Darmowy bilet na komunikację miejską? To nowy pomysł oszustów
Mieszkasz w Radomiu? A może w Rzeszowie? W ostatnich dniach to mieszkańcy tych miast mogli dowiedzieć się, że – w sam raz na powrót do pracy – mogą zdobyć darmowy bilet na komunikację zbiorową. Tylko, że takie „promocje” nie istnieją. To oszustwo.
O phishingowej kampanii podszywającej się pod ZTM Rzeszów mówiło w niedzielnych wiadomościach Radio Zet. „Wersja radomska” trafiła natomiast bezpośrednio do CERT Orange Polska i to jej się poniżej przyjrzymy nieco bardziej szczegółowo. Co ciekawe, jakiś czas temu spotkaliśmy się również z podszyciem pod stołeczne WTP, jednak tamta kampania akurat przeszła bez echa.
Darmowy bilet z facebookowej reklamy
Wektorem ataku jest spotykany w ostatnich miesiącach niemal w stu procentach przypadków Facebook. A dokładniej – wykupowane przez oszustów na potęgę reklamy, podszywające się pod istniejące firmy, czy jednostki samorządowe. Czemu wciąż pojawiają się ich zapewne tysiące, mimo rozbudowanych mechanizmów kontrolnych, funkcjonujących u socialmediowego giganta? Odpowiedź na to pytanie pozostawiam Wam…
Wróćmy jednak do fałszywej reklamy, która wygląda tak:
W zasadzie niemal wszystko wygląda dobrze (jak to zazwyczaj w przypadku takich oszustw). Kluczem jest jednak słowo „niemal”. Bo o ile zdjęcia autobusów, karta, czy nawet nazwa strony – to wszystko może przekonać do kliknięcia. Co jest nie tak?
Oczywiście docelowa domena, która nie tylko z Radomiem, czy z komunikacją miejską, ale nawet z Polską nic wspólnego nie ma.
(prawie jak) Radomska Karta Miejska
Czy raczej „Karta Miejska Radom”, czy też „Karta Radom” bowiem te nazwy powtarzają się na docelowej stronie.
Oczywiście gdyby się (nieprzesadnie) uprzeć, można by zauważyć niedociągnięcia stylistyczne. Nawet sporo. Jednak jeśli w nadziei na darmowy bilet ktoś dochodzi do tego miejsca, sporo rzeczy może umknąć jego uwadze.
W kolejnym kroku już tylko wypełnienie nie budzącego podejrzeń formularza:
i to, co tygrysy z Ciemnej Strony Mocy lubią najbardziej – płatność „za dostawę” (kto zwrócił uwagę na totalnie niepasujące „also 9,5 zł”?
I tu robi się już wyjątkowo ciekawie. Nagle pojawia się strona nexusempower[.]com, identyfikator promocji (?) „polandtefal”, identyfikator firmy współpracującej (affId), no i kwota podana w… euro. Schemat wskazuje na sklep, który w zamian za zapis na „okres próbny” swojej usługi – i następnie przedłużenie za znacznie większą kwotę – płaci oszustom prowizję. To jednak wersja optymistyczna. Domena została bowiem zarejestrowana 15 dni temu, zaś w rubrykach, dotyczących informacji o właścicielu widzimy wyłącznie „Redacted for privacy”. A to może oznaczać, że nie stracimy tylko 2,35€ (a następnie – po 3, czy 7 dniach – często nawet równowartości kilkuset złotych). Jeśli „sklepem” zarządzają również złodzieje i trafi do nich numer naszej karty… Będą mogli zrobić z nią wszystko. Np. kupić darmowy bilet. Sobie.
Co robić?
A raczej czego… nie robić. Nie wierzyć takim ofertom! Z założenia nie ufać Facebookowym reklamom. A poza tym sprawdzać – o czym piszemy wszędzie gdzie się da – adresy stron, szczególnie gdy mamy komuś zapłacić pieniądze.
Sieciowi oszuści to niestety eksperci w zakresie trendów. Kończą się wakacje, ludzie wracają do domów, przypominają sobie, że trzeba wykupić bilety miesięczne… A złodzieje już czekają. Nie dajcie się oszukać.