Phishing wymierzony w użytkowników Allegro. Hakerzy chcą przejąć dane logowania

Allegro znów na celowniku cyberprzestępców. A właściwie użytkownicy Allegro. Hakerzy wysyłają maile podszywające się pod tę znaną platformę e-commerce. Pod płaszczykiem konieczności zalogowania do serwisu wykradają dane użytkowników.

Mail phishingowy wymierzony w użytkowników Allegro.
Mail phishingowy wymierzony w użytkowników Allegro.

Historia przytrafiła się jednemu z naszych czytelników. To nie pierwsza i zapewne nie ostatnia próba podszycia się pod Allegro. Gratulujemy spostrzegawczości, nawet na takim etapie, i dziękujemy za poinformowanie redakcji. Przytoczmy e-mail, który otrzymaliśmy:

[quote]„Witam,

właśnie przed momentem dostałem takiego maila i powiem szczerze że nawet się na niego nabrałem, mianowicie kliknąłem w odnośnik AKCEPTUJE. Dopiero po wpisaniu loginu i hasła, zorientowałem się że adres w przeglądarce nie należy do allegro. Oczywiście natychmiast zmieniłem hasło do swojego konta w allegro.

Strona, która się otworzyła po kliknięciu w AKCEPTUJE, jest naprawdę łudząco podobna do allegro i to mnie zmyliło. Może warto ostrzec innych...

Pozdrawiam”

[/quote]Fałszywa zmiana regulaminuGodziny poranne. Na firmową skrzynkę przychodzi wiadomość, która nie wzbudza podejrzeń. Ot, kolejna informacja od Allegro i zmianie regulaminu. Tylko proszą o zalogowanie się i akceptację nowych ustaleń.

Mail od naszego czytelnika z załączoną wiadomością od cyberprzestępców.
Mail od naszego czytelnika z załączoną wiadomością od cyberprzestępców.

Od razu widać nieco nieścisłości, ale nie obwiniajmy naszego czytelnika, że na tym etapie nie zauważył oszustwa. Nie każdy idealnie patrzy na wszystkie małe detale w każdym mailu, tym bardziej, że zapewne na skrzynkę sklepu przychodzi masa wiadomości i można popaść w rutynę lub po prostu spieszyć się z pracą.

Treść maila teoretycznie nie budzi wątpliwości, poza dwoma literówkami. Brakiem spacji pomiędzy słowami „przeprowadzićstandardową” i ogonka w wyrazie „AKCEPTUJE”. Chyba nie ma innych większych błędów. Przynajmniej od strony poprawności języka. Wiele podobnych maili jest napisana jak na kolanie przez półanalfabetę i z kilometra czuć szwindel. Za to prośba o akceptację regulaminu po zalogowaniu (jeszcze do tego z podkreśleniem jej rutynowości) to dziwna praktyka.

Ciężko nam stwierdzić, jak to jest w przypadku firm. Ale użytkownicy prywatni mają tylko informację o nowych warunkach i automatycznej zgodzie. Jedynie brak wyrażenia chęci akceptacji zmian musi wiązać się z akcją po ich stronie. Poza tym sformułowanie „jesteśmy zmuszeni przeprowadzić standardową akceptację” nie do końca trzyma się kupy wizerunkowo.

Lipne Allegro nie dla Chrome i Firefoxa

Wystarczy kliknąć na „AKCEPTUJE” i zostaniemy przeniesieni do Allegro. A przynajmniej strony bardzo do niej podobnej. Nasz czytelnik zauważył pomyłkę dopiero po wpisaniu loginu i hasła, ale zaraz za chwilę zmienił dane logowania. Cóż, chyba w ostatnim momencie.

Podrobione Allegro na Operze.
Podrobione Allegro na Operze.

Po chwili sprawdzenia okazało się, że link jest już na celowniku w części przeglądarek WWW. Filtr Google Safe Browsing (sprawdza, czy URL nie stara się podszyć pod inny znany adres) skutecznie blokuje próby wejścia na ten już na pierwszy rzut oka bardzo podejrzany adres - allegro[kropka]pl-nowe-regulamini7913[kropka]uhu362[kropka]com/3219/

Użytkownicy Google Chrome, Safari, Firefox, Vivaldi i GNOME Web dostaną stosowny komunikat o próbie phishingu. Testy wykonane po południa na Firefoxie, Chrome, Operze i Edge wykazały brak odporności dwóch ostatnich przeglądarek. Strona normalnie wczytywała się. Chwilę przed publikacją artykułu, ponownie sprawdziliśmy mechanizmy i Opera już z powodzeniem filtrowała stronę, Edge dalej nie.

Prawdziwe Allegro dla porównania. W fałszywym usunięto alternatywne metody logowania.
Prawdziwe Allegro dla porównania. W fałszywym usunięto alternatywne metody logowania.

Sprawa z rosyjskim wątkiem

Wróćmy na chwilę do samego maila. Ostatnio informowaliśmy o podobnym procederze, ale wymierzonym w potencjalnych klientów (a nawet przypadkowych ludzi, w końcu nasza redakcja nie ma opisywanej usługi, a dostaliśmy taką niespodziankę bezpośrednio na firmową skrzynkę) banku Pekao S.A. i oferty Pekao24Makler. Wtedy adres nie wzbudzał podejrzeń, bo wiadomość pochodziła rzekomo od Pekao24@pekao.com.pl. Dopiero w źródle było widać prawdziwego nadawcę.

Przypadek z Allegro jest mniej przemyślany, bo od razu widnieje powiadomienia@allegrom[kropka]pl. Mail z małym dopiskiem jednej niepasującej literki, choć to nie taki potworek jak adres samej strony. Chwila sprawdzenia i dowiedzieliśmy się, że cyberprzestępcy zarejestrowali skrzynkę pocztową (lub przynajmniej samą jej domenę allegrom[kropka]pl z IP 91.198.146.247) w polskim serwisie Domeny.pl, a portal udający Allegro siedzi na zasobach MAROSNET Telecommunication Company LLC (marosnet.ru) i ma IP 91.234.99.127.

Alert o niebezpiecznej stronie na Firefoxie.
Alert o niebezpiecznej stronie na Firefoxie.

Zgłaszajmy, nie dajmy okraść innych

Ingerencja odpowiednich organów będzie prosta przy okazji skrzynki pocztowej, jednak procedury podjęte dla wyłączenia strony mogą zachodzić znacznie dłużej z racji postawienia jej na zagranicznym rosyjskim serwerze. Sprawę przekażemy do wiadomości Allegro.

W takich wypadkach warto szybko ingerować i nie tylko samemu nie dać się nabrać, ale powiadomić odpowiednie organy (firmę pod którą podszywaj się przestępcy, policję lub tak jak w tym wypadku naszą redakcję). Może to uratować część kolejnych potencjalnych ofiar przed wyłudzeniem wrażliwych danych.

Alert o niebezpiecznej stronie na Chrome.
Alert o niebezpiecznej stronie na Chrome.

Co dalej mogło się wydarzyć? Przejęcie kontroli nad kontem. Firma naszego czytelnika dalej wystawiałaby i sprzedawała swój asortyment, a zapewne pieniądze po podmianie danych konta bankowego kończyły by swoją podróż u cyberprzestępców. Choć też mogłoby się to skończyć wystawianiem nielegalnych (pochodzących z kradzieży) przedmiotów na boku czy innymi nieprzyjemnościami.

Logowanie dwuetapowe

Allegro dobrze wie o takich próbach wyłudzenia danych logowania. Właśnie po to wprowadziło dwuetapową metodę logowania. Poza loginem i hasłem, podaje się wtedy jednorazowy numer odblokowujący z SMS. Funkcja nie jest wymagana, ale jej aktywacja znacznie podwyższa poziom bezpieczeństwa. Logowanie na innym komputerze czy nawet nowej przeglądarce wywoła zapytanie o PIN z SMS. Same podstawowe dane nie wystarczą do przejęcia kontroli.

Alert o niebezpiecznej stronie na Operze dostępny już wieczorem.
Alert o niebezpiecznej stronie na Operze dostępny już wieczorem.

Warto korzystać z dodatkowych metod uwierzytelniania. Obecnie gracze mają na tym polu wiele dobrego, bo wymagany dodatkowy kod można włączyć np. w Steam albo Epic Games Store. Nie zawsze to PIN z SMS. Może być też ciągiem znaków otrzymywanym na maila lub aplikację mobilną. Poza tym najczęściej da się włączyć mechanizm w dwojaki sposób. Jako opcję każdorazowej prośby o tę metodę weryfikacji lub wyłącznie w przypadku logowania na nowym urządzeniu.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (37)