11:05
27/2/2018

Czytelnicy informują nas, że na WhatsAppie otrzymują od znajomych linki do promocji LOT-u. Przewoźnik, z racji 89 rocznicy rozdaje 2 darmowe bilety i odsyła na swoją stronę: http://www.lọt.com. Domena wyglada OK, więc w czym problem?

Ano w tym, że domena LOT-u nie jest prawdziwa. Jeśli nie zauważyliście kropeczki pod literą “o”, nie przejmujcie się. Wiele osób ma z tym problem… Pozwólcie, że powiększymy ją dla Was:

Jeśli zżera was ciekawość, co dzieje się po klinięciu w link, rozsiądźcie się wygodnie. Daliśmy sie zescamować dla Was. Oto wiadomość jaką możecie otrzymać:

Wchodząc na link z komórki, widzimy:

Poniżej pełno lajków na Facebooku i pozytywnych komentarzy mających wzbudzić zaufanie.

Ale co to, biletów nie 2 a ponad 80! Szybko odpowiadamy na pytania, bo liczba biletów stale się zmniejsza. I po chwili widzimy cudowną fałszywą animację:

A następnie zostaje nam jeszcze tylko jeden krok, aby odebrać bilety! Trzeba się podzielić tym scamem ze znajomymi!

Tu nasza zabawa się kończy, bo po przekierowaniu do aplikacji WhatsApp, nie damuy jej dostępu do kontaktów. Nigdy. Uczestnicy naszych wykładów “Jak nie dać się zhackować” wiedzą czemu nie jest to najlepszy pomysł…

Ale jeśli ktoś otworzy WhatsAppa, to pojawi się w nim komunikat gotowy do wysłania (taki jak na screenie na początku artykułu). Trzeba go rozesłać do znajomych, żeby zdobyć bilety. Jeśli się to zrobi, jest jeszcze jeden ważny krok (przecież żaden scammer nie zarabia tylko na rozsyłaniu linka do swojej strony).

Po rozesłaniu wiadomości zobaczycie stronę, na której widać już nie 70 ani nawet nie 2 darmowe bilety, ale 1500 PLN do zgarnięcia na bilety… Ryanair?

No ale załóżmy, że przewoźnik nie ma dla nas znaczenia, bo u każdego ciasno i drogo. Wypełniamy formularz i… potwierdzamy jedną zgodę na spamowanie,

…i drugą zgodę na spamowanie:

aby ujrzeć jeden z setek formularzy ofertowych, których celem jest albo przekazanie danych (i sprofilowanie) albo nakłonienie do kilkania w linki afiliacyjne i nabijanie prowizji za tzw. “leady” autorowi scamu. Wszystko zresztą jest opisane w regulaminie i polityce (co prawda widnieje tam inna scamerska domena, ale…).

Po wypełnieniu jednego fromularza, mamy dostęp do kolejnych atrakcyjnych ofert:

I tak można by w nieskończoność uzupełniać dane scamerom i generować leady.

Nie tylko LOT jest “ofiarą”. Także KLM i AirFrance

Tydzień temu o podobnym ataku informowali nas czytelnicy w kontekście mniej popularnej w Polsce linii lotniczej, KLM. Wiadomość na WhatsApp wyglądała tak:

*KLM Airine is giving away 2 Free Tickets* to celebrate its 100th anniversary. Get your free ticets at : http://www.klṃ.com/

A tu Air France, dzięki uprzejmości jednej z Czytelniczek, która skontaktowała się z nami już po publikacji tego artykułu:

A kolejna Czytelniczka donosi, że jest też wariant z Lufthansą:

Kto stoi za tym scamem?

Firma toleadoo GmbH, co można zresztą wyczytać z regulaminu. Dla porządku. Domena lọt.com to tak naprawdę domena xn--lt-68s.com, która wskazuje na adres IP 185.148.145.108 i została zarejestrowana wczoraj:

Updated Date: 2018-02-26-T19:09:50Z
Creation Date: 2018-02-26-T19:09:27Z
Registrar Registration Expiration Date: 2019-02-26-T19:09:27Z
Registrant Name: PRIVACYDOTLINK CUSTOMER 3522663

Na tym samym adresie IP utrzymywane są także inne scamy, jak widać popularnym wabikiem są linie lotnicze:

www.airfrance.life
www.turkishạirlines.com (www.xn--turkishirlines-1p8g.com)
realcouponnow.com
coupongifts.life
costcoworld.life
delta-promotion-usa.com

Strona najlepszedlaciebie.com, na którą trafiają Polacy z kolei to z kolei alias na pl.web.toleadoo.com wskazujący na te 3 adresy IP:

185.3.185.94
185.3.185.189
185.3.185.190

Na których także hostowane są inne scamerskie strony (z setek wymieniamy tylko te polsko brzmiace):

www.mozebyctwoje.com
www.fajnefanty.com
www.klikasz-i-masz.com
www.fabryka-nagrod.com
www.tanio-najtaniej.com
www.informacja-dnia.com
www.szalonenagrody.com
www.wytypowany-zwyciezca.com
www.twojszczesliwydzien.com
www.szalonepromocje.com
www.twoj-bon.pl
www.oplaca-sie.pl
www.twoj-typ.pl
www.darmowe-zakupy.com,
www.wytypowany-zwyciezca.com,
pl.superando.net,
www.nagroda-dla-ciebie.com,
www.twoj-voucher.com,
www.twoj-bon.pl,
www.twoj-macbook.pl,
www.twoje-nagrody.com.pl,
www.twoje-nagrody.pl,
www.wybieraj-wygrywaj.pl,
www.wytypowany-zwyciezca.pl,
www.wytypowana-osoba-wygrywajaca.pl
www.fabryka-nagrod.com

Wszystkie te strony zbierają dane osobowe i jak wskazuje strona “Sponsorzy” przekazują je kilkudziesięciu różnym firmom. Tu ich pełny spis. Toleadoo GmbH powołuje się na współpracę, m.in.:

Orange Polska S.A.
Nationale-Nederlanden Towarzystwo Ubezpieczeń na Życie S.A.
Dom Kredytowy Notus Spółka Akcyjna
Call Center Inter Galactica Sp. z o.o.
P4 Sp. z o.o.
Towarzystwo Ubezpieczeń Europa S.A.

Ciekawi nas, czy sponsorzy wiedzą, w czym biorą udział, czy może Toleadoo GmbH świńsko ich wykorzystuje?


Aktualizacja 27.02.2018, 14:25
I po godzinie mamy pierwszy spam. Już do nas na spamtrapa podanego w formularzu “LOT-u” napisał Rynek Finansowy, ale grzecznie, miło:


Aktualizacja 27.02.2018, 20:45
Okazuje się, że przynajmniej jeden ze sponsorów nie wiedział, że jest sponsorem. Firma Call Center Inter Galactica odcina się od firmy Toleadoo GmbH:

Call Center Inter Galactica Sp. z o.o. nie współpracuje w żaden sposób ze spółką Toleadoo GmbH. Nie pozyskujemy danych osobowych w sposób opisany w artykule, a nazwę Call Center Inter Galactica Sp. z o.o. wykorzystano bezprawnie i bez naszej wiedzy.


Aktualizacja 1.03.2018, 10:09
Otrzymaliśmy takie oświadczenie od firmy NOTUS:

NOTUS Finanse S.A. (dawniej Dom Kredytowy NOTUS S.A.) nie współpracuje w żaden sposób ze spółką Toleadoo GmbH. Nie pozyskujemy danych osobowych w sposób opisany w artykule, a nazwę NOTUS Finanse S.A. wykorzystano bezprawnie i bez naszej wiedzy. W związku z powyższym NOTUS Finanse S.A. podjęło stosowne kroki prawne wobec spółki Toleadoo GmbH w zakresie podawania nieprawdziwych danych naruszających dobre imię NOTUS Finanse S.A.

Dostałem taką wiadomość — co robić, jak żyć?

Jeśli dostałeś taką wiadomość od swojego znajomego, to już wiesz, że nie do końca dobrze radzi sobie z odróżnianiem przekrętów w internecie. Wytłumacz mu, z jakim ryzykiem wiąże się taka lekkomyślność. Albo zaproś go na nasz wykład pt. “Jak nie dać się zhackować“, gdzie pokazujemy najpopularniejsze tricki z jakich korzystają przestępcy w atakach na Polaków. Najbliższe spotkania z nami to:

Uczestnicy naszych wykładów znają zarówno ten trik z “literkami z paprochami” w nazwach domen jak i kilka innych, które sprawiają, że litery wyglądają jak prawdziwe, ale nimi nie są. Jeśli chcesz się dowiedzieć więcej, zapraszamy na nasz wykład!

Dziękujemy czytelnikom Szymonowi, Andrzejowi, Michałowi, Michałowi i Bartłomiejowi za informacje dotyczące tego ataku.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. “Kontynuuj, Januszu” :D

    • Poplułem ekran jak zobaczyłem ten przycisk. :D

    • Janusz z Sosnowca ul. Radomska.
      To i tak lepiej niż Janusz z Radomia i z ulicy Sosnowskiej hehehe

  2. W tych komentarzach niby z facebooka… to ta `Julia Schroder` to gdzieś kiedyś już ja widziałem też przy jakimś takim scamie… to pewnie jakieś fakekonto.

    • To są przejęte konta ludzi, którzy nadal (!) nabierają się na “zaloguj się do facebooka, żeby kontynuować” :/

  3. Fakt o z kropczeką myślałem w pierwszej chwili ze to jakiś paproch na monitorze :)

  4. Czy w epoce Adblocków, szkoleń, kampanii i całego potoku reklam jest jeszcze ktoś kto się na to nabiera?

  5. “trololo[at]niebezpiecznik.pl” <3

  6. Ironiczne jest, że pod tym artykułem znajdziemy link do napychania kieszeni jego autorowi :) Ktoś mógłby nawet wysunąć wniosek, że artykuł powstał tylko po to żeby zapełniać miejsca na szkoleniu. Muszę mieć jakichś mega ogarniętych znajomych skoro nigdy żadnego nikt nie zescamował…

    • Tak, zarabiamy na tym, ze nasi czytelnicy przychodza na nasze szkolenia. Dzieki temu tresci na niebezpieczniku sa dostepne za darmo. Jedni klepia kod, sprzedaja odkurzacze albo jezdza w rajdach samochodowych – inni prowadza serwis internetowy i dziela sie wiedza na szkoleniach / pentestach, ktore przez ten serwis reklamuja.

      I nie, nie rozsylamy spamu na WA, FB, falszywych faktur playa i lewych smsow, zeby miec pretekst do napisania artykulu. Od 9 lat codziennie opisujemy ataki na Polakow. I bedziemy to robic nadal. Czy to kogos boli, czy nie :-)

    • Skoro to strona organizatorów szkoleń, to nie widzę jakiegokolwiek problemy w tym, że reklamują swoje usługi. Każdy chce zarabiać, a nawet jeżeli strona jest formą promocji prowadzonej działalności to nie pomijajmy, jak przydatne (i darmowe!) treści można na niej znaleźć. A tak na marginesie i nieco uszczypliwie – skoro i Twój komentarz jest uszczypliwy – może to nie kwestia “ogarnięcia” Twoich znajomych, tylko ich ilości, a – jak wiadomo – mniejsza grupa badana to mniejsze prawdopodobieństwo wystąpienia określonych zachowań.

  7. what happens to who run this link in iOS?
    I noticed it tried to open over 30 urls in my safari browser… but it closed it right after and I can only see these links in the history of the browser..
    Now:
    -is my phone infected?
    -has any data been stolen from me? Contacts, passwords, etc?
    -how to clean up my phone?
    Tanks in advance

    • https://i.imgur.com/SxaJjWr.png – następnym razem uważaj co piszesz. A względem tematu, to zależne od tego jaką wersję iOS masz. Jak 9 albo 10 (nie jestem pewny co do 10), to coś mogło cię ciachnąć bo Safari ma tam dość poważny bug pozwalający na wykonanie dowolnego kodu, jak na iOS 11+ siedzisz to raczej nic się nie stało.

  8. Zobaczyłem kropkę pod “o” i zacząłem trzeć ekran rękawem :)))

  9. …. no dobra …. przeszedłem pytania o wiek i korzystanie z linii …. ale po kliknięciu na przycisk Whatsup i wyświetleniu się kontaktów zatrzymałem się, bo mi podpadło …. czy powinienem coś w tym momencie zrobić ? ( tzn. czy powinienem próbować się “wyrejestrowywać” z jakiegoś serwisu )

  10. Czy Android jest podatny na infekcje ze strony pseudoserwisow tego typu? Czy mozna zainfekować system(android/Linux) przy użyciu takiego ataku? Jeżeli tak, co dalej? Czy zainstalowany Eset Mobile potrafi ochronic telefon?

    • Przecież to nie wirus, tylko wyłudzanie fanych osobowych i emaili.

  11. Prawdę mówiąc nic nowego. Tylko domena a tak to nic specjalnego.

  12. Kontrola internetu jest niezbedna do eliminowania tego typu serwisow. 1 zgloszenie i wszystkie adresy IP oraz domeny powinny byc zablokowane a tak mamy to co mamy

    • Mam nadzieje ze to bait… Czy serio chcemy internet “kontrolowany” przez kogos? Cenzura by byla calkowita, a tak to mozna omijac tego typu scamy jesli sie jest wystarczajaco obeznanym z technologia I jest sie spostrzegawczym.

  13. Znajoma dała się nabrać i jej telefon na androidzie rozesłał to gunwo do wszystkich kontaktów w WhatsApp. Czy po tym fakcie powinna zrobić jakieś czyszczenie?

  14. No cóż, stylowanie na Waszej stronie nie ułatwia dostrzeżenia kropki pod o w linku (na screenach sms-a i pasku adresu ją widać). ;) Dobra podpucha. :)

  15. Dopóki android nie dorobi się trybu “użytkownik-lajkonik, nie może nic instalować ani zmieniać uprawnień”, to na takie rzeczy będą się nabierały chociażby dziesiątki osób 50+.

  16. Tak OT, może ktoś będzie wiedział i podpowie – kiedy Yubico organizuje jakies promocje na swoje klucze? Muszę kupić 2 klucze (Yubikey 4 i Yubikey u2f) i nie uśmiecha mi się płacić 260 zł za taki zestaw, wiedząc, że od czasu do czasu są promocje typu -40%.
    Ktoś coś może wie?
    Fvat nie potrzebna, użytek prywatny.

  17. Hej,
    W trakcie klikania na felerny link pisałam dokument w World, po otworzeniu linku myszka mi się przestawiła lewy klawisz jest prawy i tak dalej, nie działa mi backspace, nie da się pisać. Antywirus nic nie wykrył, macie jakieś porady jak z tego wybrnąć? Please help!

  18. Po co takie glify wymyślają? To nie są litery żadnego alfabetu.

    • To raczej wypadkowa tego jak Unicode działa. Są normalne litery i są znaki które się dołączają do poprzedniego/następnego znaku, stąd mamy z͍̩̣̯̼̮ͅa̭̱͟ĺ̝ģ̘̙̤ͅo̞͍̫ i inne ciekawe zabawy unikodem, jak np. podkreślenie unicode.

  19. Ostatnio (w styczniu) podjarana znajoma mi przesłała apropos biletow taką oto ofertę:

    *Emirates is rewarding everyone with 2 free plane tickets* to celebrate 33 Years of quality service. Get your free ticket at : hxxp://emiratếs.com/free-tickets/ .
    Tyyyyyyy….

  20. Można się częściowo zabezpieczyć, jeśli nie korzysta się z – kodowanych inaczej – domen IDN.
    Np w Iptables dodając dropa na in/out dla udp src/dst 53 i szukając ciągu “xn--“.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.