-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Zobacz analizę sposobu działania przestępców w ataku na inwestycje w akcje Baltic Pipe

05 maja 2023, 15:16 | Aktualności, W biegu | komentarzy 13

TL;DR: – Nasz Czytelnik prześledził ścieżkę ataku na inwestycje w akcje Baltic Pipe, czyli jednego z lepiej przygotowanych scamów w ostatnim czasie odnoszących się do sytuacji geopolitycznej w naszym kraju.

W dzisiejszym świecie, reklamy są podstawowym mechanizmem oferowania produktów i usług w Internecie. Możemy ją znaleźć wszędzie zaczynając od portali społecznościowych, poprzez gry, a kończąc na wyszukiwarkach. Niestety niejednokrotnie taka reklama prowadzi do specjalnie przygotowanych portali w celu nakłonienia użytkowników do wpłaty pieniędzy na konto oszustów. W dzisiejszym artykule omówię jak wygląda takie oszustwo na przykładzie “Inwestycji w Baltic Pipe”.

Pewnego jesiennego wieczoru otworzyłem okienko przeglądarki i wyświetliła się reklama mówiąca o tym, że: „Zainwestowali 1000 zł w Baltic Pipe, dziś śpią na kasie!”

Zaintrygowany reklamą kliknąłem, aby dowiedzieć się jak w prosty sposób można stracić pieniądze. Reklama miała za zadanie zachęcić czytelnika w kliknięcie i przekierowania użytkownika na stronę: https://jakzarobicmiliondolarow[.]com, gdzie można było znaleźć artykuł z informacjami na temat inwestowania w akcje Baltic Pipe, takie jak:

  • łatwość zakupu akcji,
  • wysokość pasywnych zysków rzędu setek tysięcy złotych,
  • ilości osób korzystających z platformy rzędu 14 tysięcy,
  • sekcję z komentarzami użytkowników.

Na poniższym zrzucie ekranu widać przykładowe komentarze, które zostały spreparowane w celu podniesienia wiarygodności portalu. Należy nadmienić, że tego typu praktyka jest częsta i polega na stworzeniu szablonu komentarzy (aby przypominały wyglądem na przykład komentarze z Facebooka), wstawienia losowych zdjęć osób oraz przygotowaniu tekstów chwalących dany produkt. W tym przypadku były to komentarze mówiące o dużej liczbie zainteresowanych oraz o łatwości zarabiania pieniędzy.

Po zapoznaniu się artykułem, opisem oraz komentarzami postanowiłem przejść dalej i “Kliknąć, aby sprawdzić dostępność”. Strona przekierowuje na stronę https://hairexpect[.]info, gdzie można było znaleźć poniższe informacje:

  • film promujący Baltic Pipe,
  • wykresy zysków,
  • rekomendacje użytkowników

Na stronie można było znaleźć formularz rejestracyjny, który wymagał podania takich danych jak:

  • imię,
  • nazwisko,
  • e-mail,
  • numer telefonu.

Widząc takie wymagania, stworzyłem nową tożsamość oraz zakupiłem dedykowany w tym celu numer telefonu. Niestety, niedługo po zakończonych przygotowaniach, strona “https://hairexpect[.]info” została usunięta.

Ze względu na nieaktywną stronę internetową, moje śledztwo stanęło w martwym punkcie. Niemniej jednak, chęć zarabiania dziennie kilku tysięcy euro była wyższa niż niedziałająca domena i postanowiłem poszukać wciąż działających witryn. Z pomocą przyszła mi wyszukiwarka Google, gdzie bez trudu udało mi się znaleźć link do nowej domeny reklamującej się hasłem “Baltic Pipe – Usługi Przyszłości” (https://balticpipe-pl[.]com).

Na stronie https://balticpipe-pl[.]com wprowadziłem przygotowane wcześniej na potrzeby śledztwa dane (imię, nazwisko, e-mail, numer telefonu) i kliknąłem “Zostań udziałowcem”. Strona bez żadnej informacji przekierowuje na inną domenę o nazwie https://cfd.capital-trust[.]co.uk, która wygląda już na platformę giełdową. Twórcy portalu postawili na bardzo wysoki User Experience, gdyż rejestracja w portalu nie wymagała żadnego zaakceptowania regulaminu, ustawieniu hasła (nie wspominając nawet o braku informacji o RODO). 

Zapoznanie się z platformą

Po “zarejestrowaniu” się na platformie umożliwiającej “handlowanie” akcjami, naszym oczom ukazuje się kilka zakładek. Niestety wygląd platformy jak i ich funkcjonalności mogą napawać dużymi wątpliwościami (to wszystko ma na celu tylko zbudowanie wiarygodności). Z zakładek dostępnych na stronie można wyszczególnić:

  • Dashboard – główne informacje o naszej karcie kredytowej/debetowej
  • Personal Info – dane osobowe użytkownika
  • Withdrawal – informacje o koncie na który mają zostać wypłacone pieniądze
  • Verification – metody weryfikacji użytkownika (zdjęcie dowodu osobistego, karty kredytowej, selfie)
  • Accounts – nasze “rachunki bankowe” założone dla konkretnej waluty na platformie
  • Live Chat – czat na żywo z konsultantem
  • Settings – ustawienia konta takie jak 2FA czy zmiana hasła
  • Platforma daje również możliwość rozpoczęcia handlu akcjami poprzez zakładkę “Start Trading”.

Od razu pokazują nam się akcje wraz z cenami “w czasie rzeczywistym”. Niestety wyrażenie “w czasie rzeczywistym” jest tutaj znacznym nadużyciem, gdyż wszelkie dane oraz wykresy są fałszywe, to znaczy nie pokazują prawdziwych cen. 

Na poniższym zrzucie ekranu można zobaczyć przykładowy wykres dla akcji PKN Orlen, który według platformy (na dzień 1 lutego 2023) wynosił 75,24 dolarów, a w rzeczywistości było to 65,6 złotego. Wykresy są specjalnie generowane w taki sposób, aby nakłonić użytkownika do zakupu akcji ze względu na aktualny “wzrost” ceny akcji widniejący na platformie.

Kolejnym aspektem jest to, że nigdzie na giełdzie nie znalazłem reklamowanych akcji “Baltic Pipe”.

Kontakt z konsultantem

Jedną z kluczowych funkcjonalności portalu jest możliwość kontaktu na czacie z konsultantem. Po otwarciu tej zakładki od razu wyskoczyła mi wiadomość konsultanta o chęci pomocy. Poprosiłem więc o rozmowę telefoniczną związaną z chęcią zakupu akcji Baltic Pipe (których jak wspomniałem nigdzie nie widziałem).

Po kilku minutach na telefonie widzę połączenie przychodzące. Po odebraniu telefonu, słyszę słowa powitania ze strony konsultanta, który zaczął opowiadać o zaletach platformy. Podczas ponad 30-minutowej rozmowy z panem konsultantem, który przedstawił się jako Aleksander dowiedziałem się, że:

  • pan Aleksander jest polakiem (posiadał czysty polski akcent),
  • pierwszym krokiem jest zasilenie konta inwestora kwotą minimum 1’000 złotych (aby szybciej móc wykonywać operacje giełdowe),
  • w każdej chwili można wypłacić wpłacone oraz zarobione środki,
  • po wpłaceniu kwoty minimalnej, zostanie przypisany do mnie personalny analityk biznesowy, który będzie mi doradzał w jakie akcje lub kryptowaluty zainwestować,
  • w razie jakichkolwiek problemów mogę kontaktować się z pomocą techniczną, która jest dostępna 24 godziny na dobę przez komunikator WhatsApp.
  • platforma oferuje natychmiastową funkcjonalność wypłaty pieniędzy – w tym celu należy skorzystać z zakładki “Withdrawal”, podać swój numer konta i nacisnąć “Request Withdrawal”

W związku z tym, że poprosiłem o dodatkowe kilka dni na zapoznanie się z platformą, umówiłem się z panem konsultantem na rozmowę później.

Warto tutaj nadmienić, że prawdopodobnie operacje wypłaty pieniędzy wykonuje manualnie oszust na potrzeby zwiększenia zaufania użytkownika do platformy. Moim przypuszczeniem jest to, że oszuści bez problemu wypłacają ofiarom kwoty do kilkuset złotych, aby zwiększyć zaufanie do platformy i przekonać użytkownika do wpłaty kwoty rzędu kilku (-nastu) tysięcy złotych. Po rozmowie postanowiłem przebadać bardziej całą platformę, ale w tym przypadku za pomocą oprogramowania Burp Suite. Podczas analizy zapytań i odpowiedzi odnalazłem informację o swoim profilu na którym został nadany status: “High potential”. 

Kończąc rekonesans i chcąc pozostawić mój profil bezpieczny, postanowiłem się wylogować. Niestety to okazało się być błędem, gdyż przekierowało mnie bezpośrednio do panelu logowania, a ja nie znałem swojego hasła dostępu (nie zostało nawet wysłane na adres e-mail).

Chcąc uzyskać ponownie dostęp do platformy, skorzystałem z funkcjonalności do przywracania hasła mając nadzieję, że nie będzie potrzebny kontakt z konsultantem. Moim oczom ukazał się formularz adresem e-mail do wpisania. Pełny nadziei i zapału wysłałem zapytanie do platformy o nowe hasło. Po wysłaniu zgłoszenia, zostałem natychmiast przekierowany na główną stronę, a moim oczom ukazał się komunikat:

Jedynym wyjściem z tej sytuacji był kontakt z panem konsultantem. Zadzwoniłem na numer telefonu, który wyświetlał się podczas pierwszej rozmowy. Moją rozmówczynią okazała się bardzo miła Pani, która nigdy w życiu nie słyszała o żadnej giełdzie i powiedziała, że to pomyłka. Z tego można wywnioskować, że oszuści wykorzystują Caller ID Spoofing z wykorzystaniem bramek internetowych, które pozwala na wyświetlenie się dowolnej treści podczas rozmowy telefonicznej.

Musiałem więc zaczekać na kontakt ze strony konsultanta, który po kilku dniach zadzwonił. Przedstawiłem swoje problemy z hasłem, które zostało zresetowane w sposób nowatorski jak na nasze czasy (za pomocą wysłania wiadomości e-mail).

Od tego momentu Pan konsultant starał się ze mną skontaktować 3 razy: 1 lutego, 3 lutego, 7 lutego.

Po ostatniej nieodebranej rozmowie, mój status na platformie spadł z “High Potential” na “Low Potential”, a pan konsultant przestał dzwonić.

Ja chcąc kontynuować śledztwo, postanowiłem wprowadzić fałszywe dane do karty kredytowej na platformie i w momencie ich wysłania do mojego profilu został dopisany kierownik – niejaka pani Monika.
W tym momencie zdecydowałem się na przerwanie kontaktu z konsultantami w celu ustalenia czasu jaki będą spędzać na próbach kontaktu ze mną.

Pani Monika dzwoniła wielokrotnie w dniach: 11, 13-17, 20-21, 23, 27 lutego oraz 1 i 7 marca.

Po ponad miesiącu przerwy i spokoju od oszustów, dnia 30 marca podjęto kolejną próbę kontaktu ze mną, którą zdecydowałem się wykorzystać. Podczas rozmowy sprawdziłem adres starej domeny https://cfd.capital-trust[.]co.uk (lecz ten okazał się już nieaktualny). Ponadto akcent pani Moniki oraz charakterystyczne układanie zdań sugerowały, że pochodzi ona zza wschodniej granicy. Poprosiłem o możliwość podania mi adresu domeny, regulamin platformy oraz nowe hasło. Wszystkie potrzebne dane przyszły mi na adres e-mail.

Analiza otrzymanych od konsultanta danych

Pierwszą rzeczą jaka została poddana analizie był numer telefonu używany na platformie “WattApp”. Na profilu oszustów można zauważyć, że data założenia to 11 maj 2022, tak więc aktywnie działają już prawie rok.

Drugą rzeczą jaka została dołączona do wiadomości e-mail był plik PDF z regulaminem platformy. Skan za pomocą platformy VirusTotal wykazał, że nie jest on znany jako złośliwy.

Po upewnieniu się, że plik nie jest zainfekowany, zacząłem go analizować. Zawierał ponad 66 stron omawiających informacje giełdowe, aspekty prawne oraz ryzyka związane z inwestowaniem.

Na pierwszy rzut oka można zauważyć, że czcionka, która została użyta do stworzenia nazwy firmy “CAPITAL TRUST LIMITED” różni się znacznie od czcionki zastosowanej w tekście. Dodatkowo, widoczna jest różnica stylu niektórych słów związanych z nazwą i siedzibą firmy co sugeruje, że tekst został pobrany od innej firmy oraz dopasowany do oszustwa. Jedną ze znaczących różnic jest między innymi logo prawdziwej firmy “Capital Trust Group”.

Kolejną ciekawą informacją było odnalezienie informacji o “godzinach pracy biura” w którego polu został podany numer aplikacji WhatsApp.

Niemniej jednak w tekście nie wszystkie wartości zostały podmienione, a całość została pobrana ze strony: https://www.ufx[.]com/en-gb/assets/overnight-commissions

Niestety, zasób pod tym konkretnym adresem URL już nie istniał.

Podsumowanie i wnioski

Rozpatrując całe oszustwo pod kątem reklamy, przygotowania platformy, stworzenia “linii wsparcia”, korzystania z Spoofing Caller ID oraz dostępności “konsultantów” trzeba przyznać, że całość została dobrze przygotowana (pomijając nieścisłości w regulaminie, czy reset haseł). 

Gdy pierwszy raz analizowałem oszustwo na Baltic Pipe w październiku 2022, od razu zgłosiłem wszystkie strony do polskiego CERTu. Wracając do tematu z początkiem lutego 2023, wszystkie znane mi domeny związane z reklamą, giełdą, platformą były już nieaktualne, natomiast w ich miejsce powstały nowe, które różniły się końcówką domen (zmiana domeny krajowej z “co.uk” na “com”). Biorą to pod uwagę, oszuści mają możliwości do szybkiego tworzenia nowej infrastruktury co wymaga wcześniejszego przygotowania.

Kolejnym aspektem są numery ID profilów użytkowników, które można odczytać w odpowiedziach z platformy za pomocą oprogramowania Burp Suite. Numery ID są wysokości kilku tysięcy, co oznacza, że prawdopodobnie z każdym dniem rejestrują się kolejne osoby skuszeni możliwością szybkiego zarobku.

Niestety tego typu oszustwa były, są oraz będą praktykowane przez nieuczciwe osoby od zawsze. Naszym zadaniem jako osób związanych z bezpieczeństwem jest ostrzeganie ludzi przed takimi niebezpieczeństwami, a dodatkowo dobrą praktyką jest zgłaszanie podejrzewanych portali do polskiej jednostki CERTu pod adresem: https://incydent.cert.pl/

Zapraszamy pracowników firm z możliwości skorzystania z naszego szkolenia zamkniętego podnoszącego świadomość zagrożeń, z agendą ustalaną pod potrzeby klienta, wszelkie informacje na stronie: https://bezpieczny.securitum.pl

Mam nadzieję, że lektura pozwoliła Ci na zrozumienie jak działają oszuści związani z “inwestowaniem w Baltic Pipe” oraz była to dla Ciebie dobrze spędzony czas.

~Rafał Meisel

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. T

    Art bardzo fajny – pytanie brzmi, czy mail czytelnika ma być w końcu jawny czy nie jawny :D? Na ekranie rejestracji mały Bug :)

    Odpowiedz
    • Tomasz Turba

      To fejk konto :-)

      Odpowiedz
  2. Tomasz21

    Bardzo ciekawy opis z detalami, sporo pracy włożono w tą pułapkę.
    Wypada podziękować autorowi za wyjaśnienie tej sprawy.
    Najlepszym stwierdzeniem jest; ŁATWY i DOBRY ZAROBEK ???
    Pytanie pomocnicze; Dla kogo ten dobry zarobek?
    Pozdrawiam zespół Sekuraka i autora.

    Odpowiedz
  3. P21

    Ciekawe opracowanie, sporo pracy.
    Serio, bez Burp Suite się nie dało?

    Odpowiedz
  4. Mateusz

    A mnie dalej dziwi ludzka naiwność i głupota. I uważam, że nie trzeba być ekspertem od internetu, nawet nie trzeba być w ogóle obeznanym z internetem żeby zrozumieć, że w dzisiejszych czasach nawet w ryja za darmo nie chcą dać a co dopiero mowa o wielkich pieniądzach zarabianych na rzekomym niskim udziale własnym. Dlatego nie żal mi ludzi którzy tracą pieniądze bo wierzą w cudowne oferty.
    Podobne są kampanie na FB oferujące funkiel nówki np. iPhony które rzekomo wypadły z ciężarówki ale są w stanie rewelacyjnym czy wręcz idealnym i aby dostać szansę na taki telefon trzeba tylko zostawić swoje dane i przesłać post dalej.

    Odpowiedz
  5. Michał

    Podobna historia, od konsultantów wyciągnąłem zezwolenie KNFu i licencję FSCA – oba fałszywe, sprawdzone u źródła. Zrobiłem to po to, żeby zwiększyć liczbę paragrafów pod które podpadają na potrzeby zgłoszenia do prokuratury. Niestety mała szansa że cokolwiek z tym zrobią, bo skoro nie dałem się oszukać, to w czym problem?

    Odpowiedz
  6. Sławek

    Naprawdę ciekawy artykuł; oszustwo szyte grubymi nićmi, szacun za podjęcie się dogłębnej analizy, pozdrawiam!

    Odpowiedz
  7. Rewelacyjny artykuł! Dorzuciłbym tylko rozmowy z „konsultantami” ;)

    Odpowiedz
  8. Ostrożniak

    Widzę, że z powodu zabezpieczen przegladarki (m.in. Ublock, NoScript, RequestPolicy) tracę wiele „ciekawych” informacji i „okazji”. Nie wyswietlaja mi sie prawie zadne reklamy, jaka szkoda ;-(.

    Odpowiedz
  9. b

    Nie dobrze a beznadziejnie przygotowany atak. Nawet jak się jest oderwnaym od wiadomości to wystarczy minuta na sprawdzenie ze inwestycja w baltic pipe została zakończona. Do tego jak dorzucić się obietnice absurdalnych zarobków, to trzeba bardzo specyficznego „myślenia”by się na to nabrać. Nawet sama jakość filmów reklamujących powinna zaniepokoić potencjalnego inwestora. Banalnie można przygotować znacznie lepszą historie pod atak, ale widać oszuści celują w mocno specyficznych klientów.

    Odpowiedz
  10. John

    Kiedyś miałem wkręt i zarejestrowałem się na kilku (chyba z 6) portalach, które oferowały bardzo duży zysk. Na każdym portalu podałem inne imię, inny adres e-mail, ale wszędzie ten sam nr telefonu.
    W ciągu kilku godzin odezwali się z wszystkich ofert, więc albo nie współpracują ze sobą, albo nie weryfikują czy ktoś się już zarejestrował po nr. telefonu.
    Schemat identyczny za każdym razem.
    Wszyscy „konsultanci” mają wschodni akcent.
    1) wywiad wstępny czy znam się na inwestowaniu, czy wiem jak działają akcje itp. W trakcie rozmowy przemycają pytania o bank w którym mam konto, czy mam kartę, czy używam aplikacji bankowej, czy na tel. mam WhatsApp.
    2) przedstawienie schematu ich działania, albo aktualnie pomoc AI, albo jeszcze u niektórych pomoc specjalisty
    3) w 3 przypadkach dostałem dane do logowania to portalu, po zalogowaniu portale wyglądały inaczej.
    4) nakłanianie do zrobienia przelewu. Kwoty od 900 do 1200zł w jednym przypadku 200USD.

    Zaczęły się trudne pytania z mojej strony, czy firma jest zarejestrowana w Polsce, dlaczego cert https wygenerowany kilka dni temu itp, pytania o nr KRS, NIP pozwolenie z KNF migają się z odpowiedziami, potem stają się napastliwi.
    W jednym przypadku dostałem rzekomo zezwolenie od KNF ort na orcie, w całym dokumencie brak polskich znaków.
    W dwóch podali mi adresy NIP banków tłumacząc mętnie, że są ich partnerami i to tak działa, że posługują się ich nipami.

    Nr z których dzwonią są „lewe” korzystają z bramek i wyświetlają się losowe nr telefoniczne, nie idzie na nie oddzwonić. W dwóch przypadkach podali mi nr kontaktowe „na centralę”
    +48 793261549 i +48 732232784

    Szkoda mi tych 900zł na kontynuowanie działania, co ciekawego, po około 2 miesiącach od zaprzestania kontaktu miałem dwa telefony w przeciągu około 3-4 dni, że mam do odebrania bitcoiny. W celu odebrania pieniędzy miałem zainstalować AnyDeska (wg rozmówcy program do bezpiecznej komunikacji). Jak jednego wyzwałem od złodziei to zdosowali mi telefon. Przez kilka godzin szło połączenie za połączeniem, każda próba z innego nr tel. Wyłączyłem dźwięki i wibrę, podłączyłem pod ładowarkę i patrzałem jak ekran się co chwilę rozświetla.

    Odpowiedz
  11. scamojad

    ma ktoś linka do rejestracji?

    Odpowiedz
  12. Atina

    Jak usunąć konto z ich strony i czy mogą wykraść jakieś dane z mojego smartphona.
    Będę wdzięczna za odpowiedź.

    Odpowiedz

Odpowiedz