28/6/2023
Rodzaj: e-mail phishing
Zagrożenie: Kradzież pieniędzy i konta
Użyte marki: Allegro
Na skrzynki e-mailowe Polaków właśnie rozsyłana jest fałszywa wiadomość, w której przestępcy podszywają się pod Allegro. Wiadomość pod pretekstem “aktualizacji regulaminu” nakłania do kliknięcia w link, który prowadzi do fałszywej strony logowania.
Uwaga! Wiadomość może zawierać pełne imię i nazwisko ofiary a także jej poprawny numer telefonu! To znacznie podnosi wiarygodność ataku.
Kliknąłem w link — co robić, jak żyć?
Bazując na znanych nam przypadkach, samo kliknięcie w link w przypadku tej wiadomości nie stanowi zagrożenia. Ale… kliknięcie w link przenosi ofiarę na fałszywą stronę, która prosi o dane logowania, a w drugim kroku także o numer karty płatniczej.
- Jeśli wprowadziłeś tam poprawne dane logowania do swojego konta na Allegro, jak najszybciej je zmień i skontaktuj się z pomocą techniczną Allegro.
- Jeśli wprowadziłeś numer swojej karty płatniczej, jak najszybciej ją zastrzeż w swoim banku, co możesz zrobić dzwoniąc na infolinię.
Skąd przestępcy mieli poprawne dane osobowe i numery telefonów ofiar?
Te dane pochodzą z wycieków, czyli wykradzionych z różnych serwisów internetowych baz danych (i/lub skrzynek pocztowych). W jednym ze zgłoszonych nam przypadków, ofiara potwierdziła poprawność swojego imienia i nazwiska, ale już numer telefonu nie należał do niej, a do innej osoby, od której kupowała przedmioty na Allegro. Jest więc szansa, że sprzedawca jakiś czas temu dał się “zhackować”, a wykorzystywana do tej kampanii baza zawiera dane pobrane z jego konta na Allegro, skrzynki pocztowej lub systemu CRM.
Jeśli ktoś z Was podaje unikatowe zestawy danych osobowych i na przykładzie tej kampanii był w stanie ustalić skąd oszuści pozyskali jego dane, dajcie nam znać.
Aktualizacja (28.06.2023 21:06)
Duża część z przesyłanych przez Was analiz wskazuje, że w Waszym przypadku komplet danych, na które zaadresowano tę wysyłkę pochodził z bazy Morele. Ale nie tylko ten wyciek był eksploatowany.
Przykładowe IOC
vtf.hgskks[.]pl/kTs/
c88f2edd2ddc.actsms[.]pl/
getcraft.app
To tylko przykładowe IOC, pozwalające sprawdzić czy Ty lub Twoi współpracownicy byli atakowani w tej kampanii. Jeśli potrzebujesz pełnych informacji na temat URL-i, adresów IP lub e-maili wykorzystywanych przez cyberprzestępców w tym i w innych atakach, to skontaktuj się z nami.
Wysłaliśmy CyberAlert w tej sprawie
Ze względu na masowy charakter tej kampanii i użycie poprawnych danych osobowych ofiar, podjęliśmy decyzję o wysłaniu ostrzeżenia do użytkowników naszej aplikacji mobilnej CyberAlerty oraz do subkrybentów naszego newslettera CyberAlerty.
Zarówno newsletter jak i aplikacja są darmowe i nie wymagają podawania żadnych danych. Dlatego warto dołączyć użytkowników CyberAlertów, bo dzięki temu będziesz regularnie otrzymywać ostrzeżenia o istotnych atakach dotyczących Polaków, takich w których stracić możesz pieniądze lub dane. Tak wygląda przykładowy alert:
Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl
Ja znów przy wyszukaniu allegro wyskoczyła mi reklama, która przenosi w linku przez dwie inne strony i dopiero na allegro. Otwiera się normalna strona allegro z linkiem allegro.pl/admitted….
Dostałam jakiś czas temu mail z czeskiego Allegro w j.czeskim o tym, ze moja sprzedaż jest powyżej 50K kron i coś tam. Faktycznie na tym mailu mam konto, ale tylko polskie i 0 sprzedaży. Jestem ciekawa co to za niespodzianka, googlowalam czy są takie przypadki, ale nic podobnego nie znalazłam.
Chyba wszyscy dostali taki mail. Jest na forum allegro. Ich pomyłka.
Była informacja w zakładce pomocy allegro że to ich błąd.
Wszystko jest okej i to nie scam a pomyłka
allegro wysyła podobne maile, które są prawdziwe…
Przed chwilą dostałem.
Mail przyszedł na stary adres, z którego korzystałem na Allegro przez kilkanaście lat, ale zmieniłem na inny w maju zeszłego roku. Więc jeżeli to wyciek z bazy Allegro, to jest starszy niż maj 2022.
Imię, nazwisko oraz numer telefonu się zgadzają.
To jest prawdopodobnie jeszcze starszy wyciek, gdyż od kilku lat Allegro tworzy wirtualne skrzynki e-mail do komunikacji pomiędzy stronami dla każdej transakcji. Wyglądają mniej więcej tak: rhrnm5ywla@allegromail.pl
Ale nie mam pewności jak długo są one utrzymywane w stanie aktywnym.
U mnie nr telefonu był poprawny. email przyszedł z domeny wizja.net
I to jest dobry moment by przypomnieć, że Allegro obsługuje 2FA
Ale nie obsługuje kluczy Fido :(
Więc taka proteza 2FA.
Dzisiaj przy wyszukaniu frazy “Allegro” wyskoczyła mi reklama spersonalizowana, gdzie po kliknięciu przekierowywało na vorn.pl, potem bouild-2go coś takiego i potem dopiero na allegro.pl/amitted…
Gdzie byłem już zalogowany automatycznie
Potwierdzam – mail z moim imieniem i nazwiskiem oraz numerem telefonu “od Allegro” otrzymałem już ponad miesiąc temu. Poinformowałem o tym niezwłocznie Allegro, które sprawę przyjęło i… w odpowiedzi otrzymałem informację, że to jest próba oszustwa i żeby nie klikać w link (czyli odpowiedzieli tym samym co napisałem w zgłoszeniu). I tu ciekawostka – numer telefonu, który był zawarty w mailu używałem ponad 10 lat temu, co sugeruje, że wyciekły jakieś dosyć stare dane.
Pewnie wyciek z morele sprzed kilku lat.
Dostałem takiego maila początkiem czerwca. Wysłałem zgłoszenie na phishing@allegro.pl (z kopią otrzymanego e-maila) dostałem automatyczną odpowiedź z numerem przyjęcia zgłoszenia i nic dalej się z tym nie podziało ze strony zespołu allegro.
A z jakiego adresu pochodzą te e-maile? Interesuje mnie głównie to co jest po znaczku “@”
Na zrzucie ekranu z przykładowym e-mail użyto adresu @mailgun.getcraft.app, ale to za pewne będzie się zmieniało.
Jednym z adresów jest noreply@montage-frize.de
literówka, miało być “montage-fritze”
Ja dostałem z server@server.nexabyte.de. Link w mailu https://bwts.gololss.pl/pSnt/moj@adres.pl.
Odpowiedź po zgłoszeniu na phishing@allegro.pl:
dziękuję za czujność i zgłoszenie.
Widzę, że to nie my wysłaliśmy tę wiadomość. Jej nadawcą była osoba podszywająca się pod Allegro, a link tam zawarty prowadzi do strony służącej wyłudzeniu loginów i hasła do konta Allegro. Proszę, aby zignorował Pan tę wiadomość i usunął ją ze swojej skrzynki.
Oznaczyliśmy tę stronę jako niebezpieczną i dążymy do tego, żeby była jak najszybciej usunięta z sieci.
Oprócz Allegro zgłosiłem do redakcji Niebezpiecznika i CERT.
Potwierdzam że dane mają z wycieku z Morele, na 100% bo na mail z Molere przyszedł mi scam. A do każdego serwisu używam innego maila we własnej domenie. Więc po spamie od razu wiem w którym serwisie był wyciek.
Mail przyszedł z adresu: no-reply@foppes-experten.de
Link w mailu: https:// uiyrj.hlloso.pl/PlTs/moj@morele.mail
A dlaczego to screen a nie przeklejona wiadomość? Niewidomi i słabowidzący też was czytają :).
Żadnego wpisywania hasła z palca.
[…] nesses tipos de e-mails? Estes vêm de vários vazamentos que ocorreram nos últimos anos e meses. eu denuncio o perigo, alguns dados podem vir do banco de dados da loja Morele, mas este não é o único local onde os […]
Dzięki, że dbacie o nasze bezpieczeństwo
Dzięki, że dbacie o nasze bezpieczeństwo
Dostałem dziś takiego maila z poprawnymi danymi osobowymi i nr telefonu.
Posiadam konto na Morele.
potwierdzam, dostałem też dzisiaj, z poprawnym imieniem, nazwiskiem i numerem telefony
Do mnie przysłali 05 lipca tego maila, na poprawne imię i nazwisko oraz poprawny numer telefonu. Przysłali z adresu: nie-odpowiadaj@asdhelp.pl
W moim przypadku podejrzewam stary wyciek z Adobe.
U mnie dziś przyszedł mail. Dodatkowo przyszedł SMS z kodem autoryzacji, więc chyba próbują się logować.
Link prowadzi do https://zey{.}jgddw{.}pl/Gm/{adres@mail}, mail z bouquetins@muraro{.}dev
Ja dziś popołudniu zrobiłem zakupy na Allegro u Morele i ok 21 miałem próbę kupienia z mojego konta karty graficznej i jakiegoś badziewia do e-papierosów. Nie mam pojęcia jak komuś udało się zalogować na moje konto mimo 2-stopniowej autoryzacji. Złodziejaszek nie był natomiast w stanie zapłacić z mojego konta a Allegro wykryło akcję, anulowało zakupy pozoranta i wysłało mi powiadomienie o konieczności resetu hasła. Masakra
Analogicznie tez wyciek z Adobe.
Dzisiaj niby od allegro o zmianie regulaminu z adresu web02@gazda-group.pl