Oszustwa na portalach aukcyjnych to jedna z ulubionych dziedzin działalności internetowych przestępców. OLX jako jedna z popularniejszych platform od lat prowadzi walkę z naciągaczami próbując chronić swoich klientów. Za każdym udoskonaleniem i uszczelnieniem procedur sprzedaży idą jednak działania oszustów, którzy próbują ominąć mechanizmy ochronne.
Już od dłuższego czasu znane są przykłady phishingu polegającego na tym, że oszust próbuje przekonać swoją ofiarę, iż dokonał zakupu wystawionego przez nią przedmiotu wysyłając jej link, który rzekomo służy do odbioru płatności. Przez jakiś czas wyglądało to mniej więcej tak:
Prawdopodobnie ze względu na fakt, iż takie linki wysyłane w wiadomościach prywatnych mogły być wykrywane i usuwane przez systemy bezpieczeństwa po stronie OLX, oszuści wymyślili nowy sposób.
Kradzież tożsamości
O opisanym poniżej scenariuszu dowiedziałem się przypadkiem dzięki znajomej. Zadzwonił do niej mężczyzna z pytaniem, czy rzeczywiście jest zainteresowana zakupem kabli audio. Znajoma odparła, że nie bardzo kojarzy o co chodzi, więc wyjaśnił, że zarówno jej imię, jak i numer telefonu posiada z serwisu OLX, gdzie z jej konta otrzymał zapytanie odnośnie wystawionego na sprzedaż przedmiotu:
Szybka próba zalogowania się na konto OLX przez znajomą kończy się kilkukrotnie niepowodzeniem – hasło zostało zmienione. W tym momencie wiemy już, że ktoś korzystając z jej konta podszywa się pod nią i odezwał się przynajmniej do jednego sprzedającego udając zainteresowanie zakupem.
O dziwo udaje się jednak skorzystać z funkcji resetu zapomnianego hasła. Oznacza to, że oszust albo był mało rozgarnięty, albo nie zdążył zmienić jeszcze adresu e-mail powiązanego z kontem. Gdybyście znaleźli się w podobnej sytuacji, to pierwsze co należy zrobić to odwiedzić w menu pozycję „Twoje konto -> ustawienia” i skorzystać z przycisku „Wyloguj się ze wszystkich urządzeń” (opcja niedostępna w aplikacji mobilnej):
Powyższe działanie spowoduje, że intruz straci dostęp do przejętego konta. Warto o tym pamiętać bo podobny mechanizm znajdziemy w wielu popularnych serwisach, gdzie przestępcy często dokonują włamań. Dla pewności w takiej sytuacji powinniśmy również zmienić hasło do skrzynki e-mail powiązanej z danym profilem ponieważ nie wiemy w jaki sposób intruz uzyskał dostęp do naszego konta.
Wyciek danych
Kolejnym podjętym krokiem było ustalenie jak doszło do włamania. Tutaj sprawdziło się pierwsze moje podejrzenie. Weryfikacja adresu e-mail w serwisie ’;–have i been pwned? wykazała, że 9 lat temu był on przedmiotem wycieku, w którym ujawnione zostały maile i hasła użytkowników. Na domiar złego te samo hasło używane było przez znajomą właśnie w serwisie OLX. Czyli zagadka rozwiązana i na tym etapie można by powiedzieć nic ciekawo, incydent jakich wiele każdego dnia. Użytkownik nie stosował jednego z podstawowych zaleceń bezpieczeństwa – unikalnych haseł.
Przyjrzyjmy się jednak działaniom złodzieja tożsamości bo dzięki temu poznamy trochę od kuchni skalę jego poczynań i dokładny scenariusz.
Historia wiadomości
Po odzyskaniu konta sprawdzamy historię wiadomości aby ustalić czy poza sprzedawcą kabli audio oszust odzywał się jeszcze do kogoś. I tutaj przeżywamy lekki szok, bo wygląda na to, że podobnych wiadomości wysłał on setki. I nie miało tu znaczenia czy na sprzedaż wystawione były drogie przedmioty typu wspomniane przewody za prawie 4 tys. zł, czy kredki za 10 zł. Historia wiadomości wyglądała mniej więcej tak:
W przedziale ostatnich 90 minut, pomiędzy 18.30 a 20.00 oszust odezwał się do kilkunastu sprzedających z pytaniem o dostępność wysyłki. W 100% przypadków otrzymał odpowiedź twierdzącą. Widzimy więc, że na tym etapie jest to klasyczna socjotechnika polegająca na próbie przekonania sprzedającego, iż jest się zainteresowanym zakupem. Kolejnym krokiem ma być wyłudzenie od niego danych. Jakich? Tego dowiadujemy się z treści kolejnej wiadomości, którą intruz wysyłał do wszystkich ofiar:
Była to prośba o podanie adresu e-mail sprzedawcy oraz załącznik w postaci zdjęcia ekranu. Po pobraniu obrazka możemy z niego odczytać, iż o e-mail sprzedawcy prosi rzekomo system OLX w chwili dokonywania zakupu:
Obrazek sugeruje, że jest to ostatni krok zakupu, w którym w wyniku błędu w ogłoszeniu kupujący musi podać adres e-mail sprzedawcy aby potwierdzić zakup i płatność. W pasku przeglądarki widnieje domena olx.pl, ale obrazek jest tak słabej jakości, że bez problemu mógł zostać spreparowany. Zresztą lepsza jakość niewiele by tu zmieniała nadal byłby to tylko obrazek, który mógł zostać wygenerowany w programie graficznym.
Po co oszustom e-mail sprzedającego?
Po to by przenieść komunikację na inny kanał. Wysłanie linku phishingowego w wiadomości na OLX zostałoby zapewne wykryte i zablokowane przez filtry bezpieczeństwa. Intruzi wyłudzając adresy e-mail zapewne kierowali na nie w kolejnym kroku sfingowane potwierdzenia zakupu i kontynuowali opisywany już na początku artykułu proceder wyłudzenia danych karty płatniczej w celu przekazania zapłaty.
Skuteczność na tym etapie nie wynosiła już 100% ponieważ część osób odpisywała, że żądanie podania adresu e-mail wydaje im się dziwne albo wręcz informowali o tym, że widzą w tym próbę wyłudzenia. Część jednak dawała się złapać i w odpowiedzi podawała swój adres. Filtry OLX widząc adres e-mail podany w wiadomości prywatnej reagowały co prawda ostrzeżeniem, ale błędnie interpretowały, iż to sprzedający podając adres e-mail dąży do próby zmiany kanału komunikacji:
A niektórzy sprzedający, jak widać, z dużym zaangażowaniem dążyli do tego by doprowadzić transakcję do skutecznego zakończenia.
Powiadomienie OLX
Na tym etapie nie pozostało nam nic innego jak zgłosić zaistniałą sytuację do OLX-a. Pamiętajcie, że w takim wypadku ofiary oszustwa będą przekonane, że złodziejem jest osoba, z której konta nawiązano z nimi kontakt. Dlatego też warto dodatkowo powiadomić je o tym, że wcześniejsze wiadomości nie były wysyłane przez nas. W odpowiedzi na takie ostrzeżenia część ofiar odpisywała, że rzeczywiście próba phishingowa już miała miejsce:
Do rozważenia
Zastanawiam się, czy odradzana już powszechnie praktyka wymuszania zmiany haseł w pewnych sytuacjach nie byłaby jednak przydatnym działaniem. Jeśli jako zarządca platformy widzimy, że mamy użytkowników, którzy nie korzystają z mechanizmów uwierzytelniania dwuskładnikowego i jednocześnie od wielu lat nie zmieniali hasła, to być może jakaś sugestia raz na rok by to rozważyli byłaby sensowna? Dajcie znać co o tym myślicie.
Wymaganie zmiany hasła po roku nieaktywności albo zwyczajnie usuwanie nieaktywnych kont mogłoby pomóc moim zdaniem. Powinno być tak, że po długim braku aktywności, przy pierwszej próbie logowania jesteśmy zmuszeni potwierdzić ponownie e-mail, to pomogłoby z włamaniami na konta, do których złodzieje mają dostęp z wycieku, ale nie mają dostępu do maili.
Z dodatkową weryfikacją przez email po jakimś czasie nieaktywności to według mnie bardzo dobry pomysł!