17:32
6/5/2018

Wczoraj o 14:00 i dziś o 11:00 na telefony Polaków rozesłane zostały 2 kampanie SMS-owe w których oszust podszywając się pod Lidla i Biedronkę informował o “paczce gotowej do odbioru”. SMS-y zawierają linka do strony internetowej, która okłamuje odbiorcę, że wygrał on bon na 300 PLN …a potem wyłudza dane osobowe oraz prosi o numer karty w celu “potwierdzenia” wygranej. Jeśli ktoś wypełnił formularz podstawiony przez oszusta, jego karta zostanie za 7 dni obciążona kwotą 49,99 dolarów (ok. 178 PLN).

SMS od Biedronki

Oto jak wyglądały SMS-y dla kampanii w której oszust podszywał się pod Biedronkę:

Wiadomości SMS są wysyłane przez serwis mmdsmart.com, który pozwala na ustawienie dowolnej nazwy nadawcy. Stąd właśnie wiadomości w telefonach ofiar wyglądają jakby nadała je “Biedronka”. Ale równie dobrze, można tam wpisać “Kaczynski” albo “Tusk”.

Szanowny Kliencie!
Twoja paczka jest gotowa do odbioru!
Nr Ref.: BIEDRONKA-3Q297R
Zobacz tutaj >> http://bit[.]ly/2FLo7LE

Wiadomości, które otrzymaliśmy od naszych Czytelników, różniły się numerami referencyjnymi i linkami — ale każdy z nich prowadził do tego samego “scamu”, który de facto jest programem partnerskim (oszust zarabia na prowizjach od ofiar, jeśli uda mu się przekonać ofiary do pozostawienia danych na fałszywych formularzach). Oto adresy docelowe, jakie udało nam się zidentyfikować:

http://sms.mmdsmart[.]com/api/links/448488b1-ee1e-4f70-9fe3-9444f4b16806/redirect/
http://sms.mmdsmart[.]com/api/links/3deb0a0f-45ae-4a27-af2b-fc415c806bf7/redirect/
http://sms.mmdsmart[.]com/api/links/283ab197-24d7-4da8-8b12-c64b8e3700c1/redirect/
http://sms.mmdsmart[.]com/api/links/1315c23f-928e-4cfe-803d-a8d9fe0a4864/redirect/
http://sms.mmdsmart[.]com/api/links/151831f5-36a4-4165-940a-d50bf7538213/redirect/
http://sms.mmdsmart[.]com/api/links/07cc636a-b756-4142-8b67-f693f0586f8a/redirect/
http://sms.mmdsmart[.]com/api/links/a8b33e4f-5e0a-4fa3-a5c2-bfbff760eee7/redirect/
http://sms.mmdsmart[.]com/api/links/0f71eaac-ab55-4f51-9a22-818c9aa1f69c/redirect/
http://sms.mmdsmart[.]com/api/links/7e3892a7-7ce5-48b0-a82a-bebf89177f50/redirect/
http://sms.mmdsmart[.]com/api/links/b3d8e65f-075b-4f23-bdea-88fc75cef4e7/redirect/
http://sms.mmdsmart[.]com/api/links/4dce2647-5062-4e5f-92f3-726c79d42681/redirect/
http://sms.mmdsmart[.]com/api/links/3e836776-49ae-4d55-8537-af404b6207cf/redirect/
http://sms.mmdsmart[.]com/api/links/4de0641a-a7a8-4934-9ca7-1a1c770ccd4e/redirect/
http://sms.mmdsmart[.]com/api/links/4f80677e-7aeb-4b5a-95bd-889337d91754/redirect/
http://sms.mmdsmart[.]com/api/links/de9e6bc1-eb71-49cc-9c4d-aa6b5d7fcc92/redirect/
http://sms.mmdsmart[.]com/api/links/18818111-1eb4-44a1-94d7-81fd1c0fd5d3/redirect/
http://sms.mmdsmart[.]com/api/links/4d5447ce-2932-46f5-907e-e266441c65af/redirect/
http://sms.mmdsmart[.]com/api/links/346872eb-e8e5-4291-ae74-297151422404/redirect/
http://sms.mmdsmart[.]com/api/links/f5e6c206-4621-4257-a1dd-8fa6b4f65da8/redirect/
http://sms.mmdsmart[.]com/api/links/61f2f6b8-ffef-4e23-925f-991b5c072a88/redirect/
http://sms.mmdsmart[.]com/api/links/a3b01edf-6cfc-46d4-b8c5-113ab2106c69/redirect/
http://www.r5.ms/s/2pvauz/1jr
http://sms.mmdsmart[.]com/api/links/1f9aa362-578c-471f-84cf-e166cbf01443/redirect/
http://sms.mmdsmart[.]com/api/links/aa342c4e-f752-40dc-8531-91328aa9b337/redirect/

Co się pod nimi kryje? W przypadku kampanii Lidla to:

A w przypadku kampanii Biedronki to:

Jak widać — różnice znikome. Dlatego dalszą część artykułu opisującą kolejne kroki oszustwa pokażemy na przykładzie Biedronki:

Na pierwszej stronie widzimy komunikat, który informuje o rozdawaniu bonów o wartości 300 PLN oraz fałszywe opinie rzekomych odbiorców. Po naciśnięciu “zaakceptuj” jesteśmy przenoszeni na następującą podstronę, informującą o tym, że nam też przyznano bon. Trzeba tylko odpowiedzieć na kilka pytań (czy jesteś mężczyzną czy kobietą, czy mieszkasz w Polsce, itp.)

Po fałszywej animacji weryfikujące udzielone przez nas odpowiedzi, widzimy prośbę o potwierdzenie chęci odebrania nagrody:

Potem trzeba podać e-maila i hasło. Zwróćcie uwagę na URL i parametr affiliate, który zdradza, na czym zarabia oszust.

Na koniec ofierze podstawiany jest formularz po angielsku, co miejmy nadzieję sprawi, że większość “Grażyn” i “Januszy” go nie przejdzie. Ofiara proszona jest o podanie numeru karty — i tu znów większość powinna odpaść, bo Polacy z reguły nie płacą kartą przez internet (co w sumie jest smutne, bo dla swojego bezpieczeństwa powinni — wyjaśnienie dlaczego, znajdziecie w drugim odcinku naszego niebezpiecznikowego podcastu “Na Podsłuchu”).

Drobny druczek na dole tej strony pokazuje ile straci ofiara, która połakomiła się na “bon o wartości 300 PLN”:

By completing this transaction you certify that you agree to the Terms and Conditons , and have read our Privacy Policy . This offer includes a 7-day free trial to bookbugg.com. After 7 days bookbugg.com membership renews automatically at $49.95 every 30 days until cancelled. SIMPLY CANCEL YOUR MEMBERSHIP BEFORE THE TRIAL PERIOD ENDS TO AVOID BEING CHARGED.

Więc jeśli ktoś z Waszych mniej technicznych znajomych będzie się po długim weekendzie chwalił, że “wygrał” bon do Biedronki lub Lidla na 300 stówy, dajcie mu znać, żeby zawiesił swoją subskrypcję w serwisie.

Ile osób dało się nabrać?

A ofiar kilka wśród znajomych może się znaleźć… z analizy kliknięć wynika, że każda partia SMS-ów (czyli wiadomość o unikatowym linku) została wysłana do grupy ponad 1500 osób (pytanie ile było linków na każdą z kampanii). Oto statystyki kliknięć dla jednego z linków z SMS-a (każdy odnotował powyżej 1500 kliknięć):

Podsumowując dostępne nam dane: ponad 22 500 osób kliknęło na linka. Statystyka podpowiada, że co najmniej kilka z nich wypełniło formularz i zapisało się na tę subskrypcję….

Mój kolega dał się nabrać — co robić, jak żyć?

Ten SMS-owy atak, to powtórka ataku sprzed miesiąca, gdzie ten sam oszust podszywał się pod MediaMarkt. Dlatego poniżej powtarzamy dokładnie te same ready, który udzielaliśmy Wam miesiąc temu.

Jeśli znacie kogoś, kto podał na powyższych stronach dane swojej karty, to przekażcie mu, aby zastosował się do poniższych porad, jakie od lat przekazujemy naszym klientom w ramach szkoleń z cyberbezpieczeństwa dla firm:

  • Zrób CHARGEBACK, jeśli podałeś dane karty płatniczej i została ona już obciążona. Po prostu skontaktuj się z bankiem i poproś o cofnięcie transakcji metodą Chargeback. Słowo “chargeback” jest kluczowe. Podaj je w rozmowie z konsultantem w banku i poproś o przesłanie formularza dla tego typu reklamacji.
    Każdy właściciel karty płatniczej (i debetowej i kredytowej) ma prawo wykonać Chargeback, czyli cofnąć transakcję z wyciągu. Bank cofnie transakcje i zwróci środki na Wasze konto, a jednocześnie przekaże sprawę do organizacji płatniczej, która może ukarać finansowo sprzedawcę (czyli tutaj organizatora “konkursu” lub oszusta który promował go przez podszywające się pod MediaMarkt SMS-y). I warto to zrobić, bo im więcej takich “kar” tym większa szansa, że pośrednik w płatnościach całkowicie zablokuje organizatorowi “konkursu” przyjmowanie płatności kartami płatniczymi.
  • Wycofaj zgody na przetwarzanie i odsprzedawanie Twoich danych osobowych. Jeśli komuś podałeś swoje dane osobowe, a po namyśle chciałbyś je wycofać, zrób to za pomocą tego formularza. Masz do tego prawo. Wydrukuj formularz, podpisz i prześlij pocztą za zwrotnym potwierdzeniem odbioru, albo zwykłym e-mailem do firmy, która korzysta z Twoich danych (czyli np. wysyła Ci spam). Firma musi przestać przetwarzać Twoje dane. Jeśli tego nie zrobi, a dysponujesz np. podpisanym potwierdzeniem odbioru, po 25 maja, czyli po wejściu w życie GDPR/RODO, będziesz mógł domagać się sporego odszkodowania.
  • Zawsze czytaj regulaminy konkursów i serwisów, które coś Ci obiecują. Pamiętaj, że nawet w internecie nikt nie rozdaje telefonów czy kilkuset złotowych bonów za darmo. Tego typu oszustw jak ten scam bony z Biedronki/Lidla lub wcześniejszy na iPhona z MediaMarkt jest w sieci dużo i wielu oszustów różnie je realizuje. Inne podobne przekręty to opisywane przez nas w kwietniu oszustwo na fałszywe bony do TESCO i Żabki oraz “bezpłatne” bilety lotnicze wyłudzające dane osobowe.
  • Za zakupy w internecie płać kartą, zwłaszcza na podejrzanych stronach lub w sklepie z którego usług wcześniej nie korzystałeś i nie wiesz, czy jest “sprawdzony”. Właśnie ze względu na możliwość CHARGEBACK-u, czyli bezkosztowego wycofania transakcji, gdyby coś poszło nie tak. Polacy boją się płacić kartą przez internet, ale to paradoksalnie jeden z najbezpieczniejszych dla naszych finansów sposobów płatności, bo transakcje kartą zawsze można wycofać, jeśli sprzedawca nas oszuka i nie dostaniemy tego, co chcieliśmy. Po prostu karty płatnicze są ubezpieczone. Przelewów nie da się wycofać. Blików też nie. Dlatego w internecie sugerujemy płacić kartą. To po prostu mniejsze ryzyko i wbrew pozorom większa ochrona naszych pieniędzy.
    Bezpieczeństwu kart płatniczych poświęciliśmy drugi odcinek naszego niebezpiecznikowego podcastu “Na Podsłuchu”. Dowiesz się z niego nie tylko o CHARGEBACK-u, ale i o innych trickach, które pozwolą Ci taniej i bezpieczniej kupować rzeczy w sieci. Zapraszamy do podsłuchania!

Te 4 przytoczone powyżej porady to tylko część informacji, jakie powinien posiadać każdy użytkownik komputera, smartfonu i internetu. W sieci, nie tylko w trakcie zakupów internetowych, czai się na Ciebie więcej pułapek. O wszystkich aktualnych atakach i oszustwach wymierzonych w Polaków oraz przede wszystkim o tym jak się przed nimi chronić opowiadamy podczas naszego 3h wykładu pt. “Jak nie dać się zhackować“. W maju wygłosimy ten wykład w Warszawie, Krakowie, Łodzi, Gdańsku i Wrocławiu. Zapraszamy do zapoznania się z pełną agendą i do rezerwacji miejsc!

PS. Dziękujemy Czytelnikom, którzy przesłali nam SMS-y z tej kampanii …i prosimy o więcej. Jeśli czytasz ten artykuł i dostałeś taką lub podobną wiadomość, prześlij nam treść SMS-a na redakcyjną skrzynkę e-mail (redakcja@niebezpiecznik.pl) lub poprzez formularz kontaktowy.


Aktualizacja 6.05.2018, 18:32
Wysyłka wciąż trwa. Zaktualizowaliśmy artykuł o kolejne linki pod które przekierowywani są Polacy.


Aktualizacja 11.05.2018, 21:29
Właśnie ruszyła kolejna kampania. Treść taka sama.

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. Był jakiś wyciek danych z biedronki lub lidla?

  2. > Każdy właściciel karty płatniczej
    Jeszcze raz to powtórzę: POSIADACZ. Właścicielem karty jest bank!

    • A jakies nowe newsy z M$ masz? Poprzedni odcinek byl zabawny

    • Nie pracuję w MS, więc nie dysponuję takimi informacjami – może na tegorocznym Build Warsaw będzie coś?

  3. Propozycja z rossmana

  4. Prosiłbym o poprawkę w artykule odnośnie liczby KLIKNIĘĆ. Wiele programów do SMS przecież samo wczyta podgląd strony, a więc ją odwiedzi, albo jak na Waszym screenshocie – zasugeruje tapnięcie, żeby zobaczyć podgląd. Ale to jeszcze nie kliknięcie i przejście pod dany adres :)

  5. Ja nie wypełniam nawet takich ankiet.
    Po pierwsze jak jest jakaś nagroda do odbioru z Biedronki to tylko w sklepie, a nawet jak mają coś wysłać to tylko za punkty z karty moja Biedronka.

  6. Wiele banków ma formularze chargeback na swoich stronach internetowych ale są banki (że przemilczę nazwę ale wiele osób dobrze wie, o który chodzi), które kłamią w żywe oczy, że do chargeback-u wystarczy tylko zadzwonić, formularz trzeba wyżebrać a cała procedura trwa wyjątkowo długo! W takich przypadkach pomocna może być skarga na taki bank skierowana do organizacji płatniczej MC lub VISA (której logo widnieje na karcie) a wtedy postępowanie reklamacyjne w cudowny sposób nabiera innej prędkości! :)

  7. Z tego co się orientuję w normalnej sytuacji nazwa nadawcy SMS pojawia się tylko gdy mamy nadawcę wpisanego do książki telefonicznej. Inaczej będzie to sam numer.
    Wątpię, aby ktoś miał w kontaktach biedronkę więc już na tym etapie powinna zapalać się lampka ostrzegawcza. Aczkolwiek nie mam pewności czy mechanizm stosowany przez mmdsmart – nazwa nadawcy jest w porządku skoro można to dowolnie spoofować.

    • nie zawsze

    • SMS może być wysłany z alfanumerycznym nadawcą – wtedy nie można wprawdzie do niego SMS-em odpowiedzieć, ale tak właśnie wysyłane są SMS-y z wszelakiego rodzaju systemów automatycznych :)

  8. Pytanie: czy istnieje możliwość zablokowania sobie otrzymywania spamu, który nie zawiera nr tel (i tym samym nie ma możliwości dodania go na czarną listę)?

  9. Dzisiaj moja dziewczyna dostała SMS z “Biedronki”.

  10. Kolejny atak z Biedronką w tle :).

  11. Ja czasami otrzymuję fałszywe SMSy od operatora mojej sieci komórkowej. Na szczęście jeszcze nigdy się nie naciąłem. Fakt jest taki, że korzystając z komputera z Internetem czy telefonu trzeba być ciągle czujnym. Oszuści robią się z czasem coraz bardziej kreatywni.

  12. Witam dostałam sms z Biedronki wypełniła formularz ale nie miałam nic na karcie i pisało że jest błąd karty czy coś czyli że brak środków itd czy teraz też zabiorą mi kasę z konta gdy będę ja miala

  13. Dziś mój ojciec dostał SMS od “Biedronki” przytomnie przesłał mi go dopytując co to za paczka.

    Treść SMS dla potomnych:
    “Szanowny Kliencie!
    Twoja paczka jest gotowa do odbioru!
    Nr Ref.: BIEDRONKA-503817
    Zobacz tutaj >> http://bit.ly2jNQQHb

  14. Czy wg analizy można zobaczyć nr ip kilentów?

    Czy my możemy mieć dostęp do tej analizy?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.