12:57
28/6/2023

⚠️ Uwaga użytkownicy Allegro!

Autor: redakcja | Tagi:  

Rodzaj: e-mail phishing
Zagrożenie: Kradzież pieniędzy i konta
Użyte marki: Allegro

Na skrzynki e-mailowe Polaków właśnie rozsyłana jest fałszywa wiadomość, w której przestępcy podszywają się pod Allegro. Wiadomość pod pretekstem “aktualizacji regulaminu” nakłania do kliknięcia w link, który prowadzi do fałszywej strony logowania.

Uwaga! Wiadomość może zawierać pełne imię i nazwisko ofiary a także jej poprawny numer telefonu! To znacznie podnosi wiarygodność ataku.

Kliknąłem w link — co robić, jak żyć?

Bazując na znanych nam przypadkach, samo kliknięcie w link w przypadku tej wiadomości nie stanowi zagrożenia. Ale… kliknięcie w link przenosi ofiarę na fałszywą stronę, która prosi o dane logowania, a w drugim kroku także o numer karty płatniczej.

  • Jeśli wprowadziłeś tam poprawne dane logowania do swojego konta na Allegro, jak najszybciej je zmień i skontaktuj się z pomocą techniczną Allegro.
  • Jeśli wprowadziłeś numer swojej karty płatniczej, jak najszybciej ją zastrzeż w swoim banku, co możesz zrobić dzwoniąc na infolinię.

Skąd przestępcy mieli poprawne dane osobowe i numery telefonów ofiar?

Te dane pochodzą z wycieków, czyli wykradzionych z różnych serwisów internetowych baz danych (i/lub skrzynek pocztowych). W jednym ze zgłoszonych nam przypadków, ofiara potwierdziła poprawność swojego imienia i nazwiska, ale już numer telefonu nie należał do niej, a do innej osoby, od której kupowała przedmioty na Allegro. Jest więc szansa, że sprzedawca jakiś czas temu dał się “zhackować”, a wykorzystywana do tej kampanii baza zawiera dane pobrane z jego konta na Allegro, skrzynki pocztowej lub systemu CRM.

Jeśli ktoś z Was podaje unikatowe zestawy danych osobowych i na przykładzie tej kampanii był w stanie ustalić skąd oszuści pozyskali jego dane, dajcie nam znać.


Aktualizacja (28.06.2023 21:06)
Duża część z przesyłanych przez Was analiz wskazuje, że w Waszym przypadku komplet danych, na które zaadresowano tę wysyłkę pochodził z bazy Morele. Ale nie tylko ten wyciek był eksploatowany.

Przykładowe IOC

vtf.hgskks[.]pl/kTs/
c88f2edd2ddc.actsms[.]pl/
getcraft.app

To tylko przykładowe IOC, pozwalające sprawdzić czy Ty lub Twoi współpracownicy byli atakowani w tej kampanii. Jeśli potrzebujesz pełnych informacji na temat URL-i, adresów IP lub e-maili wykorzystywanych przez cyberprzestępców w tym i w innych atakach, to skontaktuj się z nami.

Wysłaliśmy CyberAlert w tej sprawie

Ze względu na masowy charakter tej kampanii i użycie poprawnych danych osobowych ofiar, podjęliśmy decyzję o wysłaniu ostrzeżenia do użytkowników naszej aplikacji mobilnej CyberAlerty oraz do subkrybentów naszego newslettera CyberAlerty.

Zarówno newsletter jak i aplikacja są darmowe i nie wymagają podawania żadnych danych. Dlatego warto dołączyć użytkowników CyberAlertów, bo dzięki temu będziesz regularnie otrzymywać ostrzeżenia o istotnych atakach dotyczących Polaków, takich w których stracić możesz pieniądze lub dane. Tak wygląda przykładowy alert:

Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

33 komentarzy

Dodaj komentarz
  1. Abc 2023.06.28 13:30 | # | Reply

    Ja znów przy wyszukaniu allegro wyskoczyła mi reklama, która przenosi w linku przez dwie inne strony i dopiero na allegro. Otwiera się normalna strona allegro z linkiem allegro.pl/admitted….

  2. Mary 2023.06.28 13:47 | # | Reply

    Dostałam jakiś czas temu mail z czeskiego Allegro w j.czeskim o tym, ze moja sprzedaż jest powyżej 50K kron i coś tam. Faktycznie na tym mailu mam konto, ale tylko polskie i 0 sprzedaży. Jestem ciekawa co to za niespodzianka, googlowalam czy są takie przypadki, ale nic podobnego nie znalazłam.

    • Marek 2023.06.28 16:15 | # |

      Chyba wszyscy dostali taki mail. Jest na forum allegro. Ich pomyłka.

    • dyzio 2023.06.30 12:19 | # |

      Była informacja w zakładce pomocy allegro że to ich błąd.
      Wszystko jest okej i to nie scam a pomyłka

  3. soul 2023.06.28 14:39 | # | Reply

    allegro wysyła podobne maile, które są prawdziwe…

  4. Kuba 2023.06.28 15:25 | # | Reply

    Przed chwilą dostałem.
    Mail przyszedł na stary adres, z którego korzystałem na Allegro przez kilkanaście lat, ale zmieniłem na inny w maju zeszłego roku. Więc jeżeli to wyciek z bazy Allegro, to jest starszy niż maj 2022.
    Imię, nazwisko oraz numer telefonu się zgadzają.

    • Observer 2023.06.29 08:22 | # |

      To jest prawdopodobnie jeszcze starszy wyciek, gdyż od kilku lat Allegro tworzy wirtualne skrzynki e-mail do komunikacji pomiędzy stronami dla każdej transakcji. Wyglądają mniej więcej tak: rhrnm5ywla@allegromail.pl
      Ale nie mam pewności jak długo są one utrzymywane w stanie aktywnym.

  5. Michał 2023.06.28 15:56 | # | Reply

    U mnie nr telefonu był poprawny. email przyszedł z domeny wizja.net

  6. Mateusz 2023.06.28 16:19 | # | Reply

    I to jest dobry moment by przypomnieć, że Allegro obsługuje 2FA

    • Rafał 2023.06.28 17:14 | # |

      Ale nie obsługuje kluczy Fido :(
      Więc taka proteza 2FA.

  7. Pat 2023.06.28 20:07 | # | Reply

    Dzisiaj przy wyszukaniu frazy “Allegro” wyskoczyła mi reklama spersonalizowana, gdzie po kliknięciu przekierowywało na vorn.pl, potem bouild-2go coś takiego i potem dopiero na allegro.pl/amitted…
    Gdzie byłem już zalogowany automatycznie

  8. Max 2023.06.28 20:24 | # | Reply

    Potwierdzam – mail z moim imieniem i nazwiskiem oraz numerem telefonu “od Allegro” otrzymałem już ponad miesiąc temu. Poinformowałem o tym niezwłocznie Allegro, które sprawę przyjęło i… w odpowiedzi otrzymałem informację, że to jest próba oszustwa i żeby nie klikać w link (czyli odpowiedzieli tym samym co napisałem w zgłoszeniu). I tu ciekawostka – numer telefonu, który był zawarty w mailu używałem ponad 10 lat temu, co sugeruje, że wyciekły jakieś dosyć stare dane.

    • toja 2023.06.30 18:56 | # |

      Pewnie wyciek z morele sprzed kilku lat.

  9. Michał 2023.06.28 20:27 | # | Reply

    Dostałem takiego maila początkiem czerwca. Wysłałem zgłoszenie na phishing@allegro.pl (z kopią otrzymanego e-maila) dostałem automatyczną odpowiedź z numerem przyjęcia zgłoszenia i nic dalej się z tym nie podziało ze strony zespołu allegro.

  10. Artur 2023.06.28 21:25 | # | Reply

    A z jakiego adresu pochodzą te e-maile? Interesuje mnie głównie to co jest po znaczku “@”

    • Observer 2023.06.29 08:25 | # |

      Na zrzucie ekranu z przykładowym e-mail użyto adresu @mailgun.getcraft.app, ale to za pewne będzie się zmieniało.

    • max 2023.06.29 11:15 | # |

      Jednym z adresów jest noreply@montage-frize.de

    • max 2023.06.29 11:16 | # |

      literówka, miało być “montage-fritze”

    • zdzicho 2023.07.03 18:51 | # |

      Ja dostałem z server@server.nexabyte.de. Link w mailu https://bwts.gololss.pl/pSnt/moj@adres.pl.
      Odpowiedź po zgłoszeniu na phishing@allegro.pl:
      dziękuję za czujność i zgłoszenie.
      Widzę, że to nie my wysłaliśmy tę wiadomość. Jej nadawcą była osoba podszywająca się pod Allegro, a link tam zawarty prowadzi do strony służącej wyłudzeniu loginów i hasła do konta Allegro. Proszę, aby zignorował Pan tę wiadomość i usunął ją ze swojej skrzynki.
      Oznaczyliśmy tę stronę jako niebezpieczną i dążymy do tego, żeby była jak najszybciej usunięta z sieci.
      Oprócz Allegro zgłosiłem do redakcji Niebezpiecznika i CERT.

  11. Camis 2023.06.29 13:13 | # | Reply

    Potwierdzam że dane mają z wycieku z Morele, na 100% bo na mail z Molere przyszedł mi scam. A do każdego serwisu używam innego maila we własnej domenie. Więc po spamie od razu wiem w którym serwisie był wyciek.

    Mail przyszedł z adresu: no-reply@foppes-experten.de
    Link w mailu: https:// uiyrj.hlloso.pl/PlTs/moj@morele.mail

  12. Kot 2023.06.29 17:59 | # | Reply

    A dlaczego to screen a nie przeklejona wiadomość? Niewidomi i słabowidzący też was czytają :).

  13. toja 2023.06.30 18:55 | # | Reply

    Żadnego wpisywania hasła z palca.

  14. Se você comprar no Allegro - tenha cuidado! Você pode ser vítima de um novo ataque mesmo se for muito cuidadoso - Tech Zoa 2023.07.01 15:43 | # | Reply

    […] nesses tipos de e-mails? Estes vêm de vários vazamentos que ocorreram nos últimos anos e meses. eu denuncio o perigo, alguns dados podem vir do banco de dados da loja Morele, mas este não é o único local onde os […]

  15. Łukasz 2023.07.03 08:33 | # | Reply

    Dzięki, że dbacie o nasze bezpieczeństwo

  16. wdzieczna 2023.07.03 08:35 | # | Reply

    Dzięki, że dbacie o nasze bezpieczeństwo

  17. Albert 2023.07.05 13:23 | # | Reply

    Dostałem dziś takiego maila z poprawnymi danymi osobowymi i nr telefonu.
    Posiadam konto na Morele.

  18. Lukasz 2023.07.05 22:36 | # | Reply

    potwierdzam, dostałem też dzisiaj, z poprawnym imieniem, nazwiskiem i numerem telefony

  19. Mieszko I 2023.07.06 09:46 | # | Reply

    Do mnie przysłali 05 lipca tego maila, na poprawne imię i nazwisko oraz poprawny numer telefonu. Przysłali z adresu: nie-odpowiadaj@asdhelp.pl

  20. Anonim 2023.07.06 13:57 | # | Reply

    W moim przypadku podejrzewam stary wyciek z Adobe.

  21. Janusz 2023.07.06 22:06 | # | Reply

    U mnie dziś przyszedł mail. Dodatkowo przyszedł SMS z kodem autoryzacji, więc chyba próbują się logować.
    Link prowadzi do https://zey{.}jgddw{.}pl/Gm/{adres@mail}, mail z bouquetins@muraro{.}dev

  22. Tomek 2023.07.10 22:24 | # | Reply

    Ja dziś popołudniu zrobiłem zakupy na Allegro u Morele i ok 21 miałem próbę kupienia z mojego konta karty graficznej i jakiegoś badziewia do e-papierosów. Nie mam pojęcia jak komuś udało się zalogować na moje konto mimo 2-stopniowej autoryzacji. Złodziejaszek nie był natomiast w stanie zapłacić z mojego konta a Allegro wykryło akcję, anulowało zakupy pozoranta i wysłało mi powiadomienie o konieczności resetu hasła. Masakra

  23. Damian 2023.07.24 15:49 | # | Reply

    Analogicznie tez wyciek z Adobe.

  24. Bartek 2023.08.02 22:45 | # | Reply

    Dzisiaj niby od allegro o zmianie regulaminu z adresu web02@gazda-group.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: