Komunikat CERT Polska. Dotyczy sprzedających na Allegro Lokalnie

CERT Polska ostrzega o nowym schemacie oszustwa, które wycelowane jest w sprzedających w serwisie Allegro Lokalnie. Atakujący wykorzystują dostępny w serwisie kanał komunikacji, by wysłać w wiadomości prywatnej "fakturę" do sprzedającego. Załącznikiem jest spreparowany plik PDF, w którym pojawia się przycisk "Potwierdź zamówienie". Plik nie jest zainfekowany, ale kliknięcie przycisku prowadzi na fałszywą stronę.

Jeśli sprzedający nie zorientuje się, że to podstęp, po kliknięciu przycisku w pliku zostanie skierowany do fałszywego formularza, gdzie miałby rzekomo potwierdzić złożone zamówienie. Oczywiście nie jest to autentyczna procedura niezbędna do realizacji zamówień na Allegro Lokalnie.

Jeśli jednak ofiara uwierzy, że to konieczny etap, zostanie poproszona o podanie danych logowania do bankowości elektronicznej. Jak łatwo się domyślić, to otwarcie drogi do kradzieży pieniędzy przez osoby trzecie. Jest to kolejny rodzaj oszustwa, w którym problemem nie jest brak technicznych zabezpieczeń po stronie systemu, ale manipulacja i wykorzystywanie niewiedzy atakowanego użytkownika.

Dalsza część artykułu pod materiałem wideo

Apelujemy więc o ostrożność podczas realizowania sprzedaży przez internet, zwłaszcza że nie jest to jedyny rodzaj stosowanego ataku. Oszuści regularnie wysyłają również SMS-y, w których podszywają się pod serwisy sprzedaży i deklarują konieczność "potwierdzenia zamówienia" w celu odebrania środków, co ma być możliwe pod podanym linkiem w treści. Wszystkie takie wiadomości można z góry traktować jako próby wyłudzenia danych. Proces sprzedaży warto samodzielnie kontrolować po zalogowaniu się do panelu obsługi w komputerze czy telefonie.