17/3/2023
Rodzaj: SMS phishing
Zagrożenie: Kradzież pieniędzy
Użyte marki: OLX, DPD, InPost
Aktualnie obserwujemy zwiększoną liczbę ataków na sprzedających na OLX. Nawet już po dwóch minutach od wystawienia ogłoszenia na portalu możesz otrzymać taką wiadomość (zwróć uwagę, z jakiej nazwy nadawcy jest ona wysyłana!)
Zauważ, że pierwsza z wiadomości w tym wątku jest prawdziwa!
Złodzieje idealnie podrabiają nazwę “OLX”. Dlatego fałszywe SMS-y wątkują się ofiarom tuż pod tym prawdziwymi. Tymi, które pamiętają i kojarzą jako “pochodzące od prawdziwego OLX”. Tymi, które ich nie oszukały…
Efekt?
Wiele osób otrzymując takiego SMS-a uważa, że to faktycznie OLX wysłało im SMS-a. Ale nie jest to prawda! Internetowi złodzieje po prostu korzystają ze specjalnych bramek, dzięki którym każdy może wysłać SMS-a z dowolnego numeru (lub nazwy).
Co się stanie po kliknięciu?
Jeśli klikniesz w taki link, to wylądujesz na stronie, która przedstawia fałszywą instrukcję tego, jak odebrać pieniądze za sprzedany przedmiot. Jeśli podążysz za wskazanymi krokami, udostępnisz złodziejom dane dotyczące bankowości internetowej i zostaniesz okradziony!
Inne warianty tego ataku
Obserwujemy też inne warianty tego ataku, w których złodzieje komunikację z ofiarą zaczynają od SMS-ów wysyłanych z nazw firm kurierskich (np. DPD, Inpost):
Podobnie jak w przypadków SMS-ów nadawanych z nazwy OLX i tu wiadomości fałszywe zostaną zawątkowane pod prawdziwymi SMS-ami od kurierów, co doda wiarygodności atakowi:
Uświadom znajomych!
Daj znać wszystkim swoim bliskim i dalszym znajomym, żeby zrozumieli, że
zarówno numery telefonów połączeń przychodzących jak i nadawców SMS-ów można podrobić. Niech nigdy nie wierzą w podpisy wyświetlane na swoich smartfonach. Nawet jeśli wcześniejsze SMS-y od danego nadawcy były prawdziwe.
Wyślij im tego linka albo tego albo tego.
No i przekonaj do instalacji naszej darmowej aplikacji CyberAlerty, to będą w przyszłości ostrzegani przed istotnymi atakami i zagrożeniami na które można się natknąć w internecie. Aplikacja jest darmowa i nie wymaga podawania jakichkolwiek danych. Jedyne co robi, to wysyła ostrzeżenia. Takie jak to, bo o tych atakach na OLX rozesłaliśmy CyberAlert do użykowników naszej aplikacji.
Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Dlatego nie podaje się NUMERU telefonu w danych konta, a wiadomosci wymienia przez OLX.
Podejrzane jest już samo to, że przychodzi taki SMS.
Olx nie wysyła smsów innych niż tylko tych z kodem weryfikacyjnym na prośbę użytkownika. Tak samo InPost nie wysyła smsów jak ktoś ma aplikację InPost zaibstalowaną.
Mam OLX czasem coś sprzedaję i nigdy nic z OLX nie przyszlo mi smsem. Zawsze jak juz wiadomości push aplikacji olx. Więc piszę to do uzytkownikow OLX ktorzy korzystają z aplikacji olx. Was ten temat nie dotyczy poniewaz nigdy nie dostaniecie smsa z olx . Piszący ten artykul o tym nie wspomniał.
Nie mam aplikacji olx, nie mam też konta Facebook połączonego z olx. Używam tylko webowej wersji olx i nigdy nie otrzymałem od nich smsa. Czy można sprawdzić do jakiej grupy kierowany jest ten atak?
Kolejne ataki na naszą kasę, które obserwujemy już od jakiegoś czasu. Dlaczego ABW i inne organy nic z tym nie robią? Gdzie oni są i czym się zajmują? To są normalne kpiny z obywateli dlatego wszystkie partie telewizyjne oraz ludzie z nimi związani są do zagospodarowania co najwyżej w zakładach komunalnych!
A jak myślisz że kto legalnie hakuje
Ostatnio zmieniałam termin dostawy w DPD po chwili dostałam maila (cały po angielsku), że moja paczka zostanie zwrócona do nadawcy a nie była to mała paczka – chyba, że kliknę w link to ją zatrzymam. Na początku się przeraziłam ale nauczona innymi oszustwami na spokojnie pomyślałam i co widzę….. Paczkę zamawiałam DPD a ten mail przyszedł z DHL….
Miałem ten sam przypadek 2 tygodnie temu kiedy telefon wystawiłem na olx, po ok. 30 min od wystawienia ogłoszenia przyszła taka wiadomość, zdziwiłem się bo na skrzynke pocztową ani w powiadomieniach aplikacji nie miałem żadnego powiadomienia, od razu mi sie czerwona lampka zapaliła i zignorowałem tą wiadomość. Masakra że złodzieje korzystają z takich sztuczek że faktycznie wątkuje się wiadomość z prawdziwą od olx.
O mały włos a straciłbym wszystko również konto google
OLX pada ofiarą oszustów i tak samo ludzie padają ofiarami olx. Bo ich polityka także oszukuje klientów. Na przykład próba wystawienia oferty w kategorii z małym limitem często jest przez nich ręcznie kasowane ogłoszenie lub usuwane z różnego powodu – aby wykupić pakiet ogłoszeń. Lub czekać wystarczy zaledwie 2 tygodnie na aktywację. OLX samemu już nie jest też żadnym dobrym charakterem, a raczej pazernym cwaniakiem.
wystawiłem na olx opony. Przez “łapu capu”, czyli whatsapp zgłosił się facet/kobieta? I spytałą czy aktualne i że opłaci z góry kuriera, który przyjedzie po towar i go zapakuje. Przysłał linka, w którym trzeba było podać numer karty, kod ccv, potem przyszedł sms z banku, że daję zgodę na włączenie karty do systemu płatności Google Pay. Oczywiście, że zapaliła mi się lampka, że to oszustwo (dodatkowo wyskoczyło okienko z niby czatem do pomocy technicznej), ale nie byłem pewien, a na koncie do którego podałem te dane miałem 8,41zł, a więc pomyślałem – niech kradnie, najwyżej zablokuję sobie.
Niestety przez tę kartę do konta debetowego (takiej “wypukłej”, która również ma kod ccv – wielowalutowa z banku pekao sa) dostali się do karty kredytowej, która jest przecież na innym rachunku, pobrali 3700zł, przelali na konto debetowe i stamtąd wytransferowali na swoje konto Revolut w Dublinie. Karta kredytowa też w pekao sa widoczna pod tym samym kontem klienta, ale inna karta, nie podawałem do niej numeru i kodu…
Dzisiaj żona dostała sms z olx. Z racji że dużo sprzedaje w tym serwisie wie co i jak.
Ja oczywiście sprawdziłem jak wygląda otrzymanie płatności. Po wejściu w fałszywą stronę do logowania do banku po podaniu fałszywych danych musimy je oczywiście autoryzować kartą płatniczą. Po autoryzacji na fałszywie wygenerowane dane licznik leci i nic już się nie dzieje. Jak ktoś poda prawdziwe dane to bye bye pieniążki z konta.