-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Phishing automatyczny oparty na narzędziu do scrappingu, które wysyła SMS z fałszywym linkiem zaraz po opublikowaniu nowego ogłoszenia w Allegro lub Lokalnie.

09 listopada 2022, 20:32 | W biegu | komentarzy 8

Od czasu do czasu przewija się phishing związany z Allegro i Allegro Lokalnie. Ostatnio pisaliśmy o oszustwie na negatywny komentarz, a wcześniej jeszcze o homografach w nazwie domeny i lewych linkach. Tym razem nieznany cyberzbój napisał scrapper służący do phishingu. 

Scrapping jest techniką wydobywania informacji z programu lub aplikacji webowej za pomocą programu napisanego do tego celu. W tym przypadku napastnik napisał program wydobywający informacje o nowych ogłoszeniach, które mają wyświetlony numer telefonu sprzedawcy. Następnie, zaledwie kilka minut po publikacji, sprzedawca otrzymuje SMS od fałszywego nadawcy “info-sms” o tym, że kupujący zapłacił za towar i trzeba kliknąć w *link* w celu potwierdzenia sprzedaży.

Rys. 1. Fałszywy SMS ze złośliwym linkiem.

Link jest postaci https://igbodsatu[.]cf/6PzD9iS, gdzie człon 6PzD9iS jest identyfikatorem do przekierowanej, fałszywej strony Allegro Lokalnie dotyczącej konkretnej aukcji. W tym przypadku przekierowanie prowadzi do adresu: https://allegr0loka1nie-purchase[.]7546354212[.]xyz/odexnljk, gdzie w kolejnym kroku czeka na nas formularz phishingowy do wypełnienia proszący np. o dane logowania, numer telefonu, imię, nazwisko, adres zamieszkania, numer konta. W niedalekiej przyszłości z wiedzą o danych powyżej napastnik mógłby do nas zadzwonić i próbować nas oszukać atakiem vishingowym (np. próba przelewu i udawanie włamania w celu instalacji oprogramowania AnyDesk do przejęcia komputera lub smartfona). 

Na ten moment widać, że narzędzie zostało wyłączone, a domena nie jest aktywna jednak zalecamy ostrożność. 

Na co zwrócić uwagę? Jak się bronić?

Przede wszystkim, jeżeli widzimy w treści SMS linka, który nie jest stroną allegro.pl lub allegrolokalnie.pl, to możemy być pewni, że mamy do czynienia z phishingiem. W momencie gdy nie widzimy, kto jest nadawcą, to pamiętajmy, że to pole można modyfikować dowolnie, wpisując np. “INFO-SMS”. Zwracajmy też szczególnie uwagę, jak wygląda pełna domena, która rozpoczyna się od pierwszego znaku po ciągu “https://”, a kończy na pierwszym “/” po domenie np. sekurak.pl/kontakt. 

Może mały test? Która domena jest złośliwa, a która nie?

  1. https://sekurak.pl/wirus.gov.pl
  2. http://securak.pl/
  3. https://sekurak.pl.cf/
  4. https://securitum.pl/kontakt/
  5. https://ѕkurak.pl/gov.pl

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. KONDZiO102

    Mogliście coś postawić na tej nie złośliwej stronie

    Odpowiedz
  2. jimi

    4-ka jest OK ;)

    Odpowiedz
  3. NudaWPracy

    A są do wygrania koszulki? Nie wiem, która jest złośliwa ale…
    2 ma C a nie K w domenie
    3 jest w domenie .cf
    5 ma literówkę

    Odpowiedz
    • NudaWPracy

      W sumie idąc dalej to
      5 poza literówką s to nie S tylko ciągiem znaków zmieniającym go na symbol podobny do S

      Odpowiedz
      • Wykałaczek

        Czy te „fałszywe” znaki mogą wystąpić w pasku adresu? Jeśli tak, jak się przed nimi bronić?

        Odpowiedz
        • NudaWPracy

          Zależnie od przeglądarki po wejściu na taką stronę
          https://ѕkurak.pl/gov.pl
          może wyświetlić Ci się adres w pasku przeglądarki

          https://xn--kurak-g2e.pl/gov.pl

          Sam kiedyś miałem podobno stronę tylko zamiast symbolu S były emotikony, ale wtedy zależnie od przeglądarki wyświetlał się analogiczny ciąg znaków jak podałem powyżej lub w pasku adresu były emotikony

          Odpowiedz
  4. Marcin

    Wystawiłem ogłoszenoe na olx i miałem taką sytuacje, że niby kupujący opłacił już przesyłkę i towar za pośrednictwem inpost i prosi o potwierdzenie poprzez link inpostu ale początek strony brzmiał impost więc się zorientowałem i nr telefonu z całą korespondencją z watschappa przesłałem do CERT. NA SZCZĘŚCIE CZUJNOŚĆ POMOGŁA MI UCHRONIĆ SIE PRZED TYMI BANDYTAMI. CHOCIAŻ KACZKA I BANDZIOR ZIOBRO ROBIĄ WIĘCEJ SZKODY :)

    Odpowiedz
  5. Robert

    Przez przypadek otworzyłem link ale zaraz stronę zamknąłem nic nie wpisywałem czy mam się czuć zagrożony

    Odpowiedz

Odpowiedz