Podszywają się pod Allegro - z rozmachem, ale czy skutecznie?

Nowa kampania spamowa kusi użytkowników Allegro odbiorem rzekomo przysługującej im nagrody. Wiadomości pochodzą z przejętych kont Gmaila, dzięki czemu omijają filtry antyspamowe.

Tym razem przestępcom nie chodzi o rozsyłanie wirusów, a o wyłudzanie numerów kart płatniczych. Przedsięwzięcie, choć prędko zdradza po sobie swe niecne zamiary, jest zaskakująco rozbudowane. Wiadomości przychodzą z wielu skrzynek pocztowych i prowadzą do kilkudziesięciu różnych złośliwych adresów.

Te jednak przekierowują użytkownika dalej - "losując" jedną z podrobionych stron, oczekujących "podania brakujących danych". Choć najczęściej losowane jest Allegro, można trafić także na AliExpress, Amazon, Temu oraz... Apple.

Złośliwe domeny są na bieżąco "zdejmowane" przez dostawców infrastruktury, na co przestępcy natychmiast reagują rejestrowaniem nowych i aktualizowaniem serwerów przekierowujących. Gdy wyłączony zostanie serwer-pośrednik, mniej więcej następnego dnia rozsyłany jest nowy mail, z innego adresu.

Dalsza część artykułu pod materiałem wideo

Serwowane strony są tłumaczone maszynowo, co oznacza, że kampania raczej nie pochodzi z Polski. Adresy URL są całkowicie niepodobne do adresów sklepów, których stronę rzekomo dostarczają - da się je rozpoznać od razu.

Oszustwo na każdej ze stron polega na tym samym: wymagane jest uzupełnienie danych kontaktowych i płatniczych celem "pokrycia kosztów transportu darmowej nagrody". Oczywiście, prawdziwe nagrody nie są nigdy dystrybuowane w taki sposób - a gdyby np. w Allegro brakowało naszych danych płatniczych, dowiedzielibyśmy się o tym wcześniej. Nie wspominając o tym, że nie zachodzi automatyczne zapisywanie do konkursów z nagrodami.

Jest to więc klasyczny phishing i wyłudzanie numerów kart, w dodatku przetłumaczone tak kiepsko jak zawsze. Co w tym nowego? Skala. Zazwyczaj jedna wiadomość oznacza jeden link prowadzący do jednej strony z oszustwem. Tym razem jednak przychodzi wiele wiadomości, a każda z nich przekierowuje do kolejnych, losowo wybranych oszustw. W niniejszej kampanii aktywnych jest więc kilkanaście złośliwych adresów URL, a nie jeden. Niemal za każdym razem jest to nowa domena (a gdy nie jest nowa - okazuje się serwować phishing od dawna i jako jedyne swoje zadanie), a nie przejęte instancje WordPress/Blogger.

Czy to oznacza, że na tę kampanię wyłożono znaczące środki (co byłoby wyróżniające)? Niestety, nie. Jest to po prostu efekt znaczącego obniżenia cen domen internetowych. Koszt zakupu nowych domen, o nieatrakcyjnych (a więc tanich) adresach, przeznaczonych do wyrzucenia po "spaleniu" kampanii, może się zamknąć w kilkunastu dolarach. A zatem intensywność takich kampanii, choć jest to zgrana i mało skuteczna metoda, będzie rosnąć. Google Safe Browsing i SmartScreen nie nadążają z nich flagowaniem.

Interesujące jest też także to, że wszystkie maile pochodzą ze skrzynek GMail, które wydają się być prawdziwe (niektóre z nich wyszukują się). Prawdopodobnie jest to wykorzystanie zapisanych w przeglądarkach haseł skradzionych przez jakąś niedawną, inną, kampanię malware. Filtry antyspamowe są na to zaskakująco ślepe.

Jak się ustrzec przed oszustwem? Jak zwykle - nie klikać nieznanych linków. Gdy nie mamy pewności na temat jakiegoś powiadomienia, najlepiej samodzielnie udać się na stronę (lub do aplikacji) sklepu i zweryfikować je bezpośrednio u źródła. Poleganie na powiadomieniach mailowych i SMS-owych zawsze będzie mniej bezpieczne niż powiadomienia natywne.

Mamy też możliwości walki z takimi kampaniami. Najsilniejszym narzędziem jest zgłoszenie domeny do dostawcy (registrar). Zgłoszenia takie wymagają jednak często podania imiennych danych kontaktowych, które są weryfikowane. Oszustwo można także zgłosić nam, bez takiego wymagania - stosując formularz do informowania o mailach i SMS-ach od oszustów. Warto także zgłosić taką stronę w samej przeglądarce: Google Safe Browsing (dla Firefoksa i Chrome'a) lub SmartScreen (dla Edge). Swoją bazę znanych oszustw prowadzi także polski CERT.