Etsy zablokowało Ci konto? Z kontem jest ok – to oszuści!
Korzystaliście kiedyś z Etsy? Jeśli nie, jest to „amerykański serwis internetowy o zasięgu międzynarodowym, umożliwiający dokonywanie sprzedaży i zakupów wyrobów wykonywanych w sposób tradycyjny i rzemieślniczy” (Wikipedia). Wygląda na to, że jego popularność w Polsce rośnie, bowiem CERT Orange Polska zaobserwował pierwsze spore oszustwo z podszyciem właśnie pod ten serwis.
W opisywanym przypadku mamy do czynienia z dość specyficzną kampanią, bowiem wektorem ataku nie jest SMS, czy e-mail, ale wewnętrzna poczta Etsy.
Brzmi dramatycznie? Tak ma być, praktycznie w każdym poradniku, dotyczącym zapobiegania phishingowi, przeczytacie o tym, że oszust przede wszystkim chce wzbudzić emocje.
Mój sklep na Etsy został zablokowany?
No to sami przyznacie, że tutaj emocji nie brakuje. Każdy, kto dostanie taką wiadomość, natychmiast w nią kliknie. I co tam zobaczy?
A dokładniej to:
I to jest ten moment, w którym należy się zatrzymać, uspokoić emocje i zastanowić. Nad przynajmniej kilkoma sprawami.
W przypadku wewnętrznej poczty Etsy, wiadomości od właściciela serwisu lądują w przeznaczonym dla nich folderze:
Tymczasem w opisywanym przypadku trafiły do grupy „Wszystkie”.
Druga kwestia to zastanowienie się, czy naprawdę mogliśmy czymś podpaść Etsy? Tego typu oszustwa w początkowym etapie bazują na Zasadzie Króla Juliana („Szybko, zanim do nad dotrze, że to bez sensu!”). Więc już samo poświęcenie chwili na przemyślenie sensu otrzymania tego typu wiadomości znacząco zmniejsza szanse na to, że damy się oszukać.
I największa póki co czerwona flaga. Domena verify-protect[.]com, która już na pierwszy rzut oka z daleka wygląda na oszustwo, choćby ze względu na brak Etsy w adresie. Co ciekawe, na tym samym IP znajdziemy również domenę etsy-com.info944.com, a obecne na niej treści dowodzą, iż oszuści wysyłają kampanie również na internautów z Indii.
W drugiej zaobserwowanej wersji w wiadomości ofiara znajdowała plik PDF. W kolejnych krokach sytuacja wyglądała jednak bliźniaczo.
Wiemy już więc, że sklep niedoszłej ofiary nie został zablokowany. Co by się jednak stało, gdyby kliknęła?
Szykuj swoją kartę…
…za chwilę będzie pusta. Gra na wyczyszczenia do pełna limitów karty płatniczej to zdecydowanie najpopularniejszy modus operandi tego typu scamów. Oszuści socjotechnicznymi sztuczkami starają się przekonać odbiorcę maila, że podanie szczegółowych danych karty to sposób na weryfikację konta:
Pierwsza próba wpisania danych karty:
kończy się dodatkowym monitem:
okazuje się bowiem, że przestępcy są na tyle bezczelni, że uprzejmie pytają o limit karty/kwotę na koncie bankowym. Oficjalnie dlatego, by być pewnym wyników weryfikacji. A tak naprawdę – po prostu chcą wiedzieć, czy w ogóle warto poświęcać na nas czas.
Przy widocznym z boku oknie czatu faktycznie siedzi na bieżąco operator. Zaobserwowaliśmy jednak ciekawą różnicę w porównaniu do przestępców, parających się oszustwami na fałszywe inwestycje. Oni, gdy dowiedzą się, że ofiara przejrzała ich podstęp, bardzo często uciekają do mocno wulgarnych interakcji. Nasz rozmówca wydawał się być spokojny, nie przejmując się tym, że jego podstęp został przejrzany.
Kto powinien uważać?
Co do zasady na phishing wszyscy, jednak w opisywanym przypadku wydaje się, iż oszuści skupiają się na nowo zakładanych kontach. Wiele wskazuje na to, iż mamy do czynienia z web scrapingiem lub innym rodzajem monitoringu bazy Etsy. Niewykluczone jednak, że celem tego ataku mogą być – teraz lub przy następnej kampanii – również doświadczeni użytkownicy, korzystający z serwisu.
Ale przede wszystkim pamiętaj – jeśli gdziekolwiek wpisujesz dane swojej karty płatniczej, upewnij się, czy jest to odpowiednie miejsce! Przede wszystkim będzie to witryna banku, czy strony znanych sklepów. Jeśli masz jakiekolwiek wątpliwości – sprawdź szczegółowo adres w pasku przeglądarki, a najlepiej skontaktuj się z dostawcą/właścicielem usługi. Tylko nie przez opcję „Support chat”. W opisywanym przypadku trzeba po prostu ręcznie wpisać adres strony Etsy i tam skontaktować się ze wsparciem.
