hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
6 lipca 2021

Oszustwa na OLX – przykłady

Michał Rosiak

Phishing „na OLX”. Ciekawe ilu z Was dostało kiedyś wiadomość WhatsApp z propozycją wysłania rzekomo kupionego towaru? Wrzuciliśmy nawet ankietę na Twittera, może zdążycie odpowiedzieć? Zgodnie z zasadą „prawdziwy przykład jest lepszy, niż abstrakcyjny opis” przyjrzyjmy się trzem delikatnie różniącym się przykładom. Łączy je jedno – wszystkie niedoszłe ofiary zostały niedoszłymi dzięki temu, iż obroniła je dostępna wyłącznie w Orange Polska CyberTarcza.

Przykład 1 – Stolik do kawy i treść, której nie ma

Stolik do kawy wystawiony na OLX, podany – jak przy każdej ofercie – numer telefonu. Po chwil odzywa się „pani”. Zwróćmy uwagę na zdjęcie – młoda kobieta z uśmiechniętym dzieckiem budzi zaufanie.

Spójrzmy szczegółowo na powiększony fragment konwersacji. Jest szczególnie istotny, bowiem taka podstrona w serwisie inpost.pl… nie istnieje. Nie zmienia jednak faktu, że to kolejny czynnik budzenia zaufania – tym razem chodzi o treść bliźniaczo podobną do prawdziwej strony firmy.

No to druga seria wiadomości – adres pocztowy (to nie jest prawdziwy adres) i telefon nie są mu tak naprawdę potrzebne, ale podobnie jak poprzednie aspekty – budzą zaufanie, bo przecież kurier faktycznie zawsze potrzebuje takich danych. Potem już ofiara dostaje spreparowane potwierdzenie wpłaty i link do rzekomej wypłaty naszych pieniędzy na kartę. Co się dzieje, kiedy weń klikniemy?

Skąd różnica? Pierwszy zrzut ekranu to kliknięcie z telefonu w sieci Orange Polska, drugi zaś – w jednej z innych firm. Oszuści są już w pełni świadomi działania CyberTarczy i mają gotową odpowiedź (włącz WiFi). Swoją drogą, jeśli ofiara korzysta również z internetu stacjonarnego od nas, taka zmiana nie przyniesie efektu 🙂

Przykład 2 – Odbierz, szybko, za darmo

Ten sam stolik do kawy ale propozycja nieco inna. Tym razem kuponem zainteresowana jest młoda dama z artystyczną duszą.

W powyższym warto zwrócić uwagę na dwie rzeczy. Przede wszystkim nadawca ewidentnie używa skryptu, wklejając w odpowiednie miejsca czy to nazwę produktu, czy miejscowości, w której rzekomo mieszka. Widać to zarówno w sztampowości wypowiedzi, jak i niedostosowaniu gramatycznym przypadków. Dodatkowo, poza przedstawieniem i pytaniem, nadawca wyłącznie wkleja obrazki lub linki. Przyjrzyjmy się szczegółowo jednemu z nich:

W treści klasyczne socjotechniczne „haki”: masz 24 godziny; odebrać środki; wszystkie opcje są bezpłatne. No i strzałka wbijająca się nam w oczy o tym, by koniecznie potwierdzić sprzedaż.

Kradzież pieniędzy z karty akurat dla tego oszustwa to trochę za mało, dlatego w kolejnym kroku prosi jeszcze o podanie naszego adresu, daty urodzenia i numeru rachunku bankowego. Podobnie jak w poprzednim przypadku pisaliśmy o stronie Inpostu – w serwisie OLX też nie ma takich stron.

I ostateczne kliknięcie w link też kończy się tak samo (jeśli nie mamy ochrony, strona wygląda tak jak poniżej, bliźniaczo przypominając prawdziwy OLX).

Przykład 3 – Nie mam czasu, daj się okraść i miejmy to z głowy!

Tutaj oszust nie bawi się nawet w zbytnie wstępy, przechodząc od razu do rzeczy. U nas akurat przynajmniej pomarańczową lampkę zapaliłoby to, że kupującą jest… Carina Solveig. No i znowu, niczym w holywoodzkich filmach (albo świecie polskich insta-celebrytek) na świecie są ludzie piękni, albo żadni.

Zastanawiające jest też, skąd w dwóch wypowiedziach oszusta wzięły się podwójne nawiasy ‘))’? Czyżby jakiś problem w przeklejaniu treści ze skryptu? Dodatkowo ciekawe, czy atakujący wiedział, że ma do czynienia z OLX’owym neofitą? Czy szukając okazji do ataku sprawcy zaglądają też w informację, kiedy powstało konto? To może być ciekawy i groźny dla początkujących sprzedających trop!

A na koniec oczywiście informacja, że kupujący już wpłacił, teraz piłka jest po naszej stronie:

Co robić?

Nasze systemy bezpieczeństwa uwijają się jak w ukropie, by utrudniać życie przestępcom. Coraz częściej nowe domeny do CyberTarczy trafiają zanim oszuści zdążą przeprowadzić atak. Oczywiście nie zapobiegniemy temu, by do Was napisali, jesteśmy jednak w stanie – jak było widać w pierwszym przykładzie – pokrzyżować im szyki, gdy wyślą do Was linka.

A co w innym przypadku? Pozostaje szukanie w sieci – choćby właśnie u nas – informacji o nowych pomysłach i schematach działania sieciowych oszustów. Dlatego prosimy – wyślijcie linka do tego tekstu swoim bliższym i dalszym znajomym. Naprawdę, ludzie wciąż się łapią na socjotechniczne sztuczki z ciemnej strony mocy. I Ty możesz przeszkodzić złodziejom, i Ty możesz zostać sieciowym Jedi!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

15 lipca 2025
W wakacje wypoczywaj (cyber)bezpiecznie
Dowiedz się więcej
9 lipca 2025
Użytkownicy Steam na celowniku – atak Browser-in-the-Browser
Dowiedz się więcej
1 lipca 2025
Nieistniejąca wyprzedaż w sklepie, którego nie ma
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance