeszcze nie wymigał. Najbardziej znanemu nawet TOR nie pomógł.

  13. Dostałem podobnej tresci tylko dotyczyło Skype .Choc nigdy nie instalowałem ani nie uzywałem.

  14. Wie ktoś jak to wygląda od strony prawnej? Bo niby taka błahostka, ale w Polsce nigdy nie wiadomo.

Odpowiadasz na komentarz Brudny

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: