Oszustwo na przesyłkach OLX – jak przestępcy wyłudzają dane kart płatniczych
Wystawiasz towar na OLX. Bardzo szybko pojawia się zainteresowany klient, który chce skorzystać z bezpiecznej Przesyłki OLX. Na koniec jednak okazuje się, że zamiast przybyć ci pieniędzy, to ubyło – i to całkiem niemało. Co się stało?
Każda pojawiająca się nowa usługa dostawy, forma płatności czy inne ułatwienie zakupów w serwisach handlowych powoduje powstanie nowych scenariuszy oszustwa. Często to przestępcy tłumaczą swoim ofiarom, jak działa ta czy inna metoda płatności.
Tak jest teraz, gdy obserwujemy bardzo dużą liczbę domen phishingowych podszywających się pod portal OLX. Scenariusz jest bardzo ciekawy i chwilę zajęło nam jego zrozumienie. Nie ma tu kampanii maili czy SMS-ów zachęcających, obiecujących czy wręcz grożących, by nakłonić ofiarę do kliknięcia w link. Ofiarą jest sprzedający – precyzyjnie wybrany przez atakującego.
Ofiar niestety przybywa każdego dnia, a ataki trwają od kilku tygodni. Historia rozpoczyna się na Ukrainie i Białorusi na początku roku 2020, gdy OLX wprowadził nową możliwość rozliczania transakcji – Przesyłki OLX.
Bezpieczna przesyłka czy wabik na ofiarę?
Nowa usługa ma na celu zwiększenie zaufania do transakcji na portalu. Początkowo portal służył do ogłoszeń, a transakcje były realizowane bezpośrednio z rąk do rąk. Popularność handlu w sieci oraz zagrożenie epidemiologiczne sprawiły jednak, że ten model musiał ulec zmianie na wariant zdalny.
Często dochodziło zatem do sytuacji, gdy kupujący bał się płacić z góry za towar, nie mając pewności, że go otrzyma, a i sprzedający bał się wysyłać towar, ponosząc koszty przesyłki i czekając na płatność. OLX postanowił ten problem rozwiązać, wprowadzając nowy model zakupów nazwany Przesyłki OLX. Wraz z tą usługą uruchomiono też Płatności OLX.
Jak to działa? Zacytujujemy oryginalny poradnik:
„Zostaniesz przekierowany na stronę płatności”
Są to jednak tylko wskazówki dla kupujących, a ich trudniej przestępcom złapać. Złodzieje postanowili zatem wykorzystać tę usługę, by naciągać sprzedających.
Historycznie pierwsze ataki oraz domeny wymierzone były w użytkowników z Ukrainy i Białorusi, bo tam OLX uruchomił najpierw wspomnianą usługę. Pojawiły się domeny takie jak:
- hxxpolx-deliveryorg
- hxxpolxsecurity-onlineinfo
- hxxpsolxplzapowiedz-site
- hxxpsolxploferta
Przestępcy spróbowali też swoich sił na innych portalach kupna-sprzedaży, np. Kufar (polski odpowiednik to Sprzedajemy.pl czy Gumtree.pl). Usługa Przesyłki OLX ruszyła w pełnej skali w Polsce 10 września 2020 r. Już na początku października zaobserwowaliśmy pierwsze domeny podszywające się pod tę usługę.
Od połowy października opisywany scenariusz jest bardzo aktywnie wykorzystywany przez przestępców.
Jak działają oszuści?
Osoba sprzedająca wystawia ogłoszenia w portalu OLX. Co prawda obserwowane były też ataki na użytkowników portali Sprzedajemy.pl oraz Gumtree.pl, jednak nie zyskały one takiej popularności jak te na OLX.
Przestępca nawiązuje relację ze sprzedającym. Najpierw prosi o potwierdzenie, czy ogłoszenie aktualne – nie chce tracić czasu na oszukanie kogoś, kto i tak nie „łyknie” przynęty. Po potwierdzeniu aktualności ogłoszenia następuje jeszcze podkręcenie zainteresowania i stworzenie przekonania, że kupującemu bardzo zależy.
Po krótkiej rozmowie ofiara dostaje informację, że towar zostanie zakupiony, ale sposobem zapłaty będą Płatności OLX. Dlaczego? Tłumaczenia bywają różne – to jedno z nich. Rozmówca przysyła instrukcję działania – zaobserwowaliśmy kilka wersji, np. osadzoną na stronie w domenie phishingowej.
W tym momencie następuje punkt kulminacyjny scenariusza. Ofiara, czyli sprzedający, otrzymuje link służący rzekomo do odbioru płatności, a w rzeczywistości jest to strona phishingowa służąca do pobrania informacji o karcie płatniczej sprzedającego, wykonania transakcji lub połączenia jej z elektronicznym portfelem oszusta. Przykładowe domeny:
- hxxpsolx-mysite
- hxxpsolxplwysylkashop
- hxxpsolxplwysylkalive
- hxxpolxplwysylkame
Po wejściu na stronę oszusta ofiara widzi swój produkt oraz informację, że zapłata czeka. W niektórych wariantach tej informacji brak. Przestępcy dla każdego sprzedającego przygotowują indywidualną stronę informacyjną, która uwiarygodnia całą historię.
Po kliknięciu w przycisk „Otrzymać”, „Potwierdź zamówienie”, „Zabrać” ofiara przechodzi się do strony, na której ma dojść do wyłudzenia danych karty płatniczej. W kolejnym kroku pojawia się prośba o wpisanie kodu przysłanego z banku. Ofiara myśli, że potwierdza odbiór zapłaty, a tymczasem potwierdza operację, której nie jest świadoma.
W tym scenariuszu może być to np. nieautoryzowana transakcja kartowa w internecie albo dodanie karty do elektronicznego portfela oszusta, dzięki czemu przestępcy mogą nawet wypłacić pieniądze z bankomatu czy zapłacić w sklepie za granicą.
Potrzebę wpisania kodu SMS przestępcy tłumaczą np. tak: „Zdarza się, że operator jest zajęty obsługą zbyt wielu ofiar naraz – wtedy ofiara na stronie otrzyma komunikat 'Uwaga. Ze względu na duże obciążenie serwera przesłanie kodu może być opóźnione o kilka minut’. Człowiek od razu staje się spokojniejszy, prawda?”
W pewnym momencie przestępcy uznali jednak, że nie chcą mieć danych, za pośrednictwem których nie będą mogli zdobyć satysfakcjonującej ich gotówki, i wprowadzili dodatkowy etap weryfikacji – podanie salda rachunku. Jeżeli wskazana kwota będzie mniejsza niż 500 zł, choć sami w rozmowie twierdzą, że chodzi o 300 zł, to ofiara otrzymuje informację, że karta jest niewłaściwa i należy podać inną.
Najwyraźniej jednak ten etap weryfikacji wzbudzał wśród ofiar zbyt wiele niepokoju i doprowadzał do tego, że niektóre osoby rezygnowały, więc drogą kompromisu przestępcy często nie proszą już o wpisanie salda.
Jak przestępcy uwiarygodniają swoją historię?
Fałszywe strony OLX są tłumaczonymi wersjami rosyjskojęzycznego serwisu. Widoczne są liczne błędy językowe wskazujące, że tłumaczenie jest robione automatycznie. Elementów sugerujących, że jest to produkt rosyjski, jest co nie miara. Dociekliwym czytelnikom zostawiamy analizę kodu źródłowego.
Dlaczego złodzieje nie skopiowali po prostu polskiej witryny? To dobre pytanie. Przestępcy w komunikacji używają automatycznego tłumacza. Komunikują się za pomocą WhatsAppa. Interesujące, że po zakończeniu realizacji scenariusza usuwają wiadomości zawierające linki, które wysyłali do swoich ofiar. Najprawdopodobniej celem jest przedłużenie życia domen, które mogą być wykorzystywane w kolejnych atakach.
Mimo iż w polskiej wersji OLX jest dostępnych wiele metod płatności, to przestępcy ograniczyli się tylko do kradzieży danych kart płatniczych. Prawdopodobnie powodem jest skalowalność ataku – taki sam scenariusz wykorzystywany jest w wielu krajach.
Choć atak jest w swojej logice absurdalny – to w końcu kupujący powinien podawać dane karty, a nie sprzedający – to wiele ofiar daje się złapać. Być może powodem jest to, że przestępcy zazwyczaj odzywają się chwilę po wystawieniu produktu. Tego nie wiemy, możemy tylko przypuszczać.
Jak się chronić przed podobnymi oszustwami?
Czytając artykuł, zauważyłem, że dodatek Dark Reader informuje, że Zaufana Trzecia Strona jest na globalnej czarnej liście – cokolwiek miałoby to oznaczać. Niezależnie od tego, oto kilka porad, które warto wziąć sobie do serca:
- Czytaj uważnie wiadomości od potencjalnych kupujących. Zwracaj uwagę na błędy językowe, dziwne sformułowania i niestandardowe prośby.
- Weryfikuj linki i domeny. Sprawdzaj, czy prowadzą one na prawdziwe strony OLX, a nie na podobnie wyglądające witryny.
- Nie podawaj poufnych danych. Nigdy nie wpisuj na żądanie numeru karty, daty ważności, kodu CVV ani salda rachunku.
- Kontaktuj się poza komunikatorem. Jeśli ktoś nagli cię do działania przez WhatsApp, poproś o kontakt przez oficjalne kanały OLX.
- Zgłaszaj podejrzane działania. Jeśli coś wydaje ci się nielegalne lub niebezpieczne, skontaktuj się z organami ścigania.
Pamiętaj, że OLX nigdy nie będzie cię wzywać do podawania poufnych danych poza swoimi oficjalnymi kanałami. Zachowaj czujność i nie daj się nabrać na te wyrafinowane metody oszustów.
