21:57
15/10/2018

Oj męczeni są dziś Polacy lewymi SMS-ami, męczeni… Dopiero co opisaliśmy masową wysyłkę SMS-ów w których ktoś podszywając się pod InPost nakłania ofiary do zainstalowania na telefonie złośliwej aplikacji, a tu okazuje się, że właśnie ruszył nowy, o wiele sprytniejszy atak.

Wysyłka jest droższa, dopłać 1 PLN

Oto SMS-y jakie otrzymują Polacy:

Wysyłka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza
anulowane zamowienie http://pk999[.].pl/1 (lub px3511[.]com/11)

Wszystkie jakie widzieliśmy wysyłane były z numeru “TEST“. Kliknięcie na link prowadzi do znanego już Czytelnikom Niebezpiecznika fałszywego panelu DotPay:

Wybranie banku pokazuje jego panel logowania (ale pod inną, niebankową domeną!):

A po wpisaniu loginu i hasła, widzi się ikonę oczekiwania:

W tym czasie przestępca loguje się na konto ofiary i zlecić może:

  • operację fałszywego przelewu,
  • dyspozycję dodania “zaufanego odbiorcy” (przelewy do takiego kontaktu nie są potwierdzane kodem SMS, jeśli więc zaufanym odbiorcą będzie słup, na jego konto trafią wszystkie środki)
  • wykonać inne operacje, które spowodują utratę całości bądź części środków

Zleconą przez przestępcę operacją ofiara musi potwierdzić kodem SMS. Dlatego tak szalenie istotne jest aby CZYTAĆ to co jest w SMS-ach od banku. Ludzie odruchowo przepisują kod z SMS-a, a dopiero jak tracą wszystkie środki zauważają, że w treści był nie przelew na 1 PLN, a definicja odbiorcy zaufanego…

Ta kampania, to tylko jeden z przykładów z ataków, jakimi przestępcy obecnie atakują Polaków. Niestety inne “scamy” są bardziej wiarygodne i zbierają niemałe żniwo. Polacy tracą przez nie tysiące złotych. O wszystkich aktualnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?“. Ten wykład już niebawem odbędzie się w:

Serdecznie na niego zapraszamy, bo to jedyna okazja aby dostać całą potrzebną osobie korzystającej z internetu wiedzę za jednym razem, “w pigułce”. Jeśli chcielibyście poznać opinie uczestników poprzednich edycji tego wykładu i poznać szczegółową agendę, to kliknijcie tutaj.

SMS-a dostał każdy, nie tylko ci, którzy coś kupili

SMS-y wysyłane są “na pałę”. Masowo na zebrane wcześniej przez przestępców numery telefonów. Przestępcy nie wiedzą, czy ktoś właśnie coś zamówił i opłacił. Ale z dużym prawdopodobieństwem wśród odbiorców będzie sporo osób, które jeśli nie przed chwilą zakończyły zakupy online, to przesyłkę opłaciły kilka dni temu i teraz czekają na swoje zamówienie. Bo dziś prawie każdy kupuje w internecie, tak samo jak prawie każdy się masturbuje — przestępcy o tym wiedzą i sprytnie to wykorzystują.

Wiele z ofiar dostanie tego SMS-a i odniesie wrażenie, że chodzi o problem z ich ostatnim, jeszcze niedostarczonym zamówieniem. A złotówka to niewiele… To potrafi uśpić czujność. Piękna socjotechnika! I choć nie wypada, to ciężko nie pogratulować przestępcom pomysłu.

To nie pierwszy taki atak

Jak wynika z naszej szklanej kuli, numer “na dopłatę 1PLN” po raz pierwszy pojawił się w końcówce września, wtedy na domenie:
https://dhlpay[.]pl/lIll15/payment.php?p=1

i z treścią

“Prosimy o doplate 1zl. Wysylka pod wskazany adres jest drozsza niz zakladalismy.”

Numery telefonów, wedle jednej z ofiar, miały być pozyskiwane z aukcji Allegro wystawianych po atrakcyjnych cenach na zhackowanych kontach (chyba, że to przypadek i nasza “ofiara” została zhackowana kiedy była hackowana :D).

Po tygodniu, SMS-y zaczęły już być masowo rozsyłane — nie tylko do osób, które kupiły coś na kontrolowanych przez przestępców aukcjach — z numeru “DHL”, co powodowało że wątkowały się z poprzednimi powiadomieniami o przesyłkach. Jeśli chcecie się wczuć w ofiarę, to popatrzcie na poniższy screen. Osoba kupiła produkt, zamówiła przesyłkę, dostała powiadomienie od DHL, że przesyłka w drodze i wtem:

Link prowadził do domeny:

kurier24[.]us

Być może odwołanie się do jednej tylko firmy kurierskiej powodowało zbyt duże podejrzenia ofiar i dlatego dzisiejszą kampanię przestępcy wysłali już bez odwoływania się do konkretnego “operatora pocztowego”.

Dostałem takiego SMS-a — co robić, jak żyć?

Jeśli go dostałeś i nic nie zrobiłeś, to nic nie musisz robić. Przestępcy mają Twój numer telefonu, bo zapewne wyciekł w jednym z ataków (może z serwisu neo24? może z Paczkomatów? A może z innego miejsca…)

Jeśli kliknąłeś na link w SMS-ie i dopłaciłeś złotówkę, wpisując hasło do swojego banku, to jak najszybciej skontaktuj się z bankiem. Może Twoje pieniądze jeszcze będzie się dało uratować…

IOC

pk999.pl has address 178.62.103.108 (DigitalOcean)
created: 2018.10.13 14:28:21

px3511.com has address 193.37.59.215
created: 2018-10-12 14:10:46


Aktualizacja 15.10.2018, 22:12
A nie mówiliśmy? Już zgłaszają się do nas osoby, które uważają, że sklep w którym właśnie zrobiły zakupy jest zhackowany i “wycieka” ich numer telefonu przestępcom :)

Spotkała mnie dziwna sytuacja i nie wiem czy to nie próba oszustwa/wyłudzenia (nowa albo stara..).
Zrobiłam zakupy w sklepie internetowy. Zamówienie opłaciłam z góry, wykorzystując Przelewy24 i metodę płatności Blik.
Po kilku minutach otrzymałam wiadomość na numer telefonu podany w zamówieniu , której nadawcą był TEST, a treść wiadomości mówiła o tym, że wysyłka zamówienia na podany adres jest droższa i należy dopłacić 1 zł, oraz był podany link…

Czujemy w kościach, że za ten atak po uszach od niektórych mniej domyślnych klientów dostaną niewinne sklepy…

PS. Dziękujemy dziesiątkom Czytelników, którzy podesłali nam informację o tej kampanii. To dzięki Wam udało się wystosować ostrzeżenie w pierwszych minutach tego ataku!


Aktualizacja 23.11.2018, 11:31
Ten sam atak stosowany jest na klientów sklepu Morele. Atak jest mały w skali i nie otrzymaliśmy do tej pory żadnych informacji, aby ofiarami były osoby inne niż faktyczni klienci sklepu Morele, którzy dopiero co robili tam zakupy. Tajemnicą pozostaje, skąd przestępcy mają ich numer telefonu. Więcej informacji w tej sprawie umieściliśmy w osobnym artykule, gdzie rozważamy wszystkie hipotezy, od wycieku danych z Morele lub firmy Pocztex, przez pracowników tych firm, którzy sprzedają dane klientów przestępcom aż do ataku masowego.

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Czy można jakoś interweniować u rejestratora domeny w celu zablokowania witryny pk999.pl?

    • Można a nawet trzeba. NOCniki z nazwa.pl nas czytają, ale czy sami będą w stanie podjąć działanie… różnie to bywa. Sokiści bankowi też nas czytają — może więc swoimi kanałami ponaciskają na nocników ;)

    • Ale to chyba prokuratura albo sąd muszą dać postanowienie o zabezpieczeniu? Rozumiem intencje, ale w tym momencie prawdopodobna jest sytuacja, że phisher pozwie rejestratora domeny i jeszcze wygra.

    • Czekamy na pozew :) Z chęcią stawimy się w sądzie :) A nóż, z nami, jeszcze ktoś przyjdzie :D

    • Niby Polska to nie USA jeżeli chodzi o podejście do “swobód obywatelskich” i orzecznictwa sądów w tym zakresie, ale tu też może być raz że rozbieżność, a dwa że nawet orzeczenia dotyczące takich rzeczy jak typosquatting potrafiły znacząco się od siebie różnić w zależności od zasobności portfela stron (i zdolności wynajętych przez nich prawników) :D
      Poza tym sam byłbym ciekawy wyniku takiej rozprawy u nas – ale to już raczej “gdybanie”, bo phisher musiałby się tym sposobem ujawnić, zakładając oczywiście, że do tej chwili tego nie zrobił ;)

  2. Właśnie dostałem tego sms’a, lecz wydał mi się podejrzany, więc szukam w necie czegoś o pk999 i wyskoczyła ta strona – i tak bym nie dopłacił, ale dzięki!
    Btw czy są jakieś metody by blokować takie numery bez numeru jak ten TEST?…

  3. Jest też kolejna wersja smsa Test – informują , że paczka już czeka na odbiór w paczkomacie. Aby wygenerować kod należy wejść na jakis link przypominający inpost. Usunąłem wiadomość bez otwierania linka, wiec nie jestem w stanie powiedzieć nic więcej na ten teamt

  4. W przypadku wyczyszczenia konta poprzez ten atak jest realna szansa, na odzyskanie pieniędzy? Coś takiego przydarzyło się znajomemu, ale przynajmniej 3-4 tyg temu. Dokładnie ten sam atak.

    • Tak, ale prawdopodobnie trzeba będzie pójść do sądu (oczywiście najpierw należy złożyć reklamację i zgłosić kradzież policji) w tej sprawie bo bank raczej nie będzie zainteresowany oddaniem pieniędzy od tak.

      Bank nie odpowiada do kwoty 50 EUR według prawa unijnego, chyba że jest w stanie udowodnić rażące niedbalstwo klienta (którego powiedziałbym że w tym przypadku nie ma). Czyli, na przykład jeżeli okradną z 1000 złotych, to bank będzie zobowiązany zwrócić 800 złotych (zakładając że 50 EUR to 200 złotych).

  5. Po wczorajszym zamówieniu na allegro, przesyłka wybrana pocztą polską dostałem SMS-a od nadawcy TEST, w treście było coś o Paczkomatach.

  6. Są też i takie kwiatki (otrzymane od TEST):
    Twoja paczka juz czeka na odebranie, pobierz aplikacje wygeneruj kod i wyjmij paczke. Link do aplikacji:
    http://inpost1.tk

  7. Nadawca SMS: TEST
    “Twoja paczka już czeka na odebranie, pobierz aplikacje wygeneruj kod i wyjmij paczkę. Link do aplikacji: hxxp://inpost1.ml

    Otrzymany o 22:15 dnia 15-10-2018

  8. Tego typu ataki mnożą się, jak króliki i trudno się temu dziwić, bo złodziej cały czas pozostaje bezkarny i nikt na niego nie poluje. Obecny Internet to dziki zachód, każdy musi bronić się sam, a służby, które mają nas chronić… a no właśnie – przy tego typu newsach przydałby się też komentarz służb, które (teoretycznie) powinny coś z tym zrobić. Drogi Niebezpieczniku, może z automatu zaczniesz prosić (zapewne znane Ci służby) o jakiś komentarz? (“Wiemy, ale to trudne, a my musimy pilnować plakatów wyborczych”).

  9. Co najmniej 3 kroki mówią o tym że to jest oszustwo. Trzeba być prawdziwym deklem żeby dać się na to nabrać.

  10. 15.10 – również wieczorem spotkała mnie identyczna sytuacja. Zakupiłem książkę na allegro i po kilku chwilach przyszedł ww. sms.

  11. Zastanawiam się do kogo kierowany jest jest ten artykuł i wiele podobnych na tym serwisie. Przecież ludzie czytający Niebezpiecznik na pewno nie nabiorą się na tego typu SMSa. Z kolei ci, którzy mogliby się na to nabrać, nie czytają portali poświęconych bezpieczeństwie w sieci…

    • My czytamy, jak pojawia się coś, co może dotknąć naszych mniej ogarniętych znajomych to informujemy, szerujemy itd

  12. Mi tego typu sms przyszedł pierwszy raz w życiu. Mam 8 numerów i tylko na jeden z nich ten sms dotarł i akurat ten numer był podany w neo24. Także to by się zgadzało…

  13. Że też operatorzy GSM nie mają filtrów antyspamowych i takich cwaniaków natychmiast nie blokują!

    • Operator nie może ingerować w treść ruchu do abonentów – byłaby to cenzura prewencyjna, w PL nielegalna. Natomiast nie popisał się agregator mający z operatorem umowę obsługi ruchu API->SMS, nie weryfikując klienta pod kątem tożsamości (no chyba że wysyłka poszła z konta “zhakowanego” innego klienta, w takim razie historia jest o 360 stopni Celsjusza inna).

  14. Czyli jeśli kliknąłem w link ale nie logowałem się to mogę spać spokojnie?

    • no właśnie? samo wejście w link niesie jakieś konsekwencje?

  15. Takich ludzi to do paki wsadzić i tyle.

  16. Chciałbym zgłosić, że również kilka-kilkanaście minut po zakupie w jednym ze sklepów z oponami (wieczór, 15.10.2018) i opłaceniu z użyciem Przelewy24 otrzymałem takiego SMSa.

    O ile SMS od razu wyglądał dla mnie na scam i zignorowałem go, o tyle zastanawia mnie czy nie doszło do wycieku moich danych osobowych, które są przekazywane podczas procesu płatności? Przykładowo w mailu od Przelewy24 znajduje się moje imię, nazwisko, dane adresowe, mail, forma płatności, etc.

  17. ja ostatnio dostałem sms z próbą wyłudzenia (też nieźle pomyślaną), nr tel 798099089. treść:
    “Witam, wobec braku zapłaty zaległych faktur za usługi telekomunikacyjne ostatecznie wzywamy do niezwłocznej spłaty zadłużenia w kwocie 199,11 zł na numer konta Bank handlowy w Warszawie SA 46 1030 1957 7777 8000 2562 5752. Brak natychmiastowej spłaty zaległości spowoduje wypowiedzeniem umowy z winy abonenta, naliczenie kary umownej w kwocie 2520 zł oraz rozpoczęcie procesu windykacyjnego obejmującego sprzedaż wierzytelności oraz przekazanie danych dłużnika DO KRD_BIG a T-Mobile Polska będzie dochodzić należności, odsetek, zapłaty kar umownych oraz zapłaty kosztów procesowych powstałych w wyniku dochodzenia należności na drodze sądowej. W związku z powyższym wzywamy do niezwłocznej spłaty zadłużenia. Z poważaniem, T-Mobile”
    także uważajcie też na to

  18. Przyznam szczerze, że się nie masturbuję (mam gorącą żonę ;). Jeden rodzaj oszustw z głowy.

  19. Właśnie zostałam ofiarą że przelali moje wszystkie pieniądze na jakieś konto przelew był wczoraj o 22 dzisiaj się rano zorientowałam że ich nie ma zaraz był bank policja wszystko chciałam zapłacić na DHL dostałam smsa dałam się podejść. Jaką mam szansę na odzyskanie pieniędzy? To były wszystkie moje oszczędności jestem załamana:(

    • Podeslij na redakcja@niebezpiecznik.pl zdjecie albo screen smsa

    • Oprócz precyzyjnego czytania SMS’a potwierdzającego wykonaną operacje/przelew etc. (sprawdzajmy co potwierdzamy), należy na koncie ograniczyć sumę dziennych przelewów do niezbędnego dla nas na co dzień minimów. W przypadku konieczności przelania większej sumy, zmieniamy dopuszczalną kwotę dziennych przelewów na nam potrzebną w danej chwili i potem zmniejszamy do minimum. Uniemożliwimy tym samym przelanie całości salda naszego rachunku jednym przelewem jednego dnia.

    • Ja niestety także dałam się naciąć na tego SMSa. Straciłam wszystkie oszczędności. Reklamację złożyłam (oczywiście została nieuznana), na policję poszłam. Piszę teraz odwołanie od tej reklamacji (z prawnikiem), może się uda, bo jak nie to zostaje już chyba tylko sąd. Ale jakie jest prawdopodobieństwo, że wygra się taką sprawę?… :'(

  20. Taka uwaga natury ogólnej, w kontekście smsa od “DHL”. Część problemów wynika z niskiej, hm, jak by to określić, kultury prawnej. Usługę dostawy towaru ze sklepu kupujemy w sklepie i to on jest stroną umowy z DHL czy inną firmą o transport. Sms “tu DHL, dopłać nam za przesyłkę” powinien wzbudzić automatyczną wątpliwość “Dlaczego ja?” – “Dlaczego ja, a nie sklep?” i potrzebę wyjaśnienia sprawy ze sklepem.
    Może przy kolejnym takim ataku i kolejnym artykule warto by wspomnieć o tym, że nawet jak codziennie dostajemy kilka paczek, to zazwyczaj płatnikiem za nie jest ktoś inny

  21. Oprócz precyzyjnego czytania SMS’a potwierdzającego wykonaną operacje/przelew etc. (sprawdzajmy co potwierdzamy), należy na koncie ograniczyć sumę dziennych przelewów do niezbędnego dla nas na co dzień minimów. W przypadku konieczności przelania większej sumy, zmieniamy dopuszczalną kwotę dziennych przelewów na nam potrzebną w danej chwili i potem zmniejszamy do minimum. Uniemożliwimy tym samym przelanie całości salda naszego rachunku jednym przelewem jednego dnia.

  22. Jednego nie rozumiem. Ja robię przelewy, logując się za pomocą klawiatury WIRTUALNEJ. Ponad to robię to pod osłoną Kaspersky`ego. W jaki sposób haker odczyta moje hasło do banku ? Na ekranie w czasie logowania wyskakują kropki.

    • Dobre zabezpieczenia ale nici dają jeżeli wysyłasz dane bezpośrednio do hakera a nie strony banku bo przecież jesteś w domenie hakera nie banku – prawda>?

  23. Przed chwilą otrzymałem tego SMS-a o dopłacie 1 zł do wysyłki. Ale co ciekawe, jako nadawca widnieje InPost i wiadomość pojawiła się razem z prawdziwymi powiadomieniami od InPostu. Ponieważ rzeczywiście czekam na przesyłkę, musiałem chwilę się zastanowić o co tu chodzi. Ale jest “niebezpiecznik” :)

    • Do mnie właśnie dotarł taki sam sms i nadawca to również InPost. Link kieruje do domeny http://in3post.tk

  24. Wypożyczając auto w Polsce, spotkałem się z dziwnym procederem. Też każdy może robić sobie dowolne przelewy.
    Pracownik wypożyczalni, potrzebował skanu mojej karty płatniczej, powiedziałem, że nie ma takiej opcji i nie dam mu.
    Więc zapytał, czy mogę zrobić transakcję na 1zl. Zgodziłem się.
    Po transakcji pan poinformował mnie, że jakby był jakiś mandat, to ” my sobie to ściągniemy z karty bo już mamy dane”
    Włos mi się zjeżył na głowie….
    Chyba coś tu nie działa tak jak powinno, albo nie tak jak bym sobie tego życzył.

  25. Szwagierka niestety padla ofiara tego phishingu.
    Dostala sms z numeru “INPost”, co powodowało że wątkował się z poprzednimi powiadomieniami o przesyłkach, nastepnie przekierowanie na fikacyjne logowanie do Santander i sms . Sprawa zgloszona na policje i do banku. Jak oceniacie szanse na odzyskanie pieniedzy?

  26. Właśnie dostałem sms od INpost. Robiłem zakupy na allegro. Na szczęście przesyła była wysłana DPD , a druga odbiór w Ruchu i dlatego włączyła mi się “czerwona lampka”
    byłe na ich stronie przez telefon, ale nie podawałem danych. Czy to też jest groźne?

  27. Właśnie zostałam okradziona w ten sposób.
    Ja otrzymałam od In Posta taki link http://pm7632.tk/uy63Cl/1
    Czekam na załatwienie sprawy z bankiem i policją-zawiadomienia złożone.Oszustwa dokonano 08.11.18.Ela

  28. Witam,
    ja również padłam ofiara ataku. Dałam się “zhakować” i z konta poszły mi pieniądze. Sprawa została od razu zgłoszona na infolinię banku, gdyż o tej porze nie są czynne już oddziały oraz na policję. Odpowiedź z banku przyszła, że to ja dokonałam przelewów, chodź adresy IP nie są moje, poza tym reklamację telefoniczną składałam w przeciągu niecałej godziny po zdarzeniu. Na komisariacie wysłano FAXem pismo do banku o zablokowanie tamtego konta, któremu rzekomo wysyłam pieniądze. Nie wiem, jak bank zareagował…Na razie przesłuchiwano mnie na Policji, bo sprawą zajmuje się Prokuratura. Zamierzam skorzystać z porad adwokackich. 21-11-18r. dostałam kolejną wiadomość od PRZESYŁKA z treścią o dopłatę i z linkiem odwoławczym.Dziś, tzn. 22-11-18r.przyszła kolejna wiadomość niespodzianka tym razem od OPERATOR z treścią podobną i linkiem. Trzymam te wiadomości i w poniedziałek z rana od razu pojadę dodać to do swojej sprawy na policji.

  29. Dziś kolejny SMS z podobną treścią…w pn. ruszam na komendę

  30. Ja oszukany na sms z inpostu na dopłate 1 zl na kwote 14 tys

  31. Wczoraj mój narzeczony też otrzymał taki sms z DHL. Narzeczony wszedł w link i dałby sobie rękę uciąć, że jest na stronie banku, na szczęście sms z kodem potwierdzającym ożywił jego czujność, gdy tylko spojrzał na kwotę. W tym czasie haker zrobił przelew wewnętrzny konto oszczędnościowe-konto główne. Bank szybko zareagował i zablokował jemu konto bankowe… Radzicie zgłosić to na policję, mimo, że nie było kradzieży?

  32. Czy jeśli jedynie kliknelam na stronę podana w smsie a nie płaciłam tej złotówki ani nie pobeiralam nic, nie weszłam na stronę mojego banku ani nic nie pobralam to coś mi grozi?

  33. Wczoraj dostałem maila od fytbglylycca@probashi.info o treści:

    Szanowny Kliencie,

    Staralismy sie dostarczyc twoja przesylke 6 grudnia 2018 roku.
    Konto / Numer kwitu: T11297682477
    Wpłacający: a*****n@wp.pl
    Usluga (B): potwierdzenie odbioru
    Prosimy o wplate: 5207,99 ZL
    Statusu: Zawiadomienie wyslane

    Pobierz faktura (tutaj link prowadzący do http://coral.pe/agfykd/bghuc.php)

    Z pozdrowieniami,
    DHL Express.

    //koniec listu.

    Jak widać złotówka już im nie wystarcza :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.