Nowy stary scam, czyli co możemy zobaczyć wystawiając na OLX ogłoszenie bez numeru telefonu

O oszustwach na popularnych platformach ogłoszeniowych, w tym na OLX, pisaliśmy już wielokrotnie. Pozytywne efekty kampanii informacyjnych można zauważyć m.in. w postaci coraz większej liczby ogłoszeń wystawianych bez podanego numeru telefonu. Do tej pory podstawowymi kanałami komunikacji używanym przez przestępców były wiadomości wysyłane przez WhatsApp lub tradycyjnymi SMSami.

❌Znany schemat scamu na OLX podany w nowy sposób

❌Tym razem przestępcy nie korzystają z WhatsAppa ani innych zewnętrznych komunikatorów

❌Jak zwykle istnieje ryzyko utraty oszczędności

Skoro wystawiamy ogłoszenie bez podania telefonu, to możemy założyć, że oszustów mamy z głowy, prawda? Otóż niekoniecznie. Bezpieczeństwo to nie stan, bezpieczeństwo to proces – metody ataku ewoluują razem z metodami obrony i świadomością użytkowników. Poniżej prezentujemy przykład takiej ewolucji.

Nowe ogłoszenie i błyskawiczna odpowiedź

Nasz czytelnik wystawił na OLX ogłoszenie bez podanego numeru telefonu zaznaczając, że prosi o kontakt wyłącznie przez wiadomości OLX. Kilka minut po publikacji oferty dostał wiadomość:

Zwróćmy tutaj uwagę na dwie kwestie:

1. Użyty język: „Szanowni Pań/i”, „Z najlepszymi życzeniami” – typowe dla scamów błędy i sformułowania
2. OLX rzekomo ostrzega, że konto zostało wyłączone. Po kilku chwilach nie było nawet widać nazwy konta, wyświetla się jedynie jako:

Do wiadomości dołączona jest grafika z instrukcją „otrzymania pieniędzy”:

Jak można zauważyć zarówno logo, kolorystyka i szata graficzna zostały wybrane w taki sposób, żeby obrazek przypominał wiadomość od OLX. Warty odnotowania jest fakt nazywania adresu strony „kluczem”.

Odwiedzamy „klucz”

Po przepisaniu adresu do przeglądarki (konieczność ręcznego wpisania adresu sama w sobie powinna wzbudzić naszą czujność, ale też utrudnia operatorom platform ogłoszeniowych automatyczną detekcję podejrzanych linków) jesteśmy przekierowywani na stronę w innej domenie, gdzie musimy potwierdzić, że nie jesteśmy automatem:

Rozwiązanie mechanizmu captcha powoduje automatyczne przejście na stronę udającą serwis inPost (domena inp0st[.]7776389[.]xyz):

Łącza „Odbieram”, „Wysyłam” itd. prowadzą do prawdziwych stron inPostu, jednak klient portalu OLX chce otrzymać pieniądze, przechodzi więc kliknięciem przez przycisk „Dalej” i natrafia na linki z lewymi bramkami płatności wyłudzającymi dane uwierzytelniające bądź osobowe:

Po wybraniu rzekomego banku, następuje przekierowanie na fałszywą stronę logowania banku:

Cyberzbóje zbierają w tym miejscu dane, których normalnie nie podaje się przy logowaniu do banku, jak np. numer telefonu:

Zbierają także inne informacje, które nie podaje się przy logowaniu do bankowości elektronicznej:

Po wprowadzeniu danych następnie fałszywy portal sugeruje poczekanie na przetworzenie transakcji co jest symulacją prawdziwego zachowania systemów płatności:

W tym miejscu można by spodziewać się prośby o potwierdzenie transakcji w aplikacji banku lub przekazanie kodu z SMS.

Podsumowanie

Możemy zauważyć tutaj starą, choć niestety wciąż działającą metodę oszustwa, jednak użytą w nieco inny sposób. Jak zwykle przestrzegamy przed handlem poza platformą na której wystawiliśmy ogłoszenie, ale też przypominamy o konieczności zachowania ograniczonego zaufania do treści przesyłanych przez innych użytkowników przy pomocy samej platformy.

Zwracajmy uwagę na wszelkie szczegóły, które odbiegają od normy, np. konieczność przepisania adresu strony, podejrzane domeny czy nadmiarowe dane wymagane do logowania. Dodatkowo powinna nam się zaświecić wielka, czerwona lampka kiedy formularz logowania nie maskuje wpisywanego hasła, jak na poniższym zrzucie ekranu:

Zachowajmy czujność i pamiętajmy, że wszelkie takie incydenty można zgłosić na stronie incydent.cert.pl lub pod numerem dla SMS 8080.

~kz