22:04
8/7/2013

Uwaga, przejście na URL wskazany w fałszywym e-mailu o powyższym tytule powoduje uruchomienie ramki z adresu “http://areg.net78.net/allegro/”, która odpala złośliwy aplet Javy. Wiadomości, w których ktoś podszywa się pod Allegro są obecnie masowo rozsyłane na polskie skrzynki e-mail.

view-source_areg.net78.net_allegro_

źródło skryptu deploy’ującego aplet Javy

Delivered-To: XXXXX@gmail.com
Received: by 10.112.1.2 with SMTP id 2csp289935lbi;
Mon, 8 Jul 2013 12:30:01 -0700 (PDT)
X-Received: by 10.14.0.131 with SMTP id 3mr26248603eeb.98.1373311800769;
Mon, 08 Jul 2013 12:30:00 -0700 (PDT)
Return-Path:
Received: from v126140.home.net.pl (v126140.home.net.pl. [188.128.188.156])
by mx.google.com with SMTP id o41si17679013eep.109.2013.07.08.12.30.00
for ;
Mon, 08 Jul 2013 12:30:00 -0700 (PDT)
Received-SPF: pass (google.com: domain of serwer1367576@home.pl designates 188.128.188.156 as permitted sender) client-ip=188.128.188.156;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of serwer1367576@home.pl designates 188.128.188.156 as permitted sender) smtp.mail=serwer1367576@home.pl
Date: Mon, 8 Jul 2013 19:29:59 -0000
Message-ID: <20130708192959.21242.qmail@home.pl>
To: XXXXX@gmail.com
Subject: Twoje Konto w Allegro.pl Zostalo Zablokowane
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
From: powiadomienia@allegro.pl
Reply-To: powiadomienia@allegro.pl
Cc: powiadomienia@allegro.pl

*Drogi Użytkowniku!*
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie allegro.pl
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres http://www.odblokuj-alIegro.xn.pl
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa Allegro

E-maile zostały rozesłane m.in. na adresy e-mail użytkowników serwisu klid.pl

Dziękujemy naszym czytelnikom (bulbi, Grzegorz, Tomasz, Piotr, vitto239, Michał, XXXX, dzemor, RadekW, Paweł, taki_jeden, Zen Vantalye) za forward e-maila z nagłówkami.

Przeczytaj także:

58 komentarzy

Dodaj komentarz
  1. http://www.youtube.com/watch?v=m00udFijVf0

  2. Moglibyście zamieścić jakiś anyphishingowy poradnik dla starszych i mniej zainteresowanych komputerami użytkowników Internetu? Wielu osobom by to bardzo pomogło:)

    • Tylko że tacy użytkownicy nie czytają niebezpiecznika…

  3. > Należy udać się pod Adres hxxp://www.odblokuj-alIegro.xn.pl

    Oh, rly? Czy ktoś się jeszcze na to nabiera? No błagam…

    • Nie doceniasz nieogarnięcia nie-czytelników Niebezpiecznika. Wśród komentujących takiego bloga nie ma takich ludzi, ALE reszta internetów jest pełna ludzi, którzy nawet tego linka nie doczytają do końca.

    • “Wśród komentujących takiego bloga nie ma takich ludzi” nie byłbym taki pewien – np. Prima Aprilisowa akcja z facebookiem

    • @Adrian Punkt dla Ciebie. Ale i tak średni poziom ogarnięcia spraw bezpieczeństwa wśród fanów niebezpiecznika jest WYŻSZY niż wśród reszty internetowej populacji.

      W sumie, jak wezmę twoją opinię pod uwagę, to jest JESZCZE GORZEJ NIŻ MYŚLAŁEM.

  4. Właśnie też dostałem takiego samego e-maila. Czy baza adresów jest związana tylko z serwisem klid.pl, czy też zachodzi podejrzenie jakiegoś wycieku adresów e-mail z innego serwisu?

    • Co może robić taki applet?

    • @nafn – Zje Ciebie na obiad :)

  5. O! Czyli to nie tylko maile Wykopków były “celem”.

  6. aplet java ? no way kto go teraz ma zainstalowanego :X

    • Krysia z księgowości.

    • Ludzie, którzy Javy potrzebują, bo np. grają w Minecrafta, programują w Javie, itp.

    • _Potrzebują_, bo grają w Minecrafta… :D

    • Przykładowo Polbank w domyślnej konfiguracji wymaga do zatwierdzenia przelewu autoryzacji certyfikatem i appletem Javy.

    • Nie rób z siebie takie bezpiecznego bo nie masz javy. Większość internautów ma Jave. Niby hipster, brak słów!

    • O to kilka powodów czemu mam jave:
      1. Eclipse (takie IDE dla javy)
      2. Android
      3. Większość programów naukowych jest w javie
      4. studia ;)

    • A na kurniku w kalambury to się nie grało nigdy? Teraz jest wersja bez Javy, ale kiedyś się instalowało tylko po to, żeby zagrać ;)

  7. Potwierdzam, dostałem coś takiego.

  8. Ma ktoś tą binarkę? Chętnie przeanalizuje, prosze kierować plik na adres e-mail.

  9. ” Należy udać się pod Adres http://www.odblokuj-alIegro.xn.pl

    Serio ? o_O

    Ja wiem, że to jest bardziej po polsku napisane niż większość scamu przychodzącego na skrzynkę (mnie jakoś to omija ciągle…) ale chyba nawet mniej ogarnięte osoby powinny wyczuć wałek…

  10. Nie wiem co to za serwis klid.pl więc nie mam tam konta, a emaila o zablokowanym koncie dostałem.

  11. Witam. Ja nie mam konta na wykopie, ani w serwisie klid.pl, a wiadomość dostałem, więc baza adresów pochodzi skądinąd. Pozdro.

    • Ja tam nie wiem skąd, ale może baza klidu to fragment większej bazy, pozbieranej z jakiś różnych serwisów, bo dostałem takie coś na maila, którego użyłem wyłącznie do rejestracji na klid.

  12. Przeciez baza uzytkownikow klida to lata po necie juz od dobrych kilku miesiecy. Admin tego gownianego serwisu (milordi) udostepnil ja zwyczajnie pewnego dnia do pobrania ze strony glownej. Juz nie mowiac o logach z prywatnych rozmow klid czatu :]

  13. powiedzcie mi,co robic jak juz wszedlem na to ‘coś’ ?
    na fb wyslalo 30zaproszen do ludzi,na allegro mam 250zl,nie wiem co robic..

    • musisz odniesc komputer do sklepu. jak pan spyta co sie stalo, to powiedz ze nie zaslugujesz…

    • > format C:/

    • a co powiesz na zmiane haseł we wszystkich serwisach i reinstalkę systemu? takie proste rozwiązanie mi przyszło do głowy…

  14. Co w przypadku jesli ktos kliknal ?

  15. @cysioland (btw. siema :D)
    Jest różnica między zainstalowaną Javą, a zainstalowanym pluginem Javy do przeglądarki.

    • My się znamy? (Pisz na kontaktach podanych na stronie, nie róbmy OT)
      Fakt, chociaż, jak mówiłem, programiści mogą pisać aplety, bądź inne takie.
      U mnie Chrome na szczęście pyta każdorazowo przed uruchomieniem Javy.

  16. A jeśli już ktoś w to kliknął, to co teraz? Jak to wykasować? I proszę tu nie wyzywać od debili, po prostu nie każdy jest tak strasznie zainteresowany informatyką. Konto jest mi potrzebne, więc zdziwienie mailem było większe niż sprawdzanie wiarygodności. Dodam, że żadne formularze itd. nie były wypełniane, bo nawet ich na stronie nie było, same logo allegro. Avast i Adwcleaner nic nie wykrył. Jest szansa, że komputer nie został zainfekowany?

  17. @brain Ja mam. Konsola na pukawka.pl tego wymaga.

  18. Witam.

    Dziękuję za przesłane informacje oraz nagłówki – ta wiadomość jest
    próbą wyłudzenia danych. Została ona już zgłoszona do odpowiednich
    administratorów.

    Proszę się nie logować na wspomnianej stronie, a jeżeli w przyszłości
    otrzyma Pan podobną wiadomość, proszę przekierować ją na adres:
    phishing@allegro.pl.

    Pozdrawiam,


    Marcin Szachta
    Zespół Allegro

    Salutt!

  19. a konta nie mam na żadnym z w/w serwisów. Więc może jakiś spider je zebrał z sieci.

  20. Dla bezpieczeństwa, wszedłem w link poprzez TOR’a z portable’owym firefoxem, po otwarciu linku nic się nie stało, ‘biała strona’.. Mogę czuć się bezpiecznie?

    • Nie – juz jada po Ciebie.

    • A miałeś na sobie prezerwatywe ?

    • jak na tym torowym firefoksie nie ma javy, falsha i acrobad readera to raczej tak. Problemem może być nieaktualna przeglądarka. Rootkit może wykorzystywać niektóre z podatności: https://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html. W moim przypadku tor używa Firefox ESR 17.0.5 a powyższe poprawki są dla 17.0.7.
      Ale fakt faktem że większość rootkitów wykorzystuje dziury w IE ;-) albo w pluginach więc możesz się czuć względnie bezpiecznie.

    • A co ma TOR do exploitów i ataków drive-by download? Chyba nic.
      Skąd wiesz, czy się nic nie stało? Jakbyś jakimś systemem MAC w Linuksie w trybie którym nie blokuje, ale informuje o dostępie do folderów sandboksował to byś mógł tak powiedzieć. A tak to skąd wiesz, że nic się Tobie nie zainstalowało? Nie wiesz tego, przecież o to chodzi by użytkownik nawet nie wiedział że ma zainfekowany system.
      W tym linku podobno tylko aplet Javy był złośliwy, więc jeśli nie masz Javy (nie javascriptu tylko javy) uruchomionej to podczas wejścia na podaną stronę nic się nie powinno stać. Ale z taką wiedzą i jednocześnie wchodzeniem na niebezpieczne strony, by zobaczyć co się stanie to już pewnie niejedna Cię zainfekowała.

    • Z twojej wypowiedzi mogę tylko jedno wywnioskować – idź i zapisz się na kursy Piotra, one naprawdę Ci się przydadzą oraz poznasz podstawy. Widzę, że nie masz pojęcia jak to działa… TOR przecież jest zintegrowany z firefoxem, a czy firefox jest również podatny na ten typ ataku, który wyzwala javę?? Jak myślisz:? Jak się pojawiła biała strona, to nie znaczy, że coś nie działa, że coś się nie uruchomiło, a może jednak się uruchomiło tylko o tym nie wiesz…

    • Jeszcze coś – jak uruchomiłeś na wirtualnej maszynie, to możesz czuć się bezpiecznie w innym przypadku nie.

  21. A co, jeżeli ktoś kliknął w link?

  22. Najlepiej wyzywać wszystkich, którzy włączyli od debili, ale już pomóc jak to wyprostować, to nie ma komu… Norma.

  23. A co jeżeli wszedłem na tą stronę? odpisz ktoś

    • Ja bym na twoim miejscu przeskanował komputer i jak antywirus nic nie wykaże (a pewnie wchodziłeś na ten link), to lepiej zformatuj komputer żeby nie mieć problemów.

    • Wszystko zależy od tego jak wysoki poziom bezpieczeństwa chcesz osiągnąć. Jeśli chcesz osiągnąć wysoki to:
      1. z płyty live cd linuxa uruchamiasz komputer, robisz kopię zapasową plików, zapisujesz je gdzieć np. zewnętrznym dysku twardym. Z plików wyrzucasz wszelkie pliki exe, com, dll i inne wykonywalne. Pozostałe skanujesz na zaufanym komputerze antywirusem, może być to antywirus z windowsa albo z jakiegoś antywirusa na płycie typu live cd np. kaspersky takie płytki legalnie udostępnia do ściągnięcia. Należy pamiętać o zaaktualizowaniu bazy wirusów, nie zawsze te płytki robią to automatycznie. W ustawieniach antywirusa zaznaczasz, by skanował całe pliki a nie tylko ich część i mocną heurystykę.
      2. Dysk w swoim PC formatujesz, instalujesz Windows od nowa. Od razu go w pełni aktualizujesz, instalujesz aktualne programy z zaufanych źródełitp.
      Na zaufanym komputerze (Twój po formacie już uznajesz za zaufany) zmieniasz hasła we wszystkich serwisach, może Ci być potrzebny do zapamiętania jakiś program do zarządzania hasłami i generowania losowych np keepass / keepassx.
      3. Przywracasz kopię zapasową plików na swój PC. Jak wcześniej napisałem – wszelkie pliki exe, com, dll uznajesz z automatu za niezaufane, pozostałe jeśli nie wykryje w nich nic podejrzanego antywirus możesz uznać za zaufane. Jeśli rzeczywiście jest jakiś plik wykonywalny, który musisz mieć i używać, to co prawda jest niezaufany ale możesz go uruchomić w maszynie wirtualnej lub co mniej jest bezpieczne sandboxie na innym koncie użytkownika.

  24. Ciekawe czy autor wpisu zgłosił sprawę allegro.pl :>

  25. Ja wszedłem w tego linka dziś ok. godz 10:00 wtedy pokazało mi że nie można wyświetlić strony, ona była już wtedy wyłączona czy co? proszę o odpowiedz też mam się bać że coś się wgrało?

  26. Krótko mówiąc tak. Jest to ślepa wiara, że nic się nie
    stało. To jest celowe zagranie twórcy spamu.

  27. szkoda ze krytyczne uwagi, gloszone pod adresem redakcji niebezpiecznika oraz komentujacych, nie przechodza przez moderacje.

    • Przepraszam bardzo, jakie krytyczne uwagi? Głupotę ludzką się tępi – to jest normalna kolej rzeczy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.