Zastanawiacie się czasem skąd internetowi oszuści mają wasze dane kontaktowe? Znaczna ich część pochodzi oczywiście z wycieków u różnych usługodawców. Czasem jednak nieświadomie dzielimy się tymi danymi w miejscach, które wydawać by się mogły bezpieczne. Takim miejscem są np. portale ogłoszeniowe.
Tak się złożyło, że niedawno miałem okazję wystawić ogłoszenie na wspomnianym w tytule Otomoto.pl. Mam więc możliwość ku przestrodze podzielić się z wami metodami działania oszustów, którzy szukają swoich ofiar właśnie wśród klientów tego serwisu.
Pierwszy SCAM już po kilku minutach
Dosłownie kilka minut po wystawieniu ogłoszenia otrzymałem pierwszą wiadomość. Pochodziła ona z konta o nazwie „Otomoto pl”:
Wiadomość składała się z obrazka z logiem serwisu Otomoto i tekstem „Wymagane jest przeprowadzenie weryfikacji. Prosimy o otwarcie pliku PDF i dokonanie weryfikacji”. Pod tym obrazkiem znajdował się link do pliku Weryfikacja_konta.pdf oraz komunikat: „Obowiązkowy krok”.
Obrazek miał na celu upodobnić wizualnie treść wiadomości do interfejsu serwisu Otomoto aby ofiara odniosła wrażenie, że jest to rzeczywiście element standardowej weryfikacji konta. Zawartość dołączonego pliku PDF wyglądała natomiast tak:
Z treści dowiadujemy się, że musimy przejść weryfikację tożsamości aby uniknąć zablokowania konta. W pliku znajdował się przycisk „Przejdź do weryfikacji”, który kierował do domeny o dość losowej nazwie: hdh4fdg[.]eu.
A pod powyższym adresem klasyczny już phishing w kilku krokach:
Najpierw informacja o ograniczeniach nałożonych na konto i konieczności potwierdzenia swojej tożsamości za pomocą konta bankowego. Następnie lista banków do wyboru (ograniczona, bo nie wszystkie banki były na niej dostępne), a na koniec formularz logowania do wybranego banku.
Pomijając kwestię abstrakcyjnej domeny podejrzane powinno nam się wydać również to, że logowanie do banku wymagało poza loginem i hasłem podania numeru telefonu.
Komunikat, który na końcu informował o tym, iż transakcja zajmie do 5. minut może świadczyć o tym, że dane logowania były przez oszustów wprowadzane na żywo na stronie banku. W takim wypadku ofiara otrzymałaby SMS-em kod do potwierdzenia operacji, a formularz phishingowy po chwili poprosiłby o ten kod aby znowu w tle przesłać go do banku i zatwierdzić zainicjowaną wcześniej transakcję.
Są to jednak tylko moje przypuszczenia bo, co oczywiste, nie mogłem podać w formularzu prawdziwych danych logowania. Możliwe też, że numer telefonu podany w formularzu logowania miał służyć do tego by wysyłać na niego SMS-y podszywające się pod bank i zachęcające ofiarę do określonego działania.
Klasyczny phishing ale dobrze przygotowany
Dla osób uważnych sygnałem ostrzegawczym na pewno była abstrakcyjna nazwa domeny, pytanie o numer telefonu podczas logowania do banku i w końcu nietypowy komunikat informujący o wydłużonym czasie trwania operacji. Trzeba jednak przyznać, że technicznie phishing był przygotowany całkiem dobrze. Elementy wizualne, treść wiadomości i strony podszywające się pod serwis Otomoto oraz poszczególne banki wyglądały bardzo wiarygodnie.
Dlatego warto przypomnieć, że dobrą praktyką jest zawsze czytanie treści SMS-a, w którym otrzymujemy kod do potwierdzenia transakcji w banku. Jeśli na stronie inicjujemy operację logowania lub zapłaty niewielkiej kwoty, a w SMS-ie z kodem widnieje informacja, że jest to kod np. do dodania odbiorcy zaufanego lub przelewu na inną niż zainicjowana kwotę, to znaczy że przeoczyliśmy coś bardzo ważnego. Mamy wówczas jeszcze możliwość wycofania się i nie podawania kodu.
Ale to nie wszystko
Próba wyłudzenia danych logowania do banku przez formularz phishingowy nie była jednak jedyną próbą okradzenia mnie. Już następnego dnia na numer telefonu podany w ogłoszeniu odebrałem połączenie od osoby podającej się za pracownika banku. Z treści ogłoszenia posiadała ona nie tylko numer telefonu, ale również informacje o miejscowości zamieszkania. Przebieg rozmowy udało mi się nagrać i szczegółowo opisałem go w kolejnym artykule, który już wkrótce pojawi się na blogu.
Czy można coś z tym zrobić?
Niestety pomimo iż wiadomość phishingową byłem w stanie rozpoznać praktycznie momentalnie, nie miałem możliwości oznaczyć jej lub zgłosić do zespołu Otomoto jako podejrzanej. Wygląda na to, że oszuści z dużą łatwością kontaktują się ze swoimi ofiarami i nikt im w tym za bardzo nie przeszkadza. Możliwość oznakowania wiadomości jako próby oszustwa mogłaby uchronić kolejne osoby przed kradzieżą. Uważam, że w portalach tego typu powinien to być standard.
Kolejnym problemem jest łatwość z jaką oszuści scrapują dane kontaktowe. Na numer telefonu podany w ogłoszeniu kontakt nastąpił następnego dnia rano (ogłoszenie wystawiałem wieczorem). Oznacza to, że możliwe jest hurtowe skanowanie treści ogłoszeń i pobieranie danych kontaktowych.
Otomoto daje możliwość wystawienia ogłoszenia z wirtualnym numerem telefonu – jest to jednak usługa płatna i nie do końca ochroni nas przed zagrożeniami, bo na wirtualny numer oszuści również będą w stanie zadzwonić.
Ciekawe, czy ktoś z Otomoto to przeczytał??
Wiatam, uważam, że problem jest po stronie banków. Jakby wprowadzono coś w stylu chargeback na wszystkie przelewy to by skala oszustw spadła. Tyle lat jest z tym już problem, nie mogą wszystkie banki się dograć tak jak to było np. Z ustawą do prania pieniędzy itp.
Dziękuję za materiał i pozdrawiam.
Nie jest to takie proste niestety. Pieniądze pochodzące z przestępstw szybko znikają z systemu bankowego. Często są wypłacane, transferowane za granicę lub wymieniane na kryptowaluty.
Zostaje zgloszenie do CERT polska