20:32
7/1/2019

Otrzymujemy sygnały, że na numery telefonów osób, które robiły zakupy w sklepie yourkaya.com przychodzą SMS-y proszące od opłatę 1 PLN do kosztów przesyłki. Jest to kolejny wariant ataku, który po raz pierwszy opisywaliśmy tutaj. Co więcej, zgłaszające się do nas ofiary twierdzą, że zakupy w sklepie yourkaya.com robiły zaledwie kilka godzin temu, co sugeruje, że atakujący ma wgląd w historię zamówień. Czyżby powtórka sytuacji, jaka dotknęła sklep Morele.net, z którego wykradziono dane klientów i używano przez tygodnie używano do oszustw?

SMS od YOURKAYA.COM

Fałszywy SMS wygląda tak:

Twoja przesylka pod wskazany adres jest drozsza, prosimy o dopłątę (1 PLN). Brak wplaty oznacza anulowanie zamowienia http://bit[.]ly/2RcN9hq

Co kryje się pod linkiem, pewnie zgadujecie. Wszyscy, chórem: fałszywy panel DotPay:

Panel hostowany jest pod założoną 2 dni temu domeną:

https://dhl24[.]org/

kupiona najprawdopodobniej poprzez serwis domains4bitcoins.com i hostowaną na serwerze schowanym za usługą CloudFlare, “maskującą” prawdziwy IP.

Na czym polega atak?

Jeśli ofiara nie zauważy, że strona pośrednika płatności DotPay jest fałszywa i zdecyduje się opłacić “dodatkowe koszty przesyłki” klikając na ikonę swojego banku, to przekaże dane logowania do swojego banku atakującemu. Bo choć strona logowania do banku wygląda jak prawdziwa, to jest hostowana w domenie dhl24.org a nie domenie banku (i nie ma znaczenia, że przed adresem jest HTTPS i “zielona kłódka”):

Po podaniu danych, przestępca loguje się do banku w imieniu ofiary i okrada konto, najczęściej poprzez ustanowienie odbiorcy zaufanego. Ofiarze zaś pokazuje formularz przelewu na 1 PLN i prośbę o wprowadzenie kodu z SMS-a. Ofiara SMS-a dostanie, ale z reguły (i to właśnie jest punkt kulminacyjny ataku) na skutek rutyny nie przeczyta go dokładnie. Gdyby przeczytała, zauważyłaby że SMS nie dotyczy transakcji przelewu 1 PLN, a ustanowienia nowego odbiorcy zaufanego. Przepisanie przez ofiarę kodu z SMS-a do formularza przelewu na stronie przestępcy spowoduje, że ten będzie w stanie dodać “zaufanego odbiorcę” do rachunku ofiary i przez przelewy do zaufanego odbiorcy, które nie wymagają potwierdzania kodem z SMS, wytransferuje całość środków z konta ofiary.

Krok po kroku ten atak, wraz z wizualizacją każdego z etapów opisaliśmy w artykule pt. “Uwaga na SMS-y proszące o dopłatę 1 PLN“. Tam też przekazaliśmy zestaw porad, które wdrożyć powinien każdy, już teraz — pomogą one w przypadku gdybyście w przyszłości przez jakieś zaćmienie umysłowe stali się ofiarami podobnego ataku — wtedy złodziejowi nie uda się Was okraść.

Ile ofiar z tego będzie?

Wedle naszych ustaleń, atak zaczął się dziś koło godz. 15:00. Do tej pory na stronę atakującego przeszło “zaledwie” kilkaset osób. Ponieważ jednak atak najwyraźniej dotyczy klientek, które dopiero co robiły zakupy w sklepie, spodziewamy się, że — niestety — “konwersja” atakującego będzie wysoka. Jak pisze jedna z klientek sklepu YOURKAYA (która jednak nie dała się nabrać, bo regularnie czyta Niebezpiecznika):

taki sms przyszedł do mnie kilka godzin po tym, jak złożyłam zamówienie w sklepie, który nie jest tak popularny

Ale te kilkaset ofiar, w które wymierzony był SMS to może być dopiero początek. W przypadku włamania do Morele, na początku także SMS-y dostawała niewielka grupa klientów. Potem, po wykryciu dziury i jej załataniu, atakujący zaczął “monetyzować” ofiary inaczej niż SMS-ami. Próbował włamywać się na ich konta w innych serwisach (bo ofiary miały to samo hasło do sklepu co do innych, ważniejszych kont, np. Allegro czy PayPal) a także najprawdopodobniej sprzedał bazę e-maili spamerom, bo niektóre z ofiar, na e-maila podanego tylko serwisowi Morele otrzymały korespondencję niezwiązaną ze sklepem.

Czy to samo czeka klientki sklepu yourkaya i czy tu także doszło do włamania na serwer sklepu? Czas pokaże… Na razie, Sklep yourkaya tłumaczy się tak samo, jak na początku tłumaczyły się Morele — że atak, nie dotyczy ich, a firm kurierskich… W Morele, jak wiemy, okazało się to nieprawdą, co nie jest żadnym zaskoczeniem, bo przy tak “wąskiej” nazwie nadawcy atakujący nie atakowałby przypadkowych numerów…


Aktualizacja 7.01.2019, 22:17
Skontaktował się z nami przedstawiciel sklepu, który poinformował nas, że wedle wiedzy sklepu, wiadomości otrzymały nie tylko klientki, które robiły zakupy dziś, ale także takie, które zakupów dokonały w minionych tygodniach. Według Sklepu oznacza to, że atakujący nie ma dostępu do historii zamówień… Naszym zdaniem jedno nie przeczy drugiemu.

Atak nie dotyczył tylko klientek, które właśnie robiły zakupy na naszej stronie – wygląda na to, że był to niefortunny zbieg okoliczności. Sms-y otrzymały również osoby, które złożyły zamówienie na naszej stronie nawet kilka / kilkanaście tygodni temu, np. w listopadzie, więc ewidentnie przeprowadzający atak nie ma dostępu do historii zamówień i działał mniej lub bardziej losowo. Na ten moment ok. 40 osób potwierdziło nam, że otrzymało fejkowego sms-a.

Wedle naszych ustaleń, ponad 200 osób skorzystało z linka, który był umieszczony w SMS-ie. Jeśli otrzymałaś takiego SMS-a, daj znam znać w komentarzach albo e-mailowo.

Ten przekręt z dopłatą na 1 PLN to tylko jeden z przykładów z oszustw w internecie, jakimi przestępcy obecnie atakują Polaków. Niestety inne “scamy” są bardziej wiarygodne i zbierają niemałe żniwo. Polacy tracą przez nie tysiące złotych. O wszystkich aktualnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?

Wykład prostym językiem mówi o tym na naprawdę trzeba uważać korzystając z internetu na komputerze i smartfonie oraz pokazuje jak za pomocą darmowych aplikacji znacząco podnieść swoje bezpieczeństwo. Zrozumie nas każdy, nawet osoby nietechniczne — zarówno Wasi rodzice jak i dziadkowie. Co więcej, gwarantujemy opad szczeny, bo w trakcie wykładu na żywo pokazujemy demonstracje ataków — od fałszowania e-maili, wysyłania podrobionych SMS-ów aż do podglądania ludzi przez kamerkę i podsłuchiwania telefonów.

W roku 2018 zrealizowaliśmy 15 takich wykładów w 8 miastach i przeszkoliliśmy 2,5 tysiąca osób, które oceniły wykład na 9.3/10 i w większości zostawiły komentarz, że “wszystko im się podobało” to “najlepszy wykład na jakim byli w całym swoim życiu” z czego jesteśmy bardzo dumni! W roku 2019 będziemy w tych miastach (kolejność alfabetyczna):

Wejściówki można kupić tutaj. Świetnie nadają się na różne prezenty :)

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Wyjaśnijcie, albo sprawdźcie dlaczego po zakupie biletów na pociąg na skrzynki mailowe nagle zaczyna przychodzić SPAM. Dwa razy kupowałem bilet ONLINE i dwa razy miałem zalew skrzynki przez SPAM. Całe szczęście nie tam nie podawałem numeru telefonu.

  2. ALE JAG TO HTTPS I KŁUTKA NIE ZNACZOM, ŻE TO BESPIECZNE? :D
    Wychodzi bezczelność działów PR – widać gołym okiem, że schemat jest dokładnie taki sam jak przy morele, ale nadal będziemy upierać się przy swoim i odwlekać w czasie konieczność poinformowania użytkowników o wycieku…
    To tylko nasze polskie, czy zagranica też tak się zachowuje?

  3. Hmm, ja bym jednak obstawiał, że ktoś korzysta z bazy tego sklepu.

    Przyznam się, że podczas ataku podszywającego się pod morele prawie do końca uważałem za najprawdopodobniejszy scenariusz przechwytywanie danych podczas przekazywania do kuriera. Ale jak czas pokazał, byłem w błędzie i wyciekła baza.

    Jak widać, nawet admin może się pomylić, gdy opiera się na przeczuciu i objawach zewnętrznych, a nie – solidnej analizie rzeczywistych śladów (logów, procedur, itp).

    Co za tym idzie, namawiałbym szefostwo opisanego sklepu na zrobienie porządnego audytu bezpieczeństwa + analizy incydentu, bez nadmiernych założeń wstępnych.

    • Audyt bezpieczeństwa, analiza incydentu? Chcesz, by szefostwo nie miało w tym miesiącu na waciki?

    • @CatLady

      ;D

  4. Macie nordVPN to zatrudnijcie studenciaka i niech wpisuje fałszywe dane. Crackerzy to zniechęci.

    • Może DDoS’a od razu?

  5. Wszystkie tego typu ataki na klientow sa identyczne: sms-> fejkowa domena-> odbiorca zaufany-> kasa znika.
    A co z samym wyciekiem danych? Czy tam tez mamy do czynienia z kompletnymi idiotyzmami jak zostawienie otwartego phpmyadmina albo zmiana database.php na database.php.bak czy moze cos bardziej wyrafinowanego?

  6. Skąd macie informacje o ilości odwiedzin tej strony?
    Sami ja założyliście?

    • Platforma do skracania linków bit.ly udostępnia funkcję podglądu statystyk – wystarczy odwiedzić link, ale z dodanym znakiem plusa na końcu, tutaj: ……/2RcN9hq+
      Tak samo zresztą działa (działał?) goo.gl – wszystkie linki i statystyki dostępne publicznie.

  7. Powtórzę się, bo widać bardzo wam zależy na moim mailu… Ja klientem sklepu nie jestem, a smsa dostałem

  8. Chciałem Was zrugać za seksistowski teskt :-) ale nie znam sklepu, wejdę zobaczę co tam sprzedają nim Was zrugam :-)
    ups :)

  9. W sumie trochę to dziwne, że banki w ogóle nie reagują… Przecież wystarczyło by zrobić podwójną autoryzację przy ‘zaufanych odbiorcach’ a już to by utrudniło działania złodziejom… Wystarczy przecież wysłać podwójnego SMSa z kodem lub dodatkowe potwierdzenie e-mailem – w dobie gdy mamy podpięte konta e-mail pod telefony to raczej nie problem dla użytkowników…

  10. Mogłyby też banki przyjąć zasadę, że zaufany może być dopiero od drugiej transakcji?

  11. Na screenie logo DPD w adresie DHL, od razu widać, że coś się nie trzyma kupy…

  12. neomediamax.net , mający już opinię fake-sklepu, przeszedł na opcję wysyłki za pobraniem. Po czym po kilku godzinach od złożenia zamówienia przechodzi sms od ‘paczkadhl’ (choć wybrałem kuriera DPD) z dokładnie tym samym linkiem do fejkowej strony płatności. Strona logowania banku, choć łudząco podobna do oryginału, to zapala lampkę w głowie, gdy prosi o podanie pełnego hasła do konta.

  13. Sklep stoi na Shoplo wiec wariant z podgladem zamowien prawdopodobny.

    • Czemu?

  14. To samo widzieliśmy z morelami. Gość na wykopie przechwalał się ze za jakiś czas zobaczymy nowe bazy danych.

    • Gdzie się przechwalał? Jakieś linki? Toż to zwykły smarkacz który crawluje w google :D

  15. “Co kryje się pod linkiem, pewnie zgadujecie. Wszyscy, chórem: fałszywy panel DotPay:”

    A co się kryje pod nadawcą SMSa?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.