Zaloguj się do usług
bezpieczeństwa
31 sierpnia 2022
Raport CERT Orange Polska 2021: Oszustwa na OLX, czyli nie kupuj przez WhatsApp!

Wszelkie znaki na niebie i ziemi wskazują, że kończą się wakacje, a te w naszych systemach - że przestępcy też już kończą wypoczynek i planują wrócić do aktywności na przedwakacyjnym poziomie. A skoro tak - my też wrócmy, ale do jednego z tekstów z Raportu CERT Orange Polska. Czemu łapiemy się na phishingi "na OLX" i co zrobić, by nie paść ofiarą oszusta? O tym pisze Michał Rosiak.


40 tysięcy złotych. Tyle dziennie potrafi zarobić oszust, wysyłający fałszywe oferty kupna do sprzedających na OLX. Skąd o tym wiemy? Stąd, że jeden z naszych kolegów zdołał przekonać osobę po drugiej stronie do takich wynurzeń. Do tej pory każdy przestępca, wiedząc, że ma do czynienia z researcherem, milczał, blokował rozmówcę lub nawet usuwał konto.

Dlaczego akurat WhatsApp?

Gdy tylko wystawimy cokolwiek w ulubionym serwisie nie tylko sprzedających, ale i oszustów, możemy być niemal pewni, że odezwie się do nas ktoś przez komunikator WhatsApp. Pewni tak bardzo, że parę razy wystawiając na wabia oferty dostawaliśmy w ciągu kwadransa kilka do kilkunastu pytań przez komunikator!

Czemu przez komunikator? Przede wszystkim dlatego, że to niezależny kanał komunikacji, niekontrolowany przez właściciela serwisu. Chcąc podszyć się pod kogoś w OLX (czy też rzadziej używanych przez oszustów Allegro Lokalnie, czy Vinted) musimy założyć konto, najlepiej przeprowadzić kilka transakcji, zebrać pozytywne opinie... A to wszystko po to, by jednej „transakcji” (albo nawet w jej trakcie) trafić na blokadę. Słaby interes. Przecież można założyć nawet przeszło 100 (czasami blisko 200) domen jednego dnia, a numery telefonów nie tak łatwo zablo... A nie, przecież one są zablokowane. Większość numerów z Orange Polska, którymi posiłkują się oszuści ma w naszych systemach już od dawna flagę „Fraud”. Odpowiedź na pytanie, jakim cudem można je wciąż wykorzystać, to jednak temat na zupełnie inną historię.

Schemat ataku „na OLX”

Wracając do samego ataku, najlepiej zacytować niedoszłą ofiarę, rzecznika Orange Polska, Wojtka Jabczyńskiego.

Sprzedawaliśmy łóżko na OLX i chwilę po wystawieniu ogłoszenia ktoś do nas napisał. Miałem mu wysłać łóżko do Sopotu, a on zapłaci. Link wysłał w zasadzie od razu, ale prosił też o numer karty płatniczej. Śmierdziało mi to, więc odezwałem się do naszego CERTu.

Skąd oszust wziął dane aukcji? Ich boty monitorują na bieżąco serwis, wyłapując przedmioty wystarczająco (ale też nieprzesadnie) drogie, ale też takie, które nie zmieszczą się do paczkomatu. To ostatnie to klucz. Gdyby towar mieścił się do paczkomatu, chyba każda z potencjalnych ofiar powiedziałaby, że wyśle paczkomatem. A tak – oszust może dobrodusznie zaproponować, że wysyłkę zorganizuje na swój koszt (magiczne słowo), kurierem.

 

Faktycznie, w InPost można zamówić takiego kuriera, ale prawdziwa strona wygląda inaczej. Nie ma na niej mowy o linku dla kupującego, gdzie musi wpisać dane karty, a screen rzekomej wpłaty jest oczywiście fałszywy.

W niektórych schematach mamy też do czynienia z nieco inną wersją:

 

Co się stanie, jeśli nie zorientujemy się, że coś jest nie tak? W kolejnych krokach pojawi się formularz do wpisania danych karty płatniczej. Wyjątkowo szczegółowych – z datą ważności i kodem CVC/CVV.

Faktycznie, tych wszystkich danych używamy przy zakupach w sieci. Ale zakupach – nie zwrotach. Autorowi zdarzyło się raz w życiu dostać zwrot pieniędzy na kartę, ale miało to miejsce przy oddawaniu przedmiotu w sklepie stacjonarnym. Wtedy nie spuszczałem z oka sprzedawcy, ten włożył kartę do terminala, a kwota pojawiła się na koncie następnego dnia.

Dlaczego tak wielu z nas łapie się na wydawać by się mogło proste oszustwo?

Tak duża liczba ofiar (40 tysięcy złotych u tylko jednego „operatora”!) dowodzi, że internauta dając się oszukać, to niestety nie taka rzadka sytuacja. A dlaczego tak się dzieje? To miks coraz bardziej wyrafinowanej socjotechniki oszustów i wciąż niefrasobliwości ofiar.

Warto zwrócić uwagę na drobne szczegóły, które składają się na to, że łatwiej nam zaufać napastnikowi.

 

Obrazki profilowe na kontach oszustów są niczym hollywoodzkie filmy (ewentualnie Instagram). Niemal w każdym przypadku są nich kobiety, nigdy nie trafiliśmy na taką, której nie dałoby się określić mianem „ładnej”. Jak wskazują badania, osobom odbieranym jako ładne podświadomie bardziej ufamy. A kiedy do tego na obrazku jest uroczy, bawiący się młodzieniec? Bingo!

Kolejna sprawa to sprzedawca, biorący na siebie załatwienie wszystkich formalności, a na dodatek biorący na siebie wysyłkę. Złoty człowiek po prostu! Co więcej, podkładane przez nich strony są praktycznie bliźniacze z oryginalnymi. A ponieważ mówimy o markach, które przez lata zyskały popularność i zaufanie Polaków, po raz kolejny podświadomie ufamy temu, co jest do nich podobne. To – co już opisywaliśmy kilkakrotnie w naszym Raporcie – cecha naszego mózgu, który w zalewie informacji bardzo wcześnie odsiewa to, co uzna za nieistotne.

Że nie wspomnimy o radości, że rzecz, którą wystawiliśmy, sprzedała się tak szybko i bez negocjacji.

Kto za tym stoi?

Przestępcy zza naszej wschodniej granicy, w zasadzie nie udało nam się znaleźć jakichkolwiek faktów, które by temu zaprzeczały. Począwszy od śladów infrastrukturalnych, skończywszy na… języku, którego używają. Jeśli uda się Wam sprowokować atakującego do rozmowy, choćby dając do zrozumienia, iż wiecie, że macie do czynienia z przekrętem, jego do tej pory niezła polszczyzna nagle „łapie” mnóstwo wschodnich naleciałości. Podobnie w przypadku, gdy sprowokujemy „konsultanta obsługi klienta”. Tak tak – spora część używanych przez oszustów narzędzi ma również funkcję czatu z „konsultantem”. Skąd zatem u nich całkiem niezła znajomość języka polskiego podczas normalnej rozmowy? Ano stąd:

Wygląda na to, że oszuści są zdania, iż nieuczciwych zarobków wystarczy dla wszystkich i na szeregu strony (my w ciągu godziny znaleźliśmy trzy) dzielą się wiedzą, publikując specyficzny rodzaj słownika rosyjsko-polskiego.

Nie ma problemu, jeśli ofiara działa według zaplanowanego skryptu, odpowiadając zgodnie z oczekiwaniami oszusta. W przeciwnym przypadku (albo jeśli bot wybierze nieodpowiednią aukcję) może zrobić się całkiem zabawnie:

Gorzej jeśli jednak damy się złapać. Wtedy robi się mniej zabawnie. Dlatego, jeśli znacie kogoś, kto potencjalnie może dać się przekonać oszustowi – warto pokazać mu ten materiał, a najlepiej cały raport.

Jak nie dać się oszukać?

Tutaj akurat odpowiedź jest prosta. Sprzedajesz za pomocą serwisu X, Y, czy Z? Kontaktuj się z kupującymi wyłącznie przy użyciu interfejsu tegoż serwisu. Nie zaszkodzi też przy każdej transakcji finansowej upewnić się, czy na pewno adres strony jest właściwy. Pamiętaj – domenę czytamy od tyłu. Jeśli adres nie kończy się na .pl, czy .com – warto zdwoić (a nawet zmultiplikować) naszą czujność.

Nie dajmy im na nas zarabiać.


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl