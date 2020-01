Udostępnij:

"Przesyłam maila otrzymanego dzisiaj rzekomo od Allegro z próbą wyłudzenia wpłaty i zapewne uzyskania dostępu do konta Allegro" – pisze do redakcji dobrychprogramów Janek, prosząc o ostrzeżenie innych użytkowników. Oszustw tego rodzaju było na pęczki, ale to jest na swój sposób szczególne: napastnik bardzo nietypowo spreparował maila.

Sposób działania przestępcy jest wyjątkowo typowy. Ofiara otrzymuje maila z prośbą o symboliczną zapłatę, tym razem pod pretekstem uregulowania prowizji Allegro.

Wiadomość e-mail, jaką otrzymał Janek

Formatowanie nie jest najwyższych lotów, ale logo Allegro, charakterystyczna kolorystyka i groźba blokady konta mogą uśpić czujność. A zaszyty we wiadomości odnośnik prowadzi oczywiście do fałszywej bramki płatności, która służy do wykradania danych bankowych, o czym mogliście czytać już wielokrotnie. Nie klikać, nie podawać żadnych danych, wiadomo.

Nietypowych danych dostarcza natomiast analiza nagłówka fałszywej wiadomości

Co zrozumiałe, domena jest sfałszowana, a mailing idzie z chmury. Tagi starają się udawać maila newsletterowego przed filtrami, jednak nadawca wciąż jest fałszywy.

Teraz najlepsze: sender jest nie tylko sfałszowany, ale także bezsensowny. Bo wskazuje na ręcznie wysyłaną wiadomość z Webmaila. Niemniej spośród konsumenckich usług mailowych chyba jedynie Gmail ma stosowne zabezpieczenia i filtry, aby tego typu zabieg wykryć.

Received: from fmx52.pf.interia.pl (localhost [127.0.0.1])by fmx52.pf.interia.pl (Postfix) with ESMTP id 0CAEDC045026;Sat, 4 Jan 2020 16:05:00 +0100 (CET) Received: from hwsrv-657292.hostwindsdns.com (slot0.jxxx00193.com [104.168.242.209])(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))(No client certificate requested)by fmx52.pf.interia.pl (Postfix) with ESMTPS;Sat, 4 Jan 2020 16:04:38 +0100 (CET) Received: from [127.0.0.1] (helo=localhost)by hwsrv-657292.hostwindsdns.com with esmtp (Exim 4.92.3)(envelope-from <a rel="nofollow"dmin@jxxx00193.com>)id 1ink9l-000108-CP; Sat, 04 Jan 2020 14:11:57 +0000 X-Envelope-From: <a rel="nofollow"dmin@jxxx00193.com> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;d=jxxx00193.com; s=mail; h=Message-ID:Subject:To:From:Date:Content-Type:MIME-Version:Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive;bh=fMsRVfk18JKWPmXL38ldSevqWBDIZFjbvecjcPqvl80=; b=D8eBnoPh7+5SbuhaOy4Ip6jYFq9ph7Xm0dmRbYfGEJVczhg76h97BkyYDdf/5NGUS+zbf6yI/99T5N4O1A2kz5QlJkWP34ZDrM05CKz1j6e2ERV4Z9U4ZKZWYkehZqPn2mke/gY0yYnogT3K9D/kMF/OqpMocUlKPW+Oe3/DNBM=; Date: Sat, 04 Jan 2020 15:11:57 +0100 From: "Allegro Sp. z o. o." <a rel="nofollow"dmin@jxxx00193.com> To: undisclosed-recipients:; Subject: Nierozliczone zobowiązanie Allegro - Blokada konta User-Agent: Roundcube Webmail/1.4.1 Message-ID: <05008436cabc8fd1c8ba60df0430c64b@jxxx00193.com> X-Sender: admin@jxxx00193.com X-IPL-Priority-Group: 0-0 X-IPL-VerifiedSender: admin@jxxx00193.com X-IPL-SAS-SPAS2: 0.3826 X-Interia-Antivirus: OK X-IPL-SAS-IP: 104.168.242.209 X-IPL-SAS-ZERO: -0 X-IPL-SAS-UREP: -3Fs X-IPL-SAS-UREP-PRIV: 0 X-IPL-SAS: -3.383 X-IPL-Envelope-To: xxx@poczta.fm MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----5WCI80438N3RX6X8DZX9G8X0ZZUEH4" Content-Transfer-Encoding: 7bit

A to nie koniec niespodzianek. Wszystkie możliwe tropy, w tym fałszywa bramka płatności, prowadzą do serwera w USA. Siedzi tam linuksowa infrastruktura, Linux 4.4, postawiona jednak zapewne wyłącznie w celu dokonania oszustwa. Jest też SSH na porcie 22. Akceptuje hasła i klucze, ale każda kolejna próba wydłuża czas oczekiwania. Więc atak brute force'owy odpada.

Tak czy inaczej, widać, że oszustwo nie jest wyjątkowo eleganckie. Ba, właściwie to przedstawia się dość zabawnie od strony technicznej. Ale swoje żniwo niestety zebrać może. Odpowiadając na prośbę Janka, przypominam o rozwadze przy dokonywaniu płatności przez nadsyłane linki.