9:53
10/5/2018

O przekrętach na OLX z lewym kurierem w tle napisaliśmy już wiele artykułów. Wciąż jednak są osoby, które się na nie łapią — głównie dlatego, że taka “okazja” wyłącza im logiczne myślenie. No bo jakże nie przejść obojętnie obok oferty darmowego oddania w dobre ręce lekko używanego zestawu klocków, albo jeszcze całkiem sprawnego telewizora? Przez ten przekręt na OLX ludzie którzy chcą zaoszczędzić kilkaset złotych, tracą nawet kilkadziesiąt tysięcy… A fala tego typu ataków ostatnio się nasiliła i niestety są one lepiej dopracowane niż poprzednie “edycje”.

Interesuje Cię jak bezpiecznie korzystać z internetu w domu i pracy? Przyjdź na nasz wykład pt. “Jak nie dać się zhackować?“. W najbliższym tygodniu będziemy w Krakowie, Warszawie, Łodzi i Gdańsku. Zarezerwuj miejsce dla siebie klikając tutaj

Jak wyglądają ogłoszenia złodzieja na OLX?

Oto przykład jednego z nich:

Oddam za darmo zestaw kolckow Lego Duplo zoo. Dzieci powyrastały więc moze komus sie przyda :)

Powód oddania jest wiarygodny. A przestępca — jak widać po komunikacie z OLX — z oszustwa zrobił sobie stały dochód, ponieważ na wiadomości odpowiada błyskawicznie. Jest ciągle przed komputerem z jeszcze jednego powodu… (o nim za chwile).

Popatrzcie jak wygląda przykładowa korespondencja z oszustem, którą podesłał nam jeden z Czytelników. Zwróćcie uwagę, że Czytelnik nie należał do “chciwych” i chciał zapłacić za klocki — ale oszust nie chciał wpłaty, ale jedynie pokrycia kosztów transportu:

Przesłany e-mailem link do płatności za usługi kurierskie wyglądał tak:

https://pay24iv[.]com/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=6
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=19.99

A w innym, analogicznym przypadku tak:

https://dpay24[.]online/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=5
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=11.99

A pod nim — jak można się domyślić — fałszywy DotPay.

Jak widać, przestępcy w końcu dopracowali i unowocześnili skrypt. Ten fałszywy DotPay nie zawiera pomyłek, które funkcjonowały w poprzedniej wersji oszustwa. Nawet podrobione strony “szybkich płatności” dla danego banku mają aktualny wygląd.

Jak złodziej okrada ofiary?

Jeśli klient po wybraniu swojego banku nie zauważy, że login i hasło wpisuje na stronie o złym (niebankowym) adresie, to straci pieniądze. I tu docieramy do tego, dlaczego przestępca musi ciągle być przed komputerem. Otóż po wpisaniu loginu i hasła do bankowości przez ofiarę, ofierze pokazuje się fałszywy ekran potwierdzenia płatności wymagający wpisania jednorazowego kodu. I ofiara ten kod dostaje (zazwyczaj SMS-em), więc wszystko przebiega jak w trakcie normalnej transakcji. A to dlatego, że zaraz po zalogowaniu się ofiary na stronie oszusta, oszust widzi i ręcznie kopiuje do prawdziwego banku login i hasło klienta (loguje się na jego konto).

Po zalogowaniu oszust ma kilka możliwości okradzenia ofiary:

  • Zleca przelew na inny rachunek i na wyższą kwotę. Ofiara dostaje wtedy SMS-a autoryzującego przelew, ale na wyższą kwotę.
  • Definiuje odbiorcę zaufanego. Ta operacja też wymaga potwierdzenia operacji kodem jednorazowym. Ten kod jest przesyłany na telefon ofiary i jeśli ofiara nie zauważy opisu transakcji w SMS-ie (że nie jest to potwierdzenie zlecanego przelewu a dodawanie zaufanego odbiorcy), to niestety straci wszystkie środki — zostaną one już bez konieczności dalszej autoryzacji kodem jednorazowym wytransferowane w najbliższych minutach.
  • Wyprowadza środki w inny, charakterystyczny dla danego banku sposób (niektóre z banków pozwalają na niewymagające autoryzacji przelewy do pewnych usług. Ofiara traci pieniądze, a przestępca “po drugiej stronie usługi” je odbiera).

 

Nowy GMail ostrzega przed atakami

Jeśli korzsytacie z GMaila, warto przełączyć się na jego nowy interface. Ostrzeżenia przed e-mailami zawierającymi złośliwe URL-e na nowym interface są o wiele wyraźniejsze:

Zalogowałem na fałszywej stronie banku — co robić, jak żyć?

Jeśli zalogowałeś się na fałszywej stronie banku, jak najszybciej zadzwoń na infolinię zgłoś to bankowi. W trakcie oczekiwania na połączenie z konsultantem

  1. zmień hasło do konta (i każdego innego miejsca, w którym miałeś takie samo hasło)
  2. przejrzyj historię transakcji pod kątem przelewów, których nie zleciłeś (sprawdź także przelewy “oczekujące na zrealizowanie”/”operacje planowane”, które mogą nie być widoczne w historii rachunku).
  3. przejrzyj odbiorców zaufanych i zweryfikuj czy numery kont, które dla nich zdefiniowałeś są poprawne (mogły zostać podmienione)
    zastanów się jakie dane Twój bank ujawnia na Twój temat po zalogowaniu (np. historię transakcji, ostatnie 4 cyfry karty płatniczej?) i oceń, czy ta wiedza w czyichś rękach może być problemem. Przykładowo znajomość 4 ostatnich cyfr karty płatniczej, może oszustowi posłużyć do zresetowania dostępu do np. Twojego konta Apple lub Amazon (jeśli miałeś tam tę kartę podpiętą).

 

Przekrętów okradających Polaków w sieci jest więcej

Oszustwo na kuriera to tylko jeden z obecnie wykorzystywanych przez polskich złodziejów numerów, który wykorzystują do okradania Polaków. Niestety, sposobów na które możesz stracić pieniądze (albo dane) jest więcej. Zebraliśmy je wszystkie w 3 godzinny wykład, z którym w najbliższych dniach odwiedzimy:

Wpadnij i zobacz na czym polegają te ataki oraz dowiedz się jak najlepiej zabezpieczyć przed cyberprzestępcami swoje pieniądze, dane oraz najbliższych. Miejsce na wykład możesz zarezerwować klikając tutaj.

Przeczytaj także:

58 komentarzy

Dodaj komentarz
  1. [quoute]oszust widzi i ręcznie kopiuje do prawdziwego banku login i hasło klienta (loguje się na jego konto).[/quote]

    po czym wnioskujecie że proces ten jest ręczny? zrobienie tego automatycznie to chyba nie jest jakiś wielki wyczyn?

    • Zrobienie tego automatycznie to nie jest wielki wyczyn, ale jest to dużo pracy. Taniej po prostu przy tym siedzieć niż tygodniami pisać narzędzia do automatyzacji, które staną się bezużyteczne, gdy bank pozmienia coś na front-endzie (nawet niezauważalne dla użytkownika zmiany mogą zupełnie wywalić roboty). Zwłaszcza że przeprowadzając atak na żywo widzisz czy jest co kraść, czy lepiej szukać nowego jelenia.

  2. Millenium podczas logowania prosi domyślnie o podanie trzech losowych cyfr numeru PESEL (domyślnie jest to numer PESEL). Czy oszust jest w stanie to przeskoczyć? Chyba, że prosi o podanie całego numeru, co powinno już chyba ludziom wydać się podejrzane.

    • Jest w stanie, bo złodziej powtarza ofierze dokładnie to co widzi na oryginalnej stronie banku.

    • @Piotr Konieczny
      Ale to musi bardzo szybko powtarzać, niemal w czasie rzeczywistym. Bo ofiara chyba nie będzie czekała kilka minut aż się “załaduje” strona banku bo w tym czasie oszust musi sprawdzić o które cyfry PESEL-u (lub znaki hasła maskowanego) w danej chwili pyta bank i odpowiednio ustawić stronę dla ofiary. No chyba, że oszust jednak korzysta z automatu.

    • Nie wiem czy tak robią, ale mogliby to stosunkowo łatwo obejść. Wystarczy, że pokażą stronę pośrednią typu “proszę czekać na przekierowanie” i obsługujący to złodziej wchodzi na stronę banku, patrzy jakie pola ma do wpisania, zaznacza to szybko u siebie by system odtworzył to u okradanego i dopiero wtedy jest przekierowanie u okradanego na ekran mający dokładnie te znaki do wpisania, co potrzeba. Oczekiwanie typu kilku czy kilkunastu sekund nie wzbudzi dużych podejrzeń, a to możliwe do zrobienia – jeśli np. ma pół-automat (wystarczy skrypt w JS wrzucany z konsoli developer tools lub Greasemonkey, który sprawdzi pola i wyśle request do serwera złodzieja, nic bardzo skomplikowanego).

  3. W co najmniej dwóch z banków na zrzucie ekranu podaje się tylko wybrane znaki z hasła. Jak oszust to chce obejść? Wymuszając wielokrotne logowanie, że niby podano nieprawidłowe hasło, czy strona ma zmienione okno i pokazuje wszystkie pola hasła.

    • To jest atak typu Man in the middle. Atakujący widzi o co pyta bank i przekazuje to pytanie ofierze. Następnie odpowiedź ofiary przekazuje bankowi jako swoją.

    • @AG
      Ale w takim razie podróbka strony danego banku musi być generowana przez oszusta w czasie rzeczywistym.

    • Zawsze może wymagać podania wszystkich pól w haśle maskowanym. Skoro ofiara nie sprawdziła paska adresu, to konieczność podania wszystkich znaków też może nie wzbudzić jej czujności.

    • To akurat można zautomatyzować. Zazwyczaj wybrane znaki z hasła/peselu/paszportu bank prosi na kolejnej stronie po podaniu identyfikatora.

      A więc po wysłaniu identyfikatora przez ofiarę leci ona na serwer, gdzie jest on wpisany przez bota na prawdziwej stronie banku. Bot dostaje wtedy stronę z zapytaniem o wybrane znaki hasła, po czym generuje fejkową stronę z zapytaniem o te same znaki hasła.

    • Bot może otwierać prawdziwą stronę banku już w momencie gdy ofiara otwiera link w mailu. Wtedy generuje podrobioną stronę z prawdziwym challengem, która czeka na ofiarę. Chyba że w jakimś banku to jest coś w rodzaju login hasło , ale wtedy opóźnienie jest mniej podejrzane.

    • Miało być login ENTER hasło ENTER.

    • formularz logowania może pobierać serwer i odsyłać klientowi, atakującemu wystarczy tylko notyfikacja z loginem i hasłem – tu wszystko poleci natychmiastowo, oczekiwanie jest tylko na sms-a (złodziej musi się zalogować i wykonać transakcje)

  4. No to w takich sytuacjach należy podawać nieprawdziwe dane do konta w banku, zły numer klienta i wymyślone hasło. W prawdziwym banku się nikt nie zaloguje, w nieprawdziwym to przejdzie, jestem ciekaw miny tego Pana z drugiej strony, jak będzie się próbował zalogować na nasze konto i niestety nie będzie mógł nam wysłać wiadomości z kodem do wpisania :)

    ps. I własnej miny, że nagle mamy dostęp do wszystkich kont w banku, haha :D

    • Jak będziesz podawał złe informacje to gość też nie zaloguje się do banku i taką informację ci wyświetli. W końcu będziesz musiał podać prawdziwe dane rzeczywiście chcąc zapłacić za przesyłkę.

  5. Myślę, że to dobra praktyka jak ktoś jest nieuważny, przecież jasne jest, że po wpisaniu złych danych i wejściu do środka serwisu, wszystko już będzie jasne, a jak się nie uda, wtedy to już inna historia – po sprawdzeniu, że jesteśmy we właściwym, prawdziwym banku, można się normalnie logować…

    Najlepiej omijać takie sposoby płatności w nieznanych miejscach w necie, płacić kartą, albo wcale…

  6. Redakcjo, wiecie jak przechowywane są hasła do interfejsów bankowych wymagających podania konkretnych liter hasła, jak np. w ING? Napisałem do nich wiadomość w tym temacie i nie chcieli udzielić mi informacji. Jedyna możliwość, jaką widzę to zaszyfrowanie z kluczem dostępnym gdzieś po stronie banku i odszyfrowywanie do plaintext za każdym razem, gdy się loguję, żeby potwierdzić konkretne znaki.

  7. A co na to odpowiednie służby teoretycznego państwa? Przecież pieniądze z tego wałka wpływają na konkretne konto w konkretnym banku?

    • Pewnie po drodze są słupy. Można ich złapać, ale oni pieniędzy nie oddadzą, bo sami ich już nie mają.

    • Słupy? A to spoko, skoro nic się nie da zrobić

  8. Nie rozumiem, ogłoszenie jest na olx od 3 dni, czy portal nie jest w stanie go zablokować? Nie wierzę, że nikt tego nie zgłosił, zresztą widać po ilości odwiedzin, że jest ono popularne.

  9. Ze skreenów widać że strona złodzieja rząda całego hasła. Mając to to chyba juz łatwiej je ciągle używac.
    Dziekuję za artykół, teraz to trzeba się cały czas edukować. Pozdrawiam

    • Tak – edukować. Z ortografii szczególnie.

  10. Jeśli ma się taką możliwość to polecam korzystać z Blika.

    • No nie, jedynie karta. Blik fajny i wygodny ale w przeciwieństwie do karty nie ma możliwości charge backup.

  11. hasło maskowane do banku właściwie wyklucza ten atak.

    • eh a właściwie nie. Jeśli strona włamywacza by wcześniej pobrała stronę logowania i pytanie o te same znaki zadała użytkownikowi.

  12. Przeglądarka nie zgłasza problemu z certyfikatem https? Ktoś jest w stanie to wyjaśnić?

    • Certyfikat jest dla strony włamywacza – pay24iv.com i jest poprawny.

    • Zeby certyfikat byl uznany za “poprawny” musialby byc zatwierdzony przez CA, a to nigdy by miejsca nie mialo w przypadku lewej witryny, kazda przegladarka potwierdza oryginalnosc z CA a certyfikatu nie da sie podrobic.

  13. “głównie dlatego, że taka “okazja” wyłącza im logiczne myślenie” pomyslec ze to normalne ze ktos oddaje sprawny rower, laptop, tv lub ekspress do kawy… np. w takiej australii

  14. Czy ta metoda zadziała przy korzystaniu z płatności Blik?
    Nie jest to najbezpieczniejszy sposób?

    • Blik wcale nie jest bezpieczny

  15. A tutaj oryginalne źródło zdjęcia.
    https://www.ebay.de/itm/372297141341?clk_rvr_id=1526358901686&rmvSB=true

  16. I nie ma na takie dziadostwo bata ? tylko informowanie ludzi żeby się nie dali nabrać ? a oszust działa nadal !

    • Można zgłosić do OLX, może zamkną konto, ale on za 10 minut będzie miał nowe.

  17. Jak mi ktoś kce coś dać i nie jest znajomym ani rodziną to zaczynam biec jak Forest Gump.

  18. ok. Złodziej zrobi jakiś przelew na czyjeś konto. To konto do kogoś należy i ta osoba jest do zidentyfikowania, bo już od jakiegoś czasu nie można otworzyć konta tylko przez internet (tj.bez wizyty kuriera). Policja powinna więc zidentyfikować i dotrzeć do tej osoby. Ok, ta osoba może nic nie mieć, ale kare poniesie. Nawet jeśli bedzie to kara w zawieszeniu, to dla takiej osoby jest to numer jednorazowy, bo następnym razem bedzie odsiadka. Skąd ci oszuści biorą osoby, które godzą się przyjmować takie przelewy? Czy istnieje nieprzebrane grono ludzi głupich/bezdomnych itp?

    • Kilka lat temu zgłosiłem oszustwo – sprzedaż Windows i Office przez niby partnera Microsoft poprzez przysłanie niepełnego klucza. Przez dwa lata czekałem na pismo, że muszą poszukać nowego biegłego bo wybrany okazał się wcześniej lekarzem psychiatrą przestępcy. Minęło już chyba 4 lata. Ostatnio sprawę wznowiono bo go znaleźli. Sklep działał z 3 lata cały czas… psychiczny ma firmę w CEIDG. Więc o czym ty piszesz?

  19. A co w wypadku dwuetapowego uwierzytelnienia na stronie banku ?

    • Jak opisane w artykule: dostajesz SMS’a jak zwykle, ale z nietypową treścią. 99% przekrętów czyszczących konta wymaga głównie jednej rzeczy: braku czytania sms’ów z kodami ;-)

  20. ja widzę tylko jedną możliwość dla nie rozgarniętych (nie technicznych) userów.
    Prosić o numer konta i płacić na poczcie.

  21. Kwota też jest w smsie! To jak ktoś nie czyta to głupi

  22. To już kolejny przypadek wyłudzania środków z kont bankowych na stronach Niebezpiecznika. Czy Niebiezpiecznik w takim przypadku robi coś więcej oprócz zamieszczania sekcji ‘jak żyć?’ Zgłaszacie to na policję, odpowiednie służby ? Bo z każdego artykuły wynika, że ktoś te pieniądze kradnie..i w zasadzie jest bezkarny.

    • ▌▌„To już kolejny przypadek wyłudzania środków z kont bankowych na stronach Niebezpiecznika. Czy Niebiezpiecznik w takim przypadku robi coś więcej oprócz zamieszczania sekcji ‘jak żyć?’”

      Jasne, że robi.

      Wpina się do krajowych sieci teleinformatycznych i odwrotną inżynierią namierza, skąd napłynęło fakowe ogłoszenie, a wówczas rusza w teren. Tam Niebezpiecznik ogłasza: — „Kładę areszt na tę dzielnicę!” i przesłuchuje świadków do czasu, póki nie wykryje sprawcy. Wówczas ogłasza wyrok i natychmiast go wykonuje — może ruszyć do następnego zadania, gdzie ktoś czeka na pomoc.

  23. Wg. mnie powinien postać przepis obciążający odpowiedzialnością bank który założył konto “podstawionej” osobie. Wg. mnie to kpina aby wystarczyło kilka numerków i jakiś bazgroł.

  24. na wielu stronach/aplikacjach typu Steam, czy gmail dostaje sie najpierw email ze ktos probowal sie dostac na twoje konto z innego komputera. Czy banki nie moga zrobic czegos podobnego? Wtedy jesli ktos by sie probowal zalogowac z innego kompa ktora nie autoryzowałam, dostane o tym informacje(mail)?

  25. W artykule zabrakło jednego szczegółu, o którym może nie wszyscy wiedzą. W ostatnich miesiącach można było zaobserwować, że najpewniej ci, co tak charytatywnie oddają przedmioty za darmo w zamian za opłatę za kuriera, korzystają z “pożyczonych” adresów IP. Widać to po znacznie zwiększonej ilości żądań z prokuratur, policji itp.

  26. No w zasadzie gdzieś już o tym było. Ale teraz skojarzyłem inną akcję. Żona od jakiegoś czasu chciała oddać moje stare koszule. Takie co już nie noszę, a jeszcze są “wearable”. No i nie chciała ich wrzucić do pojemników z odzieżą używaną bo to potem do lumpeksów na handel idzie. A Caritasu nie ma w pobliżu (chyba normalnie w całym Poz nie ma), więc chciała oddać na olx. Wystawiła ogłoszenie i około 5 pierwszych osób, które się odezwało urwało kontakt po pierwszej wiadomości. Każda osób chciała koszule, ale jak dostali adres i godzine kiedy mają być to nikt się nie pojawił ani nie odezwał. Dopiero gdy za 6 razem mi powiedziała od razu zabroniłem jej więcej podawać naszego adresu obcym botom. 6 raz umówiła się pod żabką na naszym osiedlu i wiecie co? kontakt też się urwał. I już się bałem, że ktoś ukradł nasze dane (mieliby już nr tel, adres i potencjalna godzinę gdy bywamy w domu – w sumie umawiali sie 6 razy). Ale teraz sobie myślę, że to Wy gagatki :) Niebezpiecznik – możecie mi potwierdzić, że to Wy chcieliście te koszule? Koszul już nie mam, wywaliłem do śmieci po tym wszystkim, ale przynajmniej wiedział bym że moje dane w dobry rękach…

  27. Nie to że okazja wyłącza u nas logiczne myślenie, tylko budzi się w nas prawdziwy JANUSZ

  28. “niektóre z banków pozwalają na niewymagające autoryzacji przelewy do pewnych usług”

    Które z banków mają takie dziury? Czy mbank też to ma?

  29. nostop pisze te ogszenia

  30. Właśnie dlatego, że przelewy zdefiniowane latają bez żadnej kontroli to nie mam żadnego takiego u siebie. Dla mnie każda transakcja powinna iść kodem jednorazowym i nic poza moimi plecami. A nuż jakiś błąd w banku spowoduje możliwość zmiany celu przelewu zdefiniowanego bez autoryzacji?

  31. Proste zapisy w prawie:

    – bank odpowiada za weryfikację nazwy odbiorcy
    tak kiedyś już było i banki skutecznie wywalczyły zmiany
    tym niemniej to banki mają możliwość weryfikacji tych danych

    – współodpowiedzialność prawna za przelewy przyjmowane na konto słupa
    kłania się tu naruszenie polityki AML i jest to odpowiedzialność banku aby zweryfikować klienta

    Dla swoich potrzeb stosuję – i sugeruję innym tę drogę:
    dla każdego nowego partnera – weryfikuję numer konta bankowego poprzez:

    1. przelew X gr na konto partnera – weryfikuję czy numer konta nie został podmieniony po mojej stronie

    2. żadam przelewu zwrotnego – weryfikuję czy konto jest kontem prywatnym, firmowym czy też jest to konto żony z którą potencjalny partner ma “separację financową”

    i tyle w temacie dźungli

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: