Udaremniliśmy atak na klientów usług Orange Polska

Sieciowi przestępcy chyba już przyzwyczaili się do aktualnej sytuacji na świecie i wrócili do swojej codziennej „pracy”. Podobną sytuację obserwowaliśmy 2 lata temu na początku pandemii, gdy chwilowo poziom ataków spadł, by następnie wrócić do smutnej normy. Dziś np. trafił do nas znany od dawna – i wykorzystywany raz na jakiś czas – motyw „wygrałeś nagrodę od marki [X]”. Tym razem w roli X występuje Allegro.

Na początku warto zaznaczyć – dzięki stałej współpracy w zakresie bezpieczeństwa z firmą, dostarczającą usługi bulk SMS uniemożliwiliśmy poniższy atak na klientów Orange Polska. Firma uniemożliwiła wysyłkę SMS, my zaś uniemożliwiliśmy dostęp do domen, powiązanych z kampanią.

Zaczynało się od wiadomości SMS:

Nadawca: InfoSMS
Treść: Gratulacje, Anna! Wygrales (1) przedmiot w naszym losowaniu nagrod Odbierz to tutaj: hxxp://tuyi[.]me/9s7XFP

Czerwona flaga #1: Anna, wygrałeś

Jeśli kliknęliśmy w linka, strona rozwijała się na hxxps://www[.]natipoze.com/PL/PL_uxriph/?uclick=[HASH]. Google Safe Browsing oznacza już tę domenę jako niebezpieczną, więc zapewne niebawem pojawi się kolejna. Jeśli jednak „przegapimy” ostrzeżenia, zobaczymy to:

Sprytne, wygląda jak Messenger, prawda? Pisaliśmy o czymś takim bodaj dwa lata temu. Fakt, iż podobny motyw zdarza się po raz kolejny, dowodzi, że są użytkownicy, których to przekonuje…

Czerwona flaga #2: wygrałem iPhone (skoro TY wygrałeś, to co nam do tego?)

Zatem kliknijmy w link, który po najechaniu wcale nie rozwija się na allegro.pl…

Ten screen jest – wybaczcie angielski, ale to słowo (którego nie ma w języku polskim) pasuje tu idealnie – self-explanatory. Klasyczny scam „na nagrodę”, zmieniają się tylko firmy, czasami pojawia się telefon Samsung.

Czerwona flaga #2: Gratulacje, Klient! (firmy wysyłając wiadomości o nagrodach, wysyłają je imiennie)

Spośród 4 nieistotnych wybraliśmy jedno, które:

1) Przetrwało w formie niezmienionej, błędnej przez kilka lat
2) Całe jest jedną wielką czerwoną flagą #3
3) Jest po prostu przezabawne 🙂

Nie wiem jak Was, ale nas (w CERT Orange Polska, za całą firmę się nie wypowiadamy) nie stać na kupno Allegro…

Po sprawdzeniu odpowiedzi mamy potwierdzenie wygranej:

Zapamiętajcie kwotę z pkt. 2 (1-2 zł). A to dlatego, że w kolejnym kroku pojawia się nagle Poczta Polska:

A tu nagle pojawia się 2,5 PLN. Już tylko informacja o rezerwacji naszego wymarzonego telefonu:

Parę kliknięć, dotyczących sposobu wysyłki (tu już oszczędzimy Wam nic nie wnoszących obrazków) i już tylko dane niezbędne dla kurie…

Czerwona flaga #nie_wiadomo_który. To w końcu 1-2, 2.5, czy 15 PLN? Skoro wiecie jak mam na imię to po co mam to znowu wpisywać. I wreszcie dlaczego na górze szarym drukiem na białym tle, napisane jest:

Wszyscy nowi klienci biorą udział w loterii, w której można wygrać zaprezentowany produkt. Jeśli okażesz się szczęśliwym zwycięzcą, skontaktujemy się z Tobą bezpośrednio pocztą elektroniczną. Elementem tej oferty specjalnej jest okres próbny wynoszący 3 dni na powiązaną usługę abonamentomą, po upływie którego opłata z tytułu subskrypcji (24.5 EUR co 14 dni) będzie automatycznie pobierana z Twojej karty kredytowej. Jeśli, z dowolnego powodu, usługa nie spełni Twoich oczekiwań, możesz zamknąć swoje konto w ciągu 3 dni. Usługa będzie, do odwołania, przedłużana co 14 dni. Kampania ta wygaśnie 31 grudnia 2022 roku. Jeśli chcesz wziąć udział bez zapisywania się na 3-dniowy okres próbny na korzystanie z theeshopper247, wyślij wiadomość na adres prizedraw@holdsspace.com.

I tyle z iPhone’a. Miraż prysł, ale może dlatego, że nie wygrywa się w konkursach, w których nie braliśmy udziału?