10:46
23/11/2018

Dostajemy sygnały, że przestępcy mają dostęp do danych klientów sklepu Morele.net (co najmniej numeru telefonu). Otrzymaliśmy wczoraj 2 informacje od dwóch różnych osób, że tuż po zakupie w Morele.net na podany sklepowi numer telefonu otrzymali oni takiego SMS-a:

SMS-y wysyłane są z nadawcy morelesms ale widzieliśmy też nadawcę morelenet. Numer na “dopłatę 1PLN” po raz pierwszy pojawił się w internecie miesiąc temu i opisywaliśmy go w szczegółach w artykule pt. Uwaga na SMS-y proszące o dopłatę 1 PLN. Wtedy SMS-y wyglądały na rozsyłane masowo, na chybił-trafił, nawet do osób, które nie spodziewały się żadnej przesyłki. Chociaż jak można się domyślić, w tym przedświątecznym okresie większość ludzi na jakąś przesyłkę czeka. W końcu mamy BLACK FRIDAY (na Niebezpieczniku także).

Dokąd prowadzi link?

Stali czytelnicy Niebezpiecznika pewnie domyślają się, gdzie prowadzi link. Oczywiście! Do lewego panelu płatności Dotpay:

Jak widać, przestępcy mają chyba lekką posuchę jeśli chodzi o słupów w dużych bankach. W każdym razie – po podaniu danych dostępowych dzieje się to co zawsze w przypadku lewego pośrednika w płatnościach.

  1. Przestępca korzysta z login i hasła do banku podanego przez ofiarę i loguje się na jej konto
  2. W zależności od banku, przestępca tworzy na koncie ofiary “odbiorcę zaufanego”.
  3. Ofiara dostaje SMS z banku (lub notyfikację PUSH) proszącą o akceptację operacji “dodania odbiorcy zaufanego”
  4. Ofiara NIE CZYTA DOKŁADNIE SMS-a z banku (lub treści notyfikacji) i potwierdza zamiast PRZELEWU który rzekomo wykonuje, zupełnie inną operację, jasną w SMS-ie (lub notyfikacji) opisaną jako DODANIE do swojego konta “odbiorcy zaufanego”
  5. Przestępca przewala całą kasę ofiary na konto “odbiorcy zaufanego” szybkim przelewem (BlueCash) w kwotach poniżej progu limitu
  6. Ofiara po jakimś czasie orientuje się, że została okradziona, ale zazwyczaj jest już za późno na reakcję. Szybkie przelewy mają to do siebie, że są szybkie…

Ten przekręt z dopłatą na 1 PLN to tylko jeden z przykładów z oszustw w internecie, jakimi przestępcy obecnie atakują Polaków. Niestety inne “scamy” są bardziej wiarygodne i zbierają niemałe żniwo. Polacy tracą przez nie tysiące złotych. O wszystkich aktualnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?“, który w ramach naszej promocji BLACKFRIDAY można teraz zakupić aż 40% taniej! Niebawem będziemy w:

Serdecznie na niego zapraszamy, bo to jedyna okazja aby dostać całą potrzebną osobie korzystającej z internetu wiedzę za jednym razem, “w pigułce”. Jeśli chcielibyście poznać opinie uczestników poprzednich edycji tego wykładu i poznać szczegółową agendę, to kliknijcie tutaj.

Jakim cudem przestępcy mają dostęp do danych klientów Morele?

W tym ataku jedno jest ciekawe. Z naszych informacji wynika, że SMS-a o dopłacie, podszywającego się pod Morele, dostają tylko ludzie, którzy robią zakupy w Morele, i to tuż po tym jak je zrobili. Skąd przestępcy mają dane ofiar, które do tej pory wedle naszej wiedzy faktycznie są klientami Morele? Albo z Morele. Albo od firmy kurierskiej, która obsługuje sklep. Ale są także dwa inne rozwiązania…

Jeden z czytelników, który się z nami skontaktował, konto w Morele założył wczoraj, tuż przed zakupami i tuż po zakupach dostał SMS-a. Drugi z czytelników konto miał już wcześniej, ale podczas zakupów po raz pierwszy podał inny numer telefonu (i to na niego dostał SMS-a).

Na tej podstawie można wykluczyć, że przestępcy dysponują jakąś “starą” bazą Morele.net, która mogła kiedyś wyciec (tak, bazy sklepów wyciekają, ostatnio bazę stracił sklep NEONET). Powyższe prowadzi do wniosku, że przestępcy muszą mieć [1] aktualny dostęp albo do bazy sklepu, albo [2] dostęp do baz firmy Pocztex (tego kuriera wybrał nasz Czytelnik).

Niewykluczone oczywiście jest też to, że [3] dane “sprzedają” przestępcom pracownicy Morele albo Pocztex. Skoro pracownicy banków i operatorów GSM kradną dane klientów z firmowych baz, to nie wątpimy że zdarza się to także w innych typach działalności. Ale jest jeszcze jedna możliwość.

Być może dalej przestępcy [4] rozsyłają SMS-y o dopłacie “na pałę” tak jak to robili tydzień temu. Ale cześć z nich po prostu trafia na klientów Morele, tuż po tym jak zrobili zakupy w Morele (por. podobny błąd poznawczy, jaki opisaliśmy w tekście SMS-owy spam ze sklepu z papierosami i teorie spiskowe).

Mamy więc 4 hipotezy. Która jest prawdziwa?

Co na to Morele.net

Morele już informuje o tym ataku na swojej stronie:

Ważne jest to oświadczenie sklepu:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.

Jest tylko jeden problem. Masowość. W treści SMS-ów jakie dostali nasi Czytelnicy pojawiają się dwa adresy:

https://bitly[.]com/2DT6hKu
https://bitly[.]com/2DAEJbD
https://bitly[.]com/2PNKb29
https://bitly[.]com/2zBfZxl
https://bitly[.]com/2BCJgZL

prowadzące odpowiednio do:

https://platnosci-morele[.]online/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Wskazuje na IP Cloudflare: 104.18.51.70, 104.18.50.70
#Założona: 2018-11-22 17:42:31

https://platnosc24[.]com/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Wskazuje na IP Cloudflare: 104.28.31.30, 104.28.30.30
#Założona: 2018-11-21 15:44:45

https://p-24[.]site/morele?tid=...
#Wskazuje na IP Cloudflare: 104.24.97.222, 104.24.96.222
#Założona 2018-11-23 15:38

https://platnosci-24[.]com/morele?
#Wskazuje na IP Cloudflare: 104.24.113.147, 104.24.112.147
#Założona 2018-11-26 16:37:38

https://px24[.]site/morele...
#Wskazuje na IP Cloudflare: 104.31.74.185 104.31.75.185
#Założona 2018-11-27 o 19:49:57

Popatrzmy na ich statystyki odwiedzin:

Bazując na naszej wiedzy i doświadczeniu, sądzimy że oba SMS-y (z tym dwoma linkami) zostały rozesłane do maksymalnie 50 osób.

Oczywiście niewykluczone, że URL-i i SMS-ów jest więcej. Ale zazwyczaj przy “masowych” akcjach mamy sporo zgłoszeń. W tej sprawie tylko dwa… Dlatego my, z naszego punktu widzenia, ataku nie nazwalibyśmy masowym. A raczej ukierunkowanym. Ale żeby to potwierdzić, trzeba byłoby dotrzeć do innych odbiorców SMS-a i zapytać ich, czy faktycznie robili chwilę wcześniej zakupy w Morele. Jeśli tak, obstawiamy kreta w jednej lub drugiej firmie albo błąd w systemach informatycznych jednej lub drugiej firmy, czyli hipotezy oznaczone powyżej jako [1], [2] albo [3].

Jeśli otrzymaliście SMS od nadawcy morelesms, dajcie nam znać w komentarzach i podeślijcie screena na adres redakcja@niebezpiecznik.pl

Kupuję w internecie, nie tylko w Morele — co robić, jak żyć

Gdzie możesz płać kartą kredytową (w ostateczności debetową). Tak popularni w Polsce pośrednicy w płatnościach też umożliwiają płatność kartą, więc zamiast ikony swojego banku wybierz ikonę VISA lub MasterCard. Dlaczego karta a nie np. BLIK? Bo tylko przy płatnościach kartą masz możliwość reklamacji i odzyskania środków, jeśli coś pójdzie nie tak. Żadna inna forma płatności domyślnie na to nie pozwala.

Możliwość reklamacji oznacza, że niegroźne Ci będą fałszywe sklepy internetowe lub nieuczciwi sprzedawcy ale także lewy panel DotPay’a — bo żeby płacić kartą nie trzeba się logować do banku (a na to liczą przestępcy). Jeśli nie dostaniesz towaru, zareklamujesz transakcje na karcie poprzez procedurę CHARGEBACK (masz na to do 90 dni). Wystarczy jeden telefon do banku i wypełnienie formularze przesłanego przez bank e-mailem. Na drugi dzień pieniądze masz znów na rachunku. Nie przejmuj się, że podając numer karty narażasz go na wyciek. To prawda, ale jeśli na karcie pojawią się lewe transakcje, to też wystarczy jeden telefon do banku i dzięki CHARGEBACK masz i pieniądze znów na koncie i nową kartę.


Więcej o tym dlaczego warto płacić kartą rozmawialiśmy w drugim odcinku naszego podcastu “Na Podsłuchu”.

Jeśli jednak nie lubicie wybierać najprostszych i najskuteczniejszych metod, to możecie też sami samodzielnie sprawdzać czy sklep internetowy, w którym robicie zakupy jest prawdziwy. Poradnik jak to zrobić znajdzicie tutaj: “Jak rozpoznać fałszywy sklep internetowy?“.


Aktualizacja 23.11.2018, 12:46
Napisał do nas Paweł:

potwierdzam taki sam przypadek u mnie. Nigdy nie byłem wcześniej klientem (morele.net — dop. red.), załozyłem konto 21.11 przy składaniu zamówienia. Kilka godzin później otrzymałem sms z informacją o dopłacie. To nie wygląda na zbieg okoliczności.

Paweł podesłał też innego SMS-a:

Pojawiła się też 5 hipoteza. Złośliwy dodatek do przeglądarki (albo wstrzyknięty JS na stronę Morele), który scrapuje wprowadzane numery telefonów. Warto też zwrócić uwagę, że SMS-y nie są “imienne” a gdyby przestępcy mieli dostęp do takich danych, raczej by z nich skorzystali w celu podniesienia skuteczności ataku.


Aktualizacja 23.11.2018, 14:26
Morele przesłało nam następujące oświadczenie i prośbę:

chcielibyśmy poinformować Państwa, że jesteśmy w kontakcie z Policją. Podjęte zostały też już odpowiednie działania celem ustalenia źródła tego nielegalnego procederu. Niestety nie możemy ujawnić więcej szczegółów bo mogłyby one utrudnić działania operacyjne. Główne informacje w tej sprawie opublikowaliśmy już w oświadczeniu na stronie morele.net (które Państwo również przytaczacie).

Jednocześnie, celem ułatwienia realizacji podjętych działań, zwracamy się do Państwa z prośbą o zamieszczenie w artykule https://niebezpiecznik.pl/post/uwaga-klienci-morele/ wyraźniej informacji aby wszystkie osoby, które otrzymały takiego smsa wysyłały do nas jego screen (informacje o nr zamówienia i godzinie otrzymania sms) na adres email: informacja@morele.net.

Jak już będziecie wysyłali te dane na adres Morele, to zróbcie FWD i do nas ;)


Aktualizacja 23.11.2018, 15:16
SMS-y tego typu dostają także klienci Digitalo.pl. Już myśleliśmy, że mamy pierwszy przypadek kogoś, kto dostał taką wiadomość i nie korzystał z Morele, ale Digitalo to marka Morele…


Aktualizacja 23.11.2018, 20:06
Przestępcy właśnie rozpoczęli rozsyłkę SMS-ów z kolejną domeną. Obiorcami są klienci Morele oraz …amfora.pl (także marka Morele).

https://bit[.]ly/2PNKb29

Przekierowuje na:

https://p-24.site/morele?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8&gat=U4CqsATwC2tANmQf&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE&997582=97&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2

Domena założona dziś o 15:38, obecnie wskazuje na Cloudflare (104.24.97.222, 104.24.96.222)

Domenę, dla przejrzystości, dopisaliśmy też wyżej.


Aktualizacja 26.11.2018, 22:17
Otrzymaliśmy kolejny sygnał. Także od klienta Morele. Także po zrobionych przez niego zakupach.

Tym razem SMS z nadawcy morele24 lub morele_, kierujący na link:

https://bitly[.]com/2zBfZxl

przekierowujący na

https://platnosci-24[.]com/morele?
tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&997582=97
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2

do fałszywego panelu Dotpay:

platnosci-24.com has address 104.24.113.147
platnosci-24.com has address 104.24.112.147
platnosci-24.com has IPv6 address 2606:4700:30::6818:7093
platnosci-24.com has IPv6 address 2606:4700:30::6818:7193
Creation Date: 2018-11-26 16:37:38


Aktualizacja 28.11.2018, 20:39
Kolejna domena:

https://bitly[.]com/2BCJgZL

przekierowuje na założoną 2018-11-27 o 19:49:57 domenę:

https://px24[.]site/morele...

Tym razem SMS od “_morele_”.

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. A może jest opcja nr 4? Zainfekowana przeglądarka (strona morele? strona reklamodawców? Zewnętrzny JS? Zewnętrzna czcionka?), która odczytuje nr telefonu i wysyła SMSa? W dzisiejszych czasach podczepiania GA czy innych JS-ów, to trudno może być wyśledzić…

    • Też mi to przeszło przez myśl. Robiłem zakupy na Morelach w zeszłym tygodniu w piątek i nie dostałem nic. Chyba że sprawa jest dużo świeższa.
      Albo przestępcy już mi się włamali na konto i płaczą widząc że muszą dopłacić ;)

  2. To ja dostałem wczoraj takiego SMS. Nie ma możliwości abym miał jakiekolwiek wirusy. Sam robię w IT i mam dość blisko do “security” – zatem opcję 4 wykluczam całkowicie.

    • Napisz proszę z czego korzystałeś przy zamówieniu (pc z win/linux, android, iphone, mac) i jaką formę dostawy wybrałeś. Sam chciałbym tam coś zamówić ale na razie się wstrzymam.

  3. Dobra, a okoliczności zakupu, tzn. poprzez co wchodzili kupujący na sklep; komputer czy smartfon, jaki system / przeglądarka / apka, wpisując url czy z serwisu przekierowującego

    • Windows 10 / Chrome najnowszy – adres strony wpisany bezpośrednio. System czysty jak łza :)

  4. smsy pewnie z SMSapi lecą, darmowe konto pozwala na 50 smsów

  5. Jest jeszcze jedna opcja ISP

    • Nie, sam jestem sobie ISP więc ten punkt też odrzucam :)

    • @Andrzej

      Nie bardzo chwytam w jaki sposób jesteś sam sobie dostawcą dostępu do Internetu, czy możesz rozjaśnić?

    • Co ISP? Masowo rozszywa TLS-a wszystkim swoim klientom robiacym zakupy w Morele?

    • @stukot Zawodowo jestem adminem w ISP i w związku z tym – sam sobie dostarczam Internet :)

    • @Andrzej

      OK dzięki za wyjaśnienie, pozdrawiam

  6. Jeśli to wstrzyknięty kod JS to ja się pytam: Czemu te sklepy nie korzystają z nagłówka Content-Policy? Toć to podstawa bezpiecznego tworzenia biznesu internetowego opartego o www.

    • Eee, bo nie zainwestowali w web devów?

  7. @Morele, to ile czasu macie na zgłoszenie wycieku do UODO?

  8. Kupowałem w morelach parę dni temu i nic nie przyszło

  9. Kupowałem w Morelach dwukrotnie (początek tygodnia). 1 zamówienie szło DHLem, drugie Pocztexem. Płatność przelewem i żadnych smsów o dopłacie.
    Zakpy przez pc, Win10, chrome, ublock + ghostery
    Konto mam tam od b. dawna

  10. Ja złożyłem u nich 2 zamówienia i nie dostałem ani jednego smsa, możliwe że porodem braku tych smsów od oszustów jest chęć zapłaty gotówką.
    Chciałem najpierw zapłacić online ale strona na którą zostałem przekierowany z morele.net nie wydaje się być wiarygodna.
    A mianowicie chce za dużo danych z karty.
    wszystkie numery, daty ważności itp.
    myślę więc, że to nie jest wyciek z morele a z tej właśnie strony (na którą morele przekierowuje przy płatnościach)

    • Bogu. Ale ty wiesz że numer karty, data ważności, i kod PS2 podaje się zawsze przy płatności kartą online prawda?

    • Jaho – kodu CVV/CVC nie trzeba podawać np. w amazonie.

    • @Paweł
      Bo Amazon bierze na klatę wszelkie oszustwa wynikające z niepodania tego numeru. Żaden inny sklep nie ma ochoty tak ryzykować. Dlatego wszystkie sklepy w Polsce chętnie korzystają z 3D secure – jest to zabezpieczenie chroniące sklep, nie klienta.

  11. Tez dostalem tego smsa, a w sumie dwa. Jeden z ta doplata 1zl. A drugi niby z ING identyfikujacy sie jako ing_info.

    Moj telefon jest ok. Wyglada wedlug mnie na ewidentny wyciek z Morele.

  12. Próbuję dzisiaj wysłać mało typową paczkę (tak, wiem, że cyber monday to nieodpowiedni moment, czasami niestety nie udaje się mieć wpływu na decyzje innych osób) i na podstawie tego, co widzę w panelach klienta u kurierów, stawiam tezę, że prawdopodobnego źródła wycieku warto poszukać u nich. Takie Morele przecież też wysyłają, zapewne mają integrację z api kuriera, no ale wiadomo jak to z api oraz jego interpretacją bywa.

    Jeden z paneli klienta doprowadził mnie do nagrywania ekranu, bo nie mogłem uwierzyć co widzę (dane zapisujące się w nie tych polach lub nie zapisujące się, inna cena w płatnościach niż w rachunku), to znaczy coś z systemem jest mocno nie tak –> podatność na włam -> wyciek danych też prawdopodobna. A danych potrzebnych w niejednym panelu wręcz nadkomplet.

    OK, wracam do roboty, bo ta *** paczka sama się niestety nie wyśle.

  13. Nie do końca mam przekonanie co do zabezpieczenia w postaci płatności kartą. Wprawdzie jest chargeback, ale podanie oszustowi danych karty zamiast danych logowania do konta to jednak też ryzyko, przecież można przeoczyć mniejsze nieautoryzowane płatności, albo zostać zapisanym na subskrypcję. W dodatku trzeba pamiętać że miały już miejsce sytuacje gdy w przypadku płatności kartą nie zadziałały limity na koncie.

  14. Kupowałem w zeszłym tygodniu (poniedziałek lub wtorek) i jak dotąd nic nie przyszło. Kupiłem teraz w weekend i dostałem już potwierdzenie ale żadnych podejrzanych SMSów. Z kompa, nie z aplikacji mobilnej.

  15. Oświadczenie morele, w skrócie:

    “Nasza baza jest doskonale zabezpieczona. To, że fałszywe sms-y dostają tylko klienci naszego sklepu, oraz naszych pod-marek – zaraz po zakupie – to jedynie zbieg okoliczności. Już współpracujemy z kulsonicją, by tego okolicznościowego zbiega złapać i wychłostać”

  16. Teraz pojawia się pytanie. Wiadomości są rozsyłane od ponad tygodnia. Nasuwa się pytanie. Czy sklep jest bezpieczny, czy coś robią, czy lepiej skasować konto i przenieść od konkurencji? Chyba, że tydzień to za mało na wykrycie potencjalnego źródła wycieku, i trzeba jeszcze poczekać.

  17. Napisaliście “Pojawiają się dwa adresy”, a poniżej tych adresów jest aż pięć.

  18. Skoro wejść na stronę z płatnościami bylo wg was tylko 50, a prawdoodobnie zakupu w morele zrobiło w tym czasie conajmniej kilka tysięcy osób to moim zdaniem warto poszukać wg klucza geograficznego (może to konkretny oddział spedytora)

  19. Koniec roku 2018. Oczywiście, jak to w tych czasach, winnych zaniedbań w IT “nigdy nie odnaleziono”, a straty, rozwlekając w czasie, przerzucono na poszkodowanych.

    Pozdrowienia dla czytających takie perełki, za dziesiąt i set lat.

  20. kolejna strona

  21. Ostatnie zakupy w morele 26.11, odbiór w sklepie, płatność kartą. SMS’a brak :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.