8:46
3/4/2018

Minął miesiąc od momentu, w którym opisywaliśmy wyłudzającą dane osobowe Polaków kampanię na bilety LOT-u, a już w Polaków wycelowano kolejną akcję tego typu. Tym razem stoi za nią firma Neocraft z Wrocławia i jej Partnerzy, których nazwy wymieniamy poniżej. Oto jak wygląda wiadomość, jaka od kilku dni trafia na skrzynki Polaków:

Wiadomość jest rozsyłana z adresu badaniakonsumenckie@wp.pl i ma następującą treść:

Urocze jest to naciskanie na podanie numeru telefonu, bo …bon wysyłany jest InPostem ;) Dlaczego dla firmy tak ważny jest numer telefonu — o tym dowiecie się z dalszej części artykułu.

Pre-Awizo NW\XXXXXXX\04\06
Ważne do: 2018-04-06

Zawiadomienie dla [IMIĘ]

Uprzejmie zawiadamiamy, że adres e-mail: [ciach] został wybrany
do możliwego odbioru bonu o wartości
750 zł do Biedronki, Tesco lub Żabki.

Twój KOD: NW\XXXXXXX\04\06
Data ważności kodu: 2018-04-06

KLIKNIJ TUTAJ

Bony wysyłamy kurierem inPost – potwierdź koniecznie nr telefonu dla niego.

Informujemy, że niniejsze powiadomienie zostało wygenerowane automatycznie,
prosimy nie odpowiadać na tę wiadomość.

Otrzymałeś tego maila ponieważ zapisałeś się do programu lojalnościowego Neocraft Sp. z o.o. lub jego partnera. W każdej chwili możesz się wypisać klikając w ten link i zrezygnować z możliwości otrzymywania atrakcyjnych ofert, zniżek oraz kuponów rabatowych.

Po kliknięciu na link (s.ecampaign.pl, IP: 89.25.206.18, RevDNS: system.inis.pl), przechodzimy do strony z fałszywym quizem (każda odpowiedź zostanie zaliczona):

Aby wreszcie wylądować na stronie bon-do-marketu.pl, IP: 195.162.24.186, RevDNS: neocraft.kylos.net.pl, która zbiera dodatkowe dane osobowe na temat ofiary:

i wyświetla uroczy komunikat w stopce:

TESCO, Żabka, Biedronka nie sponsorują, ani nie są związane z serwisem www.bon-do-marketu[.]pl

Po przejściu dalej, podobnie jak w oszustwach na domenie podobnej do domeny LOT-u, ofiara znów jest proszona o uzupełnienie kolejnych informacji na swój temat, które — co można wyczytać w regulaminie i polityce prywatności — zostaną sprzedane firmom trzecim:

Wyraż[a] zgody na otrzymywanie od Usługodawcy, Spółek powiązanych kapitałowo z Usługodawcą oraz Partnerów Usługodawcy na numer telefonu komórkowego, telefonu stacjonarnego oraz adres poczty e-mail podanych podczas rejestracji informacji handlowych i marketingowych drogą elektroniczną w rozumieniu ustawy z 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną wraz z późniejszymi zmianami oraz innych przepisów prawa powszechnie obowiązujących. Przekazywanie informacji, o których mowa w niniejszym punkcie może następować w dowolny sposób, w tym w szczególności z wykorzystaniem wiadomości SMS, MMS, wizjo fonów, automatycznych urządzeń wywołujących i innych połączeń telekomunikacyjnych.

Nagroda to wcale nie 750 PLN…

Co ciekawe, w Regulaminie jest informacje, że bon jest tak naprawdę na kwotę 739 PLN a nie 750, a zadanie konkursowe nie bazuje na wiedzy użytkownika a jest wyzwaniem …zręcznościowym. Wygra je osoba, która “osiągnie najlepszy czas w wykonaniu zadania konkursowego w ramach danego Wydania Konkursu“.

To wyjaśniałoby dlaczego nie ma znaczenia, w co się klika ;)

Kto za tym stoi?

Gdybyście chcieli wiedzieć kto w taki dziwny sposób pozyskuje Wasze dane za pomocą tej kampanii e-mailowej, to poniżej przytaczamy nazwy firm z Regulaminu tego “zadania zręcznościowego”.

    Rankomat Sp. z o.o. Sp. k.
    [UPDATE: wyjaśnienia Rankomat w tej sprawie znajdziecie w aktualizacji artykułu.]
    adres administratora danych: ul.Wolska 88, 01-141 Warszawa
    cel przetwarzania danych: e-mail marketing

    Salelifter Sp. z o.o
    adres administratora danych: ul. Raciborska 35A , 44-200 Rybnik
    Kanał komunikacji: e-mail marketing

    MobileB2B Sp. z o.o
    adres administratora danych: ul. Domaniewska 41, 02-696 Warszawa
    cel przetwarzania danych: e-mail marketing

    Internovus Ltd
    adres administratora danych: Hope Street, Douglas, IM1 1AR, Isle of Man36
    cel przetwarzania danych: e-mail marketing, telemarketing, sms mailing

    IT Investments Sp. z o.o.
    adres administratora danych: ul. Jaworska 7-9 , 53-612 Wrocław
    cel przetwarzania danych: e-mail marketing, telemarketing, direct mailing, sms mailing, IVR

    Tarsago Polska Sp. z o.o
    adres administratora danych: ul. Domaniewska 41, 02-696 Warszawa
    cel przetwarzania danych: e-mail marketing

    Leadr Sp. z o.o.
    adres administratora danych: ul. Cisowa 10, 02-708 Warszawa
    cel przetwarzania danych: e-mail marketing

    Finansowysupermarket.pl sp. z o.o.
    adres administratora danych: ul. Jutrzenki 137A, 02-231 Warszawa
    kanał komunikacji: e-mail marketing, telemarketing, sms marketing, IVR

    E-GENETIX LTD
    adres administratora danych: 85 Great Portland Street, First Floor, London, W1W 7LT
    cel przetwarzania danych: e-mail marketing, telemarketing, direct mailing, sms mailing, IVR

    Advertise-me Sarl
    adres administratora danych: 1198, avenue Maurice Donat, Font de l’Orme, Bât. A, 06250 Mougins, France
    cel przetwarzania danych: e-mail marketing

    AJA Media Sp. z o.o.,
    adres administratora danych: ul. Zygmunta Krasińskiego 29/9, 40-019 Katowice
    cel przetwarzania danych: e-mail marketing

    Doradcafinansow.pl sp. z o.o.
    adres administratora danych: ul. Twarda 18, 00-105 Warszawa
    kanał komunikacji: e-mail marketing, telemarketing, sms marketing, IVR

Dostałeś taką lub podobną wiadomość? Wyślij sprzeciw i odwołaj zgodę!

Ponieważ firma Neocraft w cytowanej przez nas wiadomości e-mail informuje, że

“Otrzymałeś tego maila ponieważ zapisałeś się do programu lojalnościowego Neocraft Sp. z o.o. lub jego partnera.”

sugerujemy osobom, które otrzymały tę wiadomość skorzystanie ze swoich praw i zapytanie spółki Neocraft, w jaki sposób nabyła Wasze dane. I oczywiście złóżcie sprzeciw co do przetwarzania Waszych danych osobowych. Poniżej publikujemy przykładowy wzór sprzeciwu (do wykorzystania w każdej tego typu sytuacji). Wystarczy go wysłać e-mailem lub jeśli chcecie mieć potwierdzenie otrzymania, wydrukować i wysłać pocztą za zwrotnym potwierdzeniem odbioru. Ale wysłanie e-mailem też jest wystarczające:

Sprzeciw wobec przetwarzania danych osobowych w celach marketingowych oraz wobec przekazywania danych osobowych innemu administratorowi

Ja niżej podpisany

• na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, sprzeciwiam się przetwarzaniu moich danych osobowych w celach marketingowych przez (nazwa firmy) na podstawie przesłanek określonych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych.

• Ponadto na podstawie art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, sprzeciwiam się przekazywaniu moich danych osobowych innemu administratorowi danych, przetwarzanych przez (nazwa firmy), na podstawie przesłanek określonych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie
danych osobowych.

Jeśli przetwarzanie danych i/lub przekazywanie ich innemu administratorowi odbywało się na podstawie
udzielonych przeze mnie zgód, niniejszym odwołuję zgody na przetwarzanie moich danych osobowych
w celach marketingowych oraz na przekazywanie danych innemu administratorowi.

Imię, nazwisko, podpis

Dla Waszej wygody, szablon tego dokumentu w .doc udostępniamy do pobrania tutaj. Zapiszcie go sobie — na pewno się Wam przyda :)

Jeśli coś jest za darmo, to płacisz swoimi danymi

Pamiętajcie, że:

jeśli w internecie coś jest za darmo, to płacicie swoimi danymi

To samo dotyczy różnych konkursów, czy gier “zręcznościowych”. Zastanówcie się dwa razy zanim komuś podacie swoje dane osobowe i wypełnicie quiz waszych “preferencji finansowych”. A zwłaszcza dokładnie czytajcie regulaminy. Te mniej oszukańcze firmy mimo wszystko zawierają gdzieś na swoich zabawnych stronach odwołania do takiego dokumentu. A tam można wyczytać ile faktycznie potrwa konkurs, co faktycznie jest do wygrania i co faktycznie trzeba zrobić, aby mieć szanse na wygranie. O ile oczywiście wierzycie w uczciwe rozstrzygnięcie konkursu.

PS. Na tym samym serwerze osadzone są także takie domeny, pod którymi odbywają się podobne “konkursy”:

testclub.pl
zabierzglos.pl
fabryka-prezentow.com.pl
kuriero.pl
ale-konkurs.pl
swiatecznybon.pl
twoja-przegladarka.pl


Aktualizacja 3.04.2018, 18:20
Skontaktował się z nami przedstawiciel Wirtualnej Polski, który poinformował, że:

adres z którego wysyłana jest wiadomość jest w bazie WP zablokowany i został jedynie wpisany w pole „Od” przez oryginalnego nadawcę (wykorzystując właściwość protokołu SMTP umożliwiającą wpisanie w pole „Od” dowolnego adresu)

A więc do grzeszków firmy Neocraft należy również spoofing adresów e-mail.


Aktualizacja 5.04.2018, 08:17
Joanna Pikuła ze spółki Rankomat przesłała nam następujące oświadczenie dotyczące współpracy tej spółki ze spółką NeoCraft:

Rankomat sp. z o.o. sp. k. nie jest organizatorem opisanego konkursu, nie miał też wpływu na jego kształt i przebieg, a sugerowanie odpowiedzialności spółki za kształt i przebieg prowadzonych przez NeoCraft sp. o.o. działań jest mijaniem się z prawdą. [W] dniu dzisiejszym Rankomat sp. z o.o. sp. k. wezwała NeoCraft sp. z o.o. do natychmiastowego zaprzestania używania nazwy Rankomat sp. z o.o. sp. k. w jakichkolwiek działaniach pod rygorem odpowiedzialności prawnej. Wedle naszej wiedzy NeoCraft sp. z o.o. dokonała już stosownych zmian w Regulaminie.


Aktualizacja 25.04.2018, 15:41
Oto oświadczenie jakie otrzymaliśmy od Fiansowysupermarket.pl:

W związku z opublikowaniu informacjami o wyłudzaniu danych osobowych przez NeoCraft sp. z o.o. uprzejmie informujemy, że natychmiast po powzięciu wiedzy o stosowanych praktykach spółka Finansowysupermarket.pl sp. z o.o. zaprzestała współpracy z tym podmiotem.

W ramach świadczonych usług Finansowysupermarket.pl korzysta z usług różnych pośredników, zawsze opierając się na przekonaniu o etyczności i zgodności z prawem prowadzonych przez nich działań, jednak nie mamy bezpośredniego wpływu na ich działalność.

Od lat ostrzegamy Polaków przed różnymi przekrętami, scamami i oszustwami w sieci. Mamy bogate opracowanie przedstawiające najczęstsze ataki i próby wyłudzeń i chętnie się nimi dzielimy podczas naszych wykładów “Jak nie dać się zhackować?“. Najbliższy taki wykład odbędzie się 23 maja w Gdańsku o godz. 18:00. Zapraszamy do zarezerwowania sobie miejsca!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

28 komentarzy

Dodaj komentarz
  1. od dawna już takie wiadomości tylko kasuje nawet nie analizując. Nie ma nic za darmo i tyle.

  2. Wszystkie firmy odsyłają zawsze do innej z listy po informacje, skąd zostały pobrane i zaakceptowane dane. Nigdy nie odpowiadają na żądania i pisma związane z ich skasowaniem i niewysyłaniem kolejnych kampanii. Często mimo podanych adresów e-mail wiadomości nigdy do nich nie dochodzą albo nie odpisują, czasami też zasłaniają się, że firma jest zarejestrowana za granicą i pozyskali w legalny sposób dane, których skasować nie można. Zabawne.

    Z tego, co już zaobserwowałem, rozsyłają dużo spamu finansowego, kredytowego, zakupowego, bony, zniżki, darmowe klucze na gry i muzykę, oferty bankowe. Spora część tych „firm” rozsyła np.: reklamy IdeaBanku, zabawne jest to, że oni mają tego świadomość i sami w sobie też nie mogą zareagować, bo przecież „ktoś wyraził zgodę na przetwarzanie danych, a my tylko korzystamy”.

  3. A tutaj podoba akcja, organizowana przez certyfikowanego lobbystę i na dodatek pod partonatem Urzędu Miasta i Prezydenta Gdańska

    https://www.jestemzgdanska.pl/

    I za kilogram spamu można sobie za pół ceny _raz_w_roku_ na lodowisko pójść….

    • W którym miejscu akcja jest podobna, poza tym że masz jakiś uraz do Adamowicza i Gdańska? Karta mieszkańca ma jasno i przejrzyście opisany regulamin i nikt podstępnie nie wyłudza twoich danych. Także nie kłam.

    • Kłamstwa, powiadasz? Akcja jest “podobna” w zakresie zbieranych danych, metodzie naciągania poprzez gów***ne obietnice i późniejszego tych danych wykorzystywania!
      Dane oczywiście podajesz dobrowolnie i wszystko jest w 100% zgodnie z obowiązującym prawem – regulaminy, zgody itepe… A wystarczy zajrzeć do KRS, poszukać _kto_ będzie “administratorem danych” i okazuje się, że wcale nie Urzad Miejski, który to reklamuje. W przypadku sprzedaży tej bazy ani grosz nie zasili kasy miasta…
      Urazu nie mam, wisi mi to. Po prostu wg organizatorów całej tej akcji – nie podając swoich danych – nie jestem “Gdańszczaninem”.
      Nigdzie nikt nie mówi, że stając się “mieszkańcem” zapisujesz się de facto na spamlisty wszystkich możliwych agencji marketingowych/lobbystów/naciągaczy a możliwości wypisania się z nich są _zerowe_.

      A wszystko to za _jedno_ wejście do ZOO lub na lodowisko w ciągu _roku_. Dziękuję, stać mnie.

  4. Udostępnione na facebooku z prędkością światła w próżni :D a tak po za tym to nigdy nie uczestniczę w żadnych konkursach ani quizach. Sam fakt że ktoś chce mi coś dać za darmo już mi śmierdzi. Jak to pisał Lee Child w jednej ze swoich książek “Jeśli coś jest zbyt piękne żeby było prawdziwe, najpewniej prawdziwe nie jest”.
    Pozdro

  5. przecież te konkursy sa dobrowolne jak ktoś chce brać udział to niech bierze, nikt nikogo nie zmusza, więc w czym jest problem w tym że Polacy nie czytają zgód jakie zaznaczają regulaminów i polityk prywatności, które tam przejrzałem i są zgodne jak najbardziej z prawem…

    • Niebezpiecznik nigdzie nie napisał, że konkurs nie jest dobrowolny lub że ktoś zmusza odbiorców do brania w nim udziału. Nigdzie w tekście nie ma też informacji, że regulamin nie jest zgodny z prawem.

      Swoim komentarzem doskonale zobrazowałeś istotę tego artykułu. Ludzie nie czytają dokładnie tego, w czym biorą udział lub jak w Twoim przypadku, tego co komentują ;] I to może być groźne.

      Dlatego takie artykuły są potrzebne, bo choć w tym przypadku nie ma wymuszania, to jest nieautoryzowane wykorzystanie marek innych firm do uwiarygodnienie wątpliwego moralnie procesu pobierania danych osobowych oraz oszustwo w postaci tego, co jest nagrodą i tego na czym polega konkurs. Generalnie, cwana manipulacja, przed którą trzeba zawsze przestrzegać i na którą należy uczulać. Tak jak ostrzegać trzeba przed praktykami Facebooka, które też nie dla wszystkich są zrozumiałe, a korzysta prawie każdy.

  6. Ja mam maila do mało istotnych spraw i jak tam dostanę spam to już nawet nie interweniuję. Kiedyś napisałem “gdzie wyraziłem zgodę na przetwarzanie danych?”, dostałem w odpowiedzi nazwę jakiegoś gównoportalu, który pierwszy raz widziałem na oczy. To jest walka z wiatrakami. Teraz dbam jedynie o ważne maile do kontaktu z bankiem, urzędami itp. Jak robię zakupy to podaję maila na spam i tyle.

  7. Pytanie do fragmentu:
    skorzystanie ze swoich praw i zapytanie spółki Neocraft, w jaki sposób nabyła Wasze dane

    Czy firmy mają obowiązek udzielić odpowiedzi? Czy jest jakaś podstawa prawna do tego?

    • Ustawa o ochronie danych osobowych. Artykuł 32, w szczególności ust. 1 pkt 4), oraz artykuł 33.
      A odpowiadając w skrócie “tak” i “tak”.

    • Problem ze spamem mam dość spory – kiedyś, dawno dawno temu nieopatrznie podałem mail na stronie gdzie był on publicznie podany. Dziś przychodzą mi maile reklamowe z firmy A. Jeśli wypiszę się z listy firmy A, zaczynam natychmiast dostawać maile od firmy B. I tak w kółko.
      Jako że wypisywanie się mija się z celem, podaję po prostu sygnały zwrotne dla “poważniejszych” firm (wiadomo że te od “zarabiania 5 tys dziennie w domu” nie będą się przejmować). Może, jeśli taką praktykę stosowałoby więcej osób, różni operatorzy sieci komórkowych, czy banki zastanowiliby się kilka razy przed powierzeniem misji reklamowania firmie PanZCypruCzyKomorów sp. z n.n. …

  8. Mam przekonanie graniczące z pewnością, że nie ma i nigdy nie było żadnych zgód marketingowych w stosunku do Neocrafta, zaś firma ta po prostu zaopatruje się w adresy e-mailowe do wysyłania tego spamu z szemranego źródła.
    Wysyłanie jakichkolwiek pism z własnym podpisem może być bardziej niebezpieczne niż po prostu regułka w programie pocztowym usuwająca ten syf z automatu.

    • Nie myślałeś o tym aby kliknąć link w mailu “wypisz” ?

    • Nie pomyślałeś o tym, że kliknięcie w rzekome “wypisz”, to dla takiego spamera potwierdzenie aktywności danego mejla (co prowadzi do jeszcze większej ilości spamu)?

  9. Żeby wysyłający wiedział, że adres email jest aktywny, i poczta na nim wnikliwie czytana? Taki adres email jest dużo więcej warty, i można dzięki temu więcej spamować ;-)

  10. Dzięki za szablon, ale po przeczytaniu tekstu dużymi literami tuż poniżej linku do pliku wolę zapytać – jakimi moimi danymi (poza adresem IP) za niego płacę? :>

  11. Tak przy okazji, to wspomniane wp, na okazję RODO, próbuje wyłudzić zgodę na przetwarzanie danych. Czy dałoby się jakoś zmusić ich do opcji nie zgadzam się i nie pokazuj tego więcej, lub stworzyć jakiś automat który bez logowania do google będzie wyrzucał wyniki wyszukiwania związane z domeną wp?

    • Jest taka opcja – przejść na Onet.

  12. Jest jakiś sposób na zabezpieczenie się przed “losowaniem” numeru telefonu? Spamerzy wydzwaniają do mnie ostatnio i twierdzą, że numer losowany jest przez komputer. Bardzo cwane jest pozyskiwanie numerów w taki sposób i strasznie wkur*** jest użeranie się z takimi naciągaczami.

  13. “jedna dana, drugą dana i prywatność wyje**na”

  14. Piotr Konieczny
    Very funny, na onecie już 2 razy straciłem konto pocztowe, prawdopodobnie z powodu rzadkiej aktywności, a na wp ma już ponad 10 lat i w zasadzie to jest jedyny powód dla którego korzystam z wp, do korzystania z onetu żadnych powodów nie mam.

  15. > adres z którego wysyłana jest wiadomość jest w bazie WP zablokowany i został jedynie wpisany w pole „Od” przez oryginalnego nadawcę (wykorzystując właściwość protokołu SMTP umożliwiającą wpisanie w pole „Od” dowolnego adresu)

    Niech lepiej poczytają o SPF.

  16. Od dawna wysyłam dla Inis i innych , nawet jak adresu nie ma w bazie i ktoś zgłosi do nich mają to w d.. i dają kolejne programy , można tam spamować na jakiekolwiek bazy które się posiada nawet bez zgody , zgłoszenie idzie do nich a wytłumaczenie jakie dostaje zgłaszający użytkownik to fake portal z zapisem , IP też wyssane z palca i odległe daty rejestracji , jak administracja jest ciekawa jakie są podmioty które wysyłają spam dla sieci zapraszam , maila macie

  17. Witam.

    Ja mam podobny problem, codziennie dostaje na maila wiadomości o wygraniu tel. Samsung Galaxy. Maile podpisane raz przez Biedronkę, raz Media Markt, innym razem Apple, Lidl, czy Media Expert z niepełnym moim imieniem i pełnym nazwiskiem. Problem w tym, że nie można wypisać się z newslettera, gdyż przychodzi informacja zwrotna o błędnym adresie. Wszystkie maile mają w adresie swoim nazwe “reply”. Ktoś spotkał się z podobnym przypadkiem?

  18. […] razem ofiary łowione są nie przez spam mailowy, SMS-owy lub kłamliwe reklamy na stronach WWW. Naciąganie zaczyna się od posta na Facebooku, […]

  19. […] Wątkiem Pana Łukasza wracamy w tematy około-niebezpiecznikowe, ponieważ o działalności Pana Łukasza Rubackiego rozpisywali się niedawno nasi koledzy z CERT Orange, w artykule ostrzegającym o podszywaniu się pod Rossmanna. Żeby było zabawniej, w tym samym artykule, koledzy z Orange przywołali nasz artykuł dotyczący powiązanego, identycznego schematu, ale na bazie wyłudzeń pod pretekstem bonów do Biedronki. […]

Odpowiadasz na komentarz Adrian

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: