Strach przed utratą zamówionej przesyłki potrafi całkowicie uśpić czujność. Wykorzystuje to nowa, wyjątkowo bezczelna kampania wyłudzania danych, przed którą ostrzegają eksperci bezpieczeństwa. Do losowych internautów trafiają wiadomości z informacją o rzekomym błędzie w adresie dostawy. Użytkownik, który ulegnie presji czasu i kliknie w podesłany link, wpada w sidła pułapki, gdzie każdy jego krok na klawiaturze jest śledzony w trybie online przez ukrytego po drugiej stronie przestępcę.
Dlaczego to oszustwo na Allegro jest tak skuteczne?
Cały przekręt opiera się na sprytnej manipulacji, która zaczyna się na długo przed próbą wyciągnięcia numeru karty bankowej. Po kliknięciu w przycisk aktualizacji adresu, na ekranie pojawia się znany test na obecność botów z prośbą o potwierdzenie, że jest się człowiekiem. Ta znana weryfikacja działa jak psychologiczna zasłona dymna, która podświadomie buduje poczucie bezpieczeństwa. W rzeczywistości oszuści używają jej do blokowania automatycznych systemów antywirusowych, dzięki czemu fałszywa witryna może dłużej oszukiwać ludzi.
Oszustwo wychodzi na jaw dopiero po spojrzeniu na pasek przeglądarki. Ekran logowania wygląda jak wierna kopia mobilnej wersji Allegro. Strona fizycznie znajduje się jednak pod adresem z rumuńską końcówką krajową, gdzie słowo „allegro” doklejono jedynie jako przedrostek. Podobnie sytuacja wygląda z samym mailem. Wiadomość przychodzi z zupełnie obcej i niepowiązanej z portalem domeny.
Przechwytywanie danych w czasie rzeczywistym
Najbardziej niebezpieczny mechanizm całego oszustwa ukryto głęboko w kodzie fałszywego panelu płatności. Po przejściu przez formularz logowania system żąda symbolicznej dopłaty kilkunastu złotych za ponowną weryfikację kurierską. Warunkiem jest jednak podanie pełnych danych karty płatniczej wraz z kodem CVV.
Analiza techniczna witryny ujawniła, że strona nie jest statycznym formularzem. Skrypty w tle nieustannie wysyłają wpisywane znaki bezpośrednio na serwer złodziei. Przestępca widzi więc wszystko na żywo. Jeśli bank zorientuje się, że dzieje się coś podejrzanego i wyśle do klienta SMS z kodem autoryzacyjnym, oszuści natychmiast reagują i generują na ekranie dodatkowe okienko z prośbą o przepisanie tego hasła. To pozwala im momentalnie wyczyścić konto ofiary.
Aby nie dać się okraść, w przypadku jakichkolwiek wątpliwości dotyczących zakupów należy całkowicie zignorować otrzymany link. Jedynym bezpiecznym rozwiązaniem jest ręczne wpisanie adresu platformy w oknie przeglądarki lub uruchomienie oficjalnej aplikacji i zweryfikowanie statusu paczki bezpośrednio w swoim panelu klienta.
Źródło tekstu i zdjęcia otwierającego: CERT Orange
