20:14
8/5/2017

Od przeszło miesiąca, na naszą skrzynkę spływają bardzo podobne historie. Wszystkie dotyczą osób, które wystawiły jakiś przedmiot na Allegro, otrzymały e-maila od PayU potwierdzającego, że kupujący zapłacił i przedmiot kupującemu wysłali. Problem w tym, że kupujący wcale nie uregulował należności, a e-mail od PayU jest podrobiony…

Pierwszy o przekręcie poinformował nas w końcówce marca jeden z czytelników:

w zeszłym tygodniu padłem ofiarą phisingu na Allegro jako sprzedawca. Po pomyślnym sprzedaniu przedmiotu dostałem kilka maili od Allegro (informujących o tym, ze sprzedałem przedmiot, oraz ze kupujący wybrał sposób dostawy itp.) oraz spreparowany mail, rzekomo od “powiadomienia@payu.pl” o treści “Nowa wpłata od Kupującego niezarejestrowany”.

Treść maila przypominała prawdziwe maile od Allegro, jednak sam mail był wysłany (patrząc po nagłówkach maila) z anonymousemail@orbit.eternalimpact.info. Dodatkowo w nagłówkach spotkałem wpis

"X-PHP-Script: anonymousemail.me for spoofed, 127.0.0.1"

więc sam mail był chyba wysłany z serwisu anonymousemail.me. W rzeczywistości oczywiście żadna wpłata nie miała miejsca, a sam kupujący informował mnie w mailach, że dokonał wpłaty przez PayU.
To co było dla mnie nieoczywiste, to fakt, że Gmail nie oznaczył w żaden sposób sfałszowanej wiadomości (do tej pry miałem przeświadczenie, że w przypadku podmiany pola “Od” w mailach, GMail jasno podreśla ten fakt w swoim kliencie webowym).

Wiadomość wyglądała tak:

A to jej nagłówki, które potwierdzają, że e-mail nie został wysłany przez PayU:

Return-Path: anonymousemail@orbit.eternalimpact.info
Received: from orbit.eternalimpact.info (orbit.eternalimpact.info. [89.34.237.113])
by mx.google.com with ESMTPS id d27si8400922wrb.106.2017.03.16.15.22.52
for
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Thu, 16 Mar 2017 15:22:52 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of anonymousemail@orbit.eternalimpact.info designates 89.34.237.113 as permitted sender) client-ip=89.34.237.113;
Authentication-Results: mx.google.com;
spf=pass (google.com: best guess record for domain of anonymousemail@orbit.eternalimpact.info designates 89.34.237.113 as permitted sender) smtp.mailfrom=anonymousemail@orbit.eternalimpact.info
Received: from anonymousemail by orbit.eternalimpact.info with local (Exim 4.88)
(envelope-from anonymousemail@orbit.eternalimpact.info)

Przypadki kolejnych zgłaszających były bardzo podobne (nie wszyscy na szczęście się nabrali, ale schemat działania oszusta zawsze był taki sam).

Witam, sprzedawałem ostatnio telefon na allegro i kupił go jakiś przekręt. 
Dostałem 2 oryginalne maile od allegro i od razu po nich tak jak to bywa po wpłacie przez Payu, podrobionego w prawie idealny sposób maila o wpłacie. Nawet gmail nie wrzucił go do spamu. Co ciekawe mail ponaglający mnie do wysyłki telefonu z zacytowanym mailem z allegro już do spamu wpadł.

Zorientowałem się, że mail jest fałszywy bo nie zawierał imienia i nazwisko co skłoniło mnie do sprawdzenia skąd został wysłany.

Kolejny z prawie oszukanych dodaje:

Scam jest zrobiony wiarygodnie, gdybym wysyłał wiele paczek dziennie to nie byłbym w stanie zweryfikować przy 100 paczkach, które są opłacone, a które nie, lecz raczej bym patrzył na maile od PayU.
Profil został zablokowany, ale to nie problem założyć nowy niezarejestrowany do kolejnych oszustw. Myślę, że warto ostrzec ludzi, bo ja prawie bym stracił ponad 2 tys zł, a myślę, że celują w małe i drogie sprzęty.

Sprzedaję na Allegro — co robić, jak żyć?

Patrząc na zgłoszenia, za każdym razem oszust korzysta z innego numeru telefonu (który w ogóle może być fałszywy) i innego konta e-mail. Zawsze jednak jest to użytkownik niezweryfikowany, proszący o wysyłkę przedmiotu do Paczkomatu na terenie Krakowa, a adres e-mail wskazuje na dane kobiety:

luizakozlowska@onet.pl
patrycjasymanska@onet.pl
miroslawajasinska1@onet.pl

Najlepszą ochroną przed tego typu scamami jest zawsze weryfikacja płatności po zalogowaniu do Allegro (a nie na podstawie e-maili). W panelu fałszywych transakcji widać bowiem, że płatność — choć została rozpoczęta — to nie została zakończona i faktycznie tych pieniędzy nie macie:

Przeczytaj także:

48 komentarzy

Dodaj komentarz
  1. W lipcu 2016r. niemal padłem ofiarą tego typu phishingu,
    także metoda nie jest wcale nowa, aczkolwiek możliwe, że jest teraz szerzej stosowana.
    Gdyby nie nawyk sprawdzania bilansu konta na Allegro prawdopodobnie dałbym się nabrać,
    bo sprzedawałem dobra cyfrowe, więc zakupione przedmioty wysyłałem mailowo.
    Co ciekawe w moim przypadku przedmiot kupiono z zarejestrowanego konta,
    a podrobiony email z potwierdzeniem wpłaty był w 100% dopracowany, zawierał także moje imię i nazwisko.
    Całą sprawę zgłosiłem od razu do obsługi Allegro, skończyło się jedynie
    na zablokowaniu konta kupującego i obietnicy, że coś z tym zrobią.

    • To nie jest phishing…

    • Na początku artykułu (w mailu od sprzedawcy) jest napisane, że to phishing, stąd pewnie konfuzja.

    • @Piotr Konieczny dlaczego nie? E-mail jako przynęta podszywając się pod oryginał w celu wyłudzenia towaru/pieniędzy. Moim zdaniem to phishing ale może uznaję błędną definicję.

  2. wiadomości z Allegro czy pau powinny zawierać w tytule jakiś poufny numer sprzedawcy tak aby oszust nawet znając szczegóły transakcji, adres email oraz imię i nazwisko sprzedawcy i tak nie mógł się podszyć..

    • Bardzo łatwo można będzie to odkryć. Jest przecież w zwyczaju że reply-to tej wiadomości to adres kupującego.

    • ale co ma tu adres kupujacego do rzeczy. Allegro niepotrzebnie kumuluje wiadomosci z dwoma adresatami. Do sprzedawcy powinna iść oddzielna wiadomość z jego poufnym numerem i żaden z klientów nie miałby do tego dostępu..

    • Najlepszy byłby po prostu podpis PGP.

  3. Allegro naprawdę mało robi z takimi rzeczami… Zablokowanie konta i przekazanie sprawy do policji (łaskawe) to zdecydowanie za mało jak na portal tego formatu.
    A podobno dobrze tam płacą ludziom…

    • Uwierz mi, że to jest mit. …I tutaj nie mówię o stażystach, a wyjadaczach, dużych specjalistach.

  4. I po co bylo wprowadzac te cholerne PayU ? malo tego nie mozna tego wylaczyc , jest to podpiete odrazu do zalozonego konta na allegro . Scierwo jakich malo, tak samo jak paypall. Allegro chcialo byc sprytne i zarobic na wdrozeniu podejrzanego PayU, i teraz oszusci to wykorzystuja. Pytanie do allegro- dlaczego tego nie da rady wylaczyc ?

    • Chyba nie patrzyłeś w ustawienia, możesz wyłączyć w każdej chwili

      Moje konto >> Moja sprzedaż >> Ograniczenia dla Kupujących >> “nie przyjmuję płatności przez PayU “

    • może masz rację. Być może z punktu widzenia sprzedawcy.
      Ale czy nie jest tak, że jeśli sprzedawca będzie sprawdzał środki bezpośrednio, a nie ufał mailom (które jak wszyscy tutaj chyba od dawna wiedzą jest łatwo podrobić – chociaż ja np. nie wiem jak), to się nie nabierze?

      A czy nie jest również tak, że dla kupującego jest:
      A) wygodniej, bo jest przekierowany do swojego wybranego serwisu, z którego robi przelew bezpośrednio – nie udostępnia swoich danych pośrednikom (chyba że udostępnia? Jak to właściwie jest?);
      B) bezpieczniej, bo płaci PayU – czy w sumie allegro, od którego potem może się domagać gwarancji/reklamacji itp.?

      Poza wszystkim PayU jest nieuciążliwe dla kupujcego w przeciwieństwie do 3DSecure, które jest również pośrednikiem, tyle że uciążliwym.

      Z mojego punktu widzenia nic, co jest wspomniane w artykule, nie jest słabą stroną PayU. Czy znacie/wiecie jakie są realne słabe punkty tego systemu? I pytam całkiem serio.

    • Tutaj PayPal’a będę bronił. Co ci się w nim nie podoba? Czym przypomina PayU? Na PayPal’u masz konto i możesz trzymać swoje pieniądze, a przez PayU tylko płacisz.

    • @hmm Nie zgodze sie z teza, ze od PayU “którego potem może się domagać gwarancji/reklamacji”. Nie masz zadnej gwarancji ani pomocy ani zwrotu jakiejs kasy. Ochrona kupujacego to fikcja. Mam niemile doswiadczenie z Allegro i PayU. Zostalem oszukany przez sprzedawce. Zglosilem to do Allegro Dostalem wytyczne co musze zrobic. Zglosilem sprawe na Policje. Dostalem numer zgloszenia. Wyslalem do Allegro a PayU pomimo, ze przeciez za ich posrednictwem poszla platnosc zazadalo ode mnie dodatkowo skanu dowodu osobistego. Wyslalem im wszystkie dokumenty poleconym tak jak chcieli a i tak nie otrzymalem zadnego zwroptu kasy. Cisza a i allegro sprawe zamknelo. Dobrze, ze to byla mala kasa to sprawe olalem ale przestalem kupowac na allegro.

    • Dodam jeszcze, ze nie wiadomo co teraz moze sie stac z moim skanem dowodu osobistego ktory musialem poslac PayU. Na szczescie jeszcze nikt nie wykorzystal go do zaciagniecia na mnie kredytu ale czy tak sie nie stanei w przyszlosci jak ktorys z pracownikow PayU sie zwolni i wezmie ze soba baze danych?

    • Dokładnie. “Program ochrony kupujących” w allegro/payu to ściema. Kit dla frajerów łykających bajki jak gąsior ciepłe kluchy. Wstyd się przyznać, ale znam to z autopsji jako strona poszkodowana. Ktoś sobie patrzy na ten program i myśli, że to działa bo musi działać, bo przecież to allegro. Ale może się wypowie ktoś ktoś komu się udało odzyskać pieniądze z jego pomocą. Jest tu taka osoba?

  5. Dopóki policja nie będzie reagowała na tego typu przekręty to nic się nie zmieni. Wyłapując kiedyś podobny przekręt w firmie i zgłaszając na policję usłyszeliśmy że “chyba nie myślimy że dla kilku tysięcy postawią kogoś na cały dzień pod paczkomat”.

    • Trzeba było zapytać, co ile można ukraść kilka tysięcy, żeby się nie interesowali.
      Daj znać jak się dowiesz xD

  6. Całe to allegro to porażka. Od kiedy korzystam z serwisu aliexpres to jest to przepaść funkcjonalna…

    • Nie wszystko kupisz na aliexpress, do niektórych rzeczy (i nie mówię tu wcale o rzeczach nielegalnych,bo to oczywiste i tego allegro nie sprzedaje) celnicy mogą się przyczepić.
      Na standardowe Chińskie zagranie – wysłanie paczki z podpisem “gift” celnicy reagują aż nazbyt często zniszczeniem ci mienia.I co im zrobisz ? A guzik im zrobisz !
      A jak zamówisz przesyłkę która w sumie jest legalna,ale pan(i) celnik takich szczegółów nie zna,albo przesyłka będzie nielegalna w danym kraju tranzytowym,to może być jeszcze gorzej.

    • Jednak ceny u ryżowych są na tyle niskie w stosunku do rynku lokalnego, że można próbować kilka razy a i tak będzie opłacalne. A pracę celników bym nie określał aż tak brutalnie. Jak nie sprowadzasz mąki z Kolumbii to kłopotów raczej nie będzie. Najwyżej wezwanie celem wyjaśnienia/przedłożenia dowodu zakupu.

  7. W mailu, od payu który wkleiliscie jest byk ;)
    W polu do zapłaty zawsze jest kwota już z kosztem przesyłki jak poniżej:
    Do zapłaty 280,27 zł
    W tym koszt dostawy 25,00 zł
    Zapłacono 280,27 zł

    W spreparowanym mailu w polu do zapłaty jest kwota za przedmiot ;)

  8. Bez przerwy piszecie o atakach i próbach wyłudzenia. Sam spotkałem się z tym problemem kilka tygodni temu. Ale czy jest jakakolwiek instytucja która się tym interesuje? Mam wrażenie że w necie można robić co się chce byle nie obrażać prezydenta. Takie oszustwa powinny być natychmiast wyłapywane i ścigane to proceder byłby mniejszy.

    • tak – policja
      ostatnio mundurowy opowiadał mi, że ma serdecznie dosyć spraw z allegro – niektórzy zgłaszają nawet sprawy o 6zł, ale powiedział, że to jedyna droga bo jeśli na jednego kolesia jest wiele nawet drobnych zgłoszeń – to ma to już znamiona oszustwa na szeroką skalę i wtedy działają – ale to się musi chcieć jednemu z drugim pójść na komendę i zgłosić – a że 90% osobom się nie chce, za to wolą ponarzekać tu i tam w internecie – no to niestety narzekanie ma niewielką moc sprawczą….

      PS ja ostatnio zgłosiłem oszustwo przy okazji zakupy telefony za ponad 1000zł którego nie otrzymałem – po zgłoszeniu na policję, wysłano lokalny patrol do sprzedawcy, a ja w ciągu 2 dni od tej chwili miałem kasę z powrotem na koncie – czasem jednak warto podjąć kroki formalne.

    • Zgadza sie. Dane po pesel lub nip w bazie policyjnej. Kumulacja spraw, do sadu i ciach kratki. Da się ? Ano da sie i tyle.

    • @el – wiele zależy od tego na kogo sprawa trafi. W dużej niestety ilości przypadków jest podejście jak tego policjanta, bo mają tego za dużo i “wiele ważniejszych spraw” – sam doświadczyłem tego, ze nie kiwnęli palcem w bucie tylko było umorzenie, choć dałem im na tacy dane, wydruki, skany, dokumenty papierowe, zdjęcia, itp. W sieci można przeczytać wiele podobnych historii, niestety. Jedyna rada to po otrzymaniu decyzji z prokuratury ma się siedem dni na złożenie odwołania, wówczas jest ponowne rozpatrzenie, ale mi dla 40 zł się nie chciało kopać z koniem.

  9. Chciałbym zobaczyć pełne nagłówki wiadomości, ponieważ bardzo niepokojący jest opublikowany kawałek gdzie serwer google twierdzi że wiadomość przechodzi SPF – widać że rekord SPF jest sprawdzany nie dla payu.pl (który ma ustawiony SPF) a dla orbit.eternalimpact.info (który w tej chwili nie pokazuje mi żadnych wpisów w polu TXT w DNS).

    • Przyłączam się do prośby.

  10. 1. Nie wiem czy kupujący nie ma dostępu do danych osobowych sprzedającego nawet przed dokonaniem płatności. Po na pewno, ale czy przed?
    Jeśli przed, to imię i nazwisko do podrabianego maila też może dodać.
    FAQ Allegro nie precyzuje tego jasno: https://faq.allegro.pl/artykul/26333/gdzie-po-zakupie-znajde-dane-sprzedajacego (dostęp 09.05.2017 08:30)

    2. Czekamy aż sparują ten atak z jakąś lewą wtyczką na przeglądarkę, która będzie podmieniała “Rozpoczęta” na “Zakończona”. :)

  11. Jak tylko zaczęło mi się trochę na allegro sprzedać, zrobiłem test, i puściłem przez stronę poznaną na szkoleniu niebezpiecznikowym (dzięki przy okazji), że gmail przepuszcza takie spreparowane maile. Od tamtej pory każdą wpłatę weryfikuję na allegro, uciążliwe, ale przynajmniej pewne.

    Mam też maila, który odbija na konto firmowe wszystkie maile z allegro, nie jest on nigdzie podany. Pewnie jestem w błędzie, ale chyba nie jest tak łatwo zdobyć informację jaki to adres i potencjalny oszust spreparuje mi maila na adres firmowy podany na stronie “Informacje od sprzedającego”.

    Zdarzają się też osoby, które wysyłają potwierdzenie przelewu (pdf-a), że potrzebują pilnej wysyłki bo lada chwila wyjeżdżają. Oczywiście pieniądze przelali i strasznie im się spieszy, a przez PayU jakoś im nie wyszło ;]. Miałem 3 takie przypadki, nie wysłałem. Tylko jedna osoba faktycznie wpłaciła pieniądze.

    • z tym mailem to bez sensu bo jednak widzę, że allegro go podaje w mailu :D więc to żadne zabezpieczenie, tylko namieszałem

  12. Kilka razy też do mnie docierały e-maile z “Allegro”. E-maile wydawały się w porządku, ale sprawdziłem aukcje oraz nazwę użytkownika na stronie Allegro. Przypadek ten wraz z e-mailem przesłałem do firmy tej, wraz z moimi wątpliwościami, które opisałem w e-mailu.

  13. Wszystko jest wina alkedrogo. Udostępniają opcje dla nie zarejestrowanych to raz, mnożą się teraz takie przekręty, a dwa nie dodali w opcji dla sprzedających możliwości wykluczenia takiego użytkownika z aukcji.
    Problemu by nie było.

  14. Miałem to samo w wakacje zeszłego roku, niestety to był przedmiot elektroniczny i wysłałem pierw, potem zauważyłem, zapłaciłem za to 60zł, bo ich nie otrzymałem :)

    Allegro twierdzi, że to nie ich wina, nie ważne, że email wysłany z ich domeny. Droga nauczka, ale nauczyłem się przynajmniej :)

  15. PayU już dawno powinno stosować DMARC – większość dużych dostawców poczty korzysta z tej technologii

  16. Weryfikacja płatności na podstawie maila to dość kiepski pomysł. Są programy, które to robią bezpośrednio w Allegro, szybko i pewnie.

  17. Na pierwszym zrzucie nie ukryliście adresu e-mail :)

  18. PayU z uporem maniaka ignoruje 3DSecure co pozwala na dokonanie transakcji bez zgody właściciela karty, np masz duży limit na karcie kredytowej, PayU gromadzi CVV itd. i nie masz kontroli nad transakcjami. naciągaczy nie brakuje w stylu kup ubezpieczenie OC w dwóch ratach (w domyśle półrocznych) a tu w następnym miesiącu na rachunku karty druga rata ! kompletnie bez wiedzy posiadacza karty

    • A kazał Ci kto podawać im dane swojej kredytówki? Pomyśl dwa razy.

  19. Od dawna już allegro stało się portalem dla oszustów. Nie jedna afera była tylko media mało komentują. Ważne aby była prowizja, a nie takie bezpieczeństwo. Ile @ się do nich napisałem, aby dali opcję, czy dostawa jest z Polski, bo wiemy jak sprzedają… albo akcja z książką premiera HPottera chyba i tysiące kupujących, a tu książek nie ma, konto na słupa było.

  20. Nie wiem jak macie to poustawiane, ale mam ustawione przelewanie środków raz dziennie z PayU. Oczywiście, dostaję email o każdej opłaconej transakcji, ale też o 3 rano email ze wszystkimi transakcjami które zostały dokonane danego dnia. Do tego, jeśli ktoś korzysta z menedżera sprzedaży, tam widać jak na dłoni czy pieniądze zostały zaksięgowane, czy nie.

    • Autoprzelew zleca się sam od 20 PLN wzwyż. Ale zawsze można nie czekać do nocy tylko zalogować się i kliknąć ręczną wypłatę środków. Ja zawsze tak robię gdy coś sprzedam, wcześniej nie ma mowy o wysyłce. Polecam tą metodę, od razu wyjdzie każdy przekręt.

  21. Witam, sama padłam ofiarą przestępstwa internetowego – ale w moim przypadku spreparowano całą stronę przedmiotu, którym byłam zainteresowana. Niczym nie różniła się od oryginalnej, jedyną rzeczą, na którą nie zwróciłam uwagi (a mogła być wskazówką, że coś jest nie w porządku) było to, że Sprzedający nie chciał wpłaty poprzez PayU, tylko zwykły przelew – jednak spotykałam się z tą formą już wcześniej i nie wzbudziło to moich podejrzeń – niestety. Pom wpłacie kontakt ze Sprzedającym się urwał a sprawa trafiła na Policję. Szkoda tylko, że Allegro nie informuje swoich użytkowników, że taka forma oszustwa nie jest dla nich pierwszyzną, wzmogłoby to czujność wielu Kupujących… W razie oszustwa niestety na pomoc z “Programu Ochrony Kupujących” nie ma co liczyć, bo zakupu nie dokonano poprzez Allegro… Na wykrycie sprawcy też raczej nikłe szanse.. Sprzedający najpierw ogłaszał się na OLX.

    • Czy to nie na twoim przykładzie Niebezpiecznik kilka miesięcy temu opisywał ten przekręt z “dokończeniem” transakcji na Allegro?

      Niestety, ale podstawową zasadą jest nieufanie hiperłączom przesłanym przez e-mail.

  22. ostatnia szansa namierzenia gościa to odbiór paczki w paczkomacie. Tam są dwie kamery, a przy wpisaniu numeru telefonu paczkomat dodatkowo robi zdjęcie odbierającego, więc może po tym da rade gościa wyłapać.

  23. Kto korzysta z tego nieudanego klona PayPal tak ma :/

  24. Też tak miałem, ale nie wysyłam towaru zanim nie zobaczę wpłaty na koncie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: