Uważajcie na fałszywy sklep z elektroniką! Stracicie pieniądze i kontrolę nad komputerem.

Cyberprzestępcy stworzyli fałszywy sklep internetowy, aby wyłudzić od Ciebie pieniądze i zainfekować Ci komputer złośliwym oprogramowaniem. Przeczytaj artykuł i sprawdź, czy nie robiłeś w nim zakupów.

Uważajcie na fałszywy sklep z elektroniką! Stracicie pieniądze i kontrolę nad komputerem.

Ataki phishing z wykorzystaniem fałszywej strony Dotpay trwają już od roku. Cyberprzestępcy w dalszym ciągu kupują nowe domeny i tworzą fałszywe strony, które wyglądają niemal identycznie jak oryginalne strony banków.

Wcześniej przestępcy pod pretekstem dokonania opłaty za przesyłkę rozsyłali do potencjalnych ofiar linki do fałszywych stron.

Opisywaliśmy ten atak na naszym blogu, przeczytaj artykuł i zobacz, jak wyglądały fałszywe strony phishing https://sirt.pl/ataki-phishing-wykorzystujace/.

Popularną metodą stosowaną przez przestępców było także umieszczanie ogłoszeń w popularnych serwisach ogłoszeniowych. Wystawiane przez nich przedmioty zachęcały do kupna niską ceną. Zdarzało się, że przestępcy wystawiali przedmioty do oddania za darmo. To wszystko miało jedynie przyciągnąć potencjalne ofiary. W dalszych krokach ataku wysyłana była wiadomość z linkiem przekierowującym do strony phishing.

Aktualnie, cyberprzestępcy coraz częściej tworzą własne sklepy internetowe. Robią to po to tylko, aby od kupującego wyłudzić dane autoryzacyjne do konta bankowego. Przechwycenie przez nich tych danych zwykle wiąże się z utratą wszystkich środków na koncie.
Przykład takiego schematu ataku opisujemy poniżej w artykule.

1050-sklep

Opisywany w artykule sklep działa pod adresem 1050-sklep.com. W ofercie możemy znaleźć sprzęt AGD, telefony, nawigacje GPS, komputery, telewizory, oprogramowania, aparaty fotograficzne, kamery.

Główna strona sklepu zachęca odwiedzających "ogromną wyprzedażą smartfonów". Zobaczcie zdjęcie poniżej:

1_sklep_glowna

Ceny wszystkich produktów w sklepie są bardzo atrakcyjne. Zapewne przestępcy próbują w ten sposób przyciągnąć osoby, które chcą zaoszczędzić trochę pieniędzy.

Dla porównania sprawdziliśmy ceny aparatu NIKON. W sklepie 1050-sklep kosztuje dokładnie 2546,99 zł.

2_sklep_nikon

Taki sam aparat, tej samej firmy w innym, losowo wybranym sklepie kosztuje już 3099 zł. Różnica w cenie to ponad 500 zł.

_nikon

Podobnie jest w przypadku każdego innego produktu dostępnego w sklepie 1050-sklep. Ceny są zaniżone średnio o kilkaset złotych. Z pewnością jest to kusząca oferta dla osób szukających okazji. Sprzęt jest dokładnie taki sam, a można zaoszczędzić sporo pieniędzy.

Postanowiliśmy sprawdzić jak dokładnie działa sklep. Skorzystaliśmy z reklamy na pierwszej stronie, która informuje o wyprzedaży smartfonów. Wybraliśmy telefon Samsung Galaxy, który kosztuje 1219,99 zł.

3_sklep_samsung

Dla porównania, ten sam smartfon w innym sklepie kosztuje już 1599 zł. Zatem oszczędzamy prawie 400 złotych.

_samsung

Przechodzimy do podsumowania zakupów. Jak widzimy poniżej, aby zrealizować zamówienie w sklepie, musimy założyć w nim konto.

5_sklep_logowanie

Przechodzimy do opcji płatności. Nie mamy możliwości wyboru płatności za pobraniem. Jedyną opcją do wyboru jest przedpłata na konto bankowe.
Jeśli dla kogoś mocno zaniżone ceny produktów w sklepie 1050-sklep nie będą niczym podejrzanym i zdecydują się na zakupy, to wybór sposobu płatności powinien być ostrzeżeniem. W każdym sklepie internetowym bowiem mamy możliwość wyboru płatności za pobraniem.

8_sklep_zaplata_1

Po złożeniu zamówienia, na podany adres email przychodzą wiadomości. Wyglądają normalnie, jak większość wiadomości przychodząca ze sklepów internetowych po dokonaniu zakupu.

Oto jedna z otrzymanych wiadomości email:

12_email2

Jeśli ceny w sklepie internetowym są podejrzanie niskie, a jedyną formą płatności jest przedpłata na konto bankowe - zachowaj szczególną ostrożność, to może być oszustwo!

Phishing

Po kilkunastu minutach od złożenia zamówienia otrzymaliśmy SMS z linkiem do opłacenia zamówienia.

_SMS-1

Po kliknięciu w link zostajemy przekierowani do fałszywej strony szybkich płatności Dotpay. W pasku adresu widzimy zieloną kłódkę, jednak sam adres strony się nie zgadza.

Pamiętaj, że zielona kłódka nie gwarantuje, że strona jest autentyczna. Przeczytaj więcej na ten temat w naszym artykule https://sirt.pl/certyfikat-ssl-ev-2/.

Tak wygląda fałszywa strona podszywająca się pod system szybkich płatności Dotpay.

13_phish_glowna

Po wybraniu swojej bankowości zostaniesz przekierowany do docelowego phishingu. Jak widzimy poniżej, strona wykorzystuje logotyp banku. W ten sposób przestępcy wyłudzają dane logowania do bankowości.

14_phish_bank

W dalszych etapach ataku phishing wyłudzane są również kody autoryzacyjne do bankowości. Przestępcy w ten sposób mogą bez Twojej wiedzy zlecić przelew pieniędzy na swoje konto.

Dane logowania do bankowości wprowadzaj tylko na stronie swojego banku. Zawsze sprawdzaj, czy adres strony jest poprawny.

Jeśli Twój bank nie jest atakowany przez przestępców, zostaniesz przekierowany do opcji płatności kartą. W tym przypadku kradzione są poufne dane, numer i data ważności karty oraz kod CVV/CVC. Skradzione w ten sposób dane cyberprzestępcy mogą wykorzystać do dokonywania płatności w internecie, oczywiście na Twój koszt.

Jeśli chcesz dowiedzieć się w jaki sposób rozpoznać stronę phishingową, jakie metody manipulacji stosują cyberprzestępcy, aby wykraść Twoje poufne dane oraz jak się przed tym wszystkim ochronić koniecznie przeczytaj WHITEPAPER o phishingu.

Złośliwe oprogramowanie

Po kilku dniach od złożenia zamówienia w sklepie 1050-sklep otrzymaliśmy kolejną wiadomość email z informacją o wysłaniu rzekomego zamówienia. W wiadomości znajduje się link pod którym możemy sprawdzać status naszej przesyłki.

Tak wygląda otrzymana wiadomość email.

NetWire_spam-1

Po kliknięciu w odnośnik do rzekomego listu przewozowego w formacie PDF zostajemy przekierowani do fałszywej strony DHL. Następnie użytkownikowi wyświetlany jest komunikat: "Aby otworzyć plik. Prosimy zaaktualizowac wtyczke adobe reader do najnowszej wersji".

NetWire_komunikat-1

Zatwierdzenie przyciskiem OK skutkuje przekierowaniem do fałszywej strony, z której po kliknięciu Zainstaluj pobierany jest rzekomo Adobe Acrobat Reader DC.
Analiza zagrożenia ujawniła złośliwe oprogramowanie o nazwie NetWire RAT. Za pomocą niego przestępcy mogą przejąć kontrolę nad zainfekowanym komputerem, przechwycić loginy i hasła oraz mieć dostęp do prywatnych danych użytkownika.

NetWire_adobe-1

Podsumowanie

Robiąc zakupy w internecie korzystaj jedynie ze sprawdzonych i zaufanych sklepów. Te mało znane sklepy, działające od niedawna mogą należeć do oszustów. Zwracaj także uwagę na ceny produktów. Jeśli są one mocno zaniżone, w porównaniu do cen w innych sklepach - zastanów się, czy to nie jest oszustwo.

Pamiętaj też, aby zawsze sprawdzać adres witryny, na której dokonujesz płatności. Jeśli widoczna jest tylko zielona kłódka, bez nazwy firmy obok - strona może należeć do oszustów.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.