Nowa atak na konta bankowe, czyli czemu wszyscy oszukują na Dotpaya

Od półtora roku opisujemy pewien schemat ataku. Schemat, wydawałoby się, prosty – ale najwyraźniej niestety skuteczny. Dzisiaj ujawniono kolejną jego odsłonę – analizujemy i opisujemy, skąd biorą się narzędzia przestępców.

Serwis nbzp opisał scenariusz ataku, w którym ofiara otrzymuje spersonalizowaną wiadomość SMS, prowadzącą na spreparowaną stronę przestępcy. Tam już czeka dobrze nam znany panel udający usługę Dotpaya, który świetnie wspomaga proces okradania Waszych rachunków, Piszemy, jak przebiega oszustwo i gdzie można taki panel kupić.

Skąd my to znamy

Oto widok, na jaki natrafia ofiara po wybraniu linka od przestępcy.

Zdecydowanie nie jest to widok nam obcy. Jest nawet całkiem podobny do innego obrazka sprzed prawie roku:

O atakach „przez Dotpaya” pierwszy raz pisaliśmy półtora roku temu i najwyraźniej metoda dalej działa. Sprawdźmy jednak, jak funkcjonuje oszustwo.

Krok po kroku

Co się stanie, jeśli wybierzecie jeden z banków z listy i spróbujecie „dokonać płatności”? Tu robi się ciekawie. Zostaniecie poproszeni o zalogowanie się do swojego rachunku – wszystkie strony banków zostały skopiowane, niektóre zawierają dane wskazujące, że kopie pochodzą z połowy roku 2017.

Gdy podacie już login i hasło, będziecie musieli dłuższą chwilę poczekać na ich weryfikację.

Wszystko wskazuje na to, że złodzieje sprawdzają poprawność podanych danych do logowania. Wiewiórki donoszą nam, że tak było też w poprzednich kampaniach. Czas potrzebny na weryfikację sugeruje, że albo mają baaardzo wolne proxy, albo ktoś siedzi i pieczołowicie loguje się konto po koncie. Gdy podacie nieprawidłowe dane, otrzymacie następujący komunikat:

Gdy jednak podacie dane prawidłowe,to przestępcy zdefiniują na Waszym rachunku przelew zaufany, a Wam wyświetlą prośbę na przykład o akceptację nowych warunków używania rachunku – poprzez przepisanie kodu SMS. Kto nie czyta treści wiadomości SMS, ten przepisze, żegnając się ze swoimi pieniędzmi.

Jeśli z kolei nie wybierzecie swojego banku lub będzie z jakiegoś powodu niedostępny, to traficie na panel płatności kartą. Tam scenariusz jest prosty – kończy się po podaniu danych i przekazaniu ich przestępcom.

Skąd te strony

Okazuje się, że polskie podziemie internetowe także się profesjonalizuje i dzieli pracą. W sieci znaleźć można ofertę, wystawioną na forum Cebulka w grudniu 2017 przez niejakiego Hochwanderka, która wygląda tak:

Pełny tekst ogłoszenia zawiera kilka ciekawostek:

Czesc, sprzedam bramke platnosci wraz z fake strona dotpay.pl jak dziala?

https://niebezpiecznik.pl/post/nie-opla … imilarpost

https://niebezpiecznik.pl/post/przekret … ze-na-olx/

https://zaufanatrzeciastrona.pl/post/uw … a-bankowe/

Z3s ladnie pisze, koniecznego nie lubie.
Bramka posiada wszystko co potrzebujesz do przejecia konta bankowego tak by wyplacic z niego pieniadze.
Bramka wpisany kod sms potrzebny do wykonania przelewu lub nadawcy zdefiniowanego automatycznie wysyla do administratora, ewentualnie do .txt jak kto woli.
Bramka jest odciazona czyli nie posiada zbednych smieci, nie ma glupot ktore zamulaja admina lub ofiare. Przechwytuje dane do logowania kod sms i ladnie dziekuje za platnosc. Wszystko sie robi samo.
Bramka obsluguje wiekszosc uzytecznych bankow, ale na zyczenie moge dodac jakis bank tylko kto majacy sensowne pieniadze zaklada konto w skoku w pierdziszewie gornym?
Jesli masz odrobine mozgu i socjotechniki to bramka daje mozliwosc produkcji kont na nieswiadomych slupow ktore wytrzymuja duzo dluzej niz konto na meneli otwarte 3 miesiace wczesniej.

Moja oferta jest skierowania glownie do osob ktore pracuja dla pewnej osoby za drobniaki i dostaja w zamian kilka procent tego co zarobili. Zamiast byc bialym murzynem zostan sam sobie szefem i nie daj sobie wkladac siusiaka w pupe 🙂

Ile takie cos zarabia? raz malo a raz duzo. Jesli wplate robi idiotka ktorej oddajesz za darmo wozek dla dziecka to 100-500zl. Jesli wplate robi osoba ogarnieta, to raz na 2-3 dni pracujac samemu  7-12k wpadnie.
Kase zrzucasz na przejety przez siebie wczesniej rachunek, dogadujesz sie z kims o bankierke lub zrzucasz na gielde do wyboru do koloru.

Bramka bedzie posiadac opcje rozsylania wiadomosci na olx z losowym odstepem czasowym do ludzi ktorzy odpowiedzieli na wiadomosc, a w przypadku podania maila bedzie wysylac link do platnosci mailem automatycznie. To jest w cenie, mysle ze w polowie stycznia ukonczone bedzie.

Wrzuce na hosting, kupie domene skonfiguruje wytlumacze i takie tam.
Podchody by otrzymac link i doniesc do certu albo wycisnac cos za friko beda bluzgane 🙂
Cena 10k za mniej z fotela nie wstaje a promocji nie bedzie. Nie wynajmuje za procent, ani nie szukam pracownikow. Jesli nie chcesz kupic albo nie masz kasy to szanujmy swoj czas.
Cebulke kocham wiec na escrow dam zarobic.

oraz komentarz tego samego autora:

Ze starej ekipy po dzis dzien sa ludzie ktorzy siedzac dzien i noc bez mozliwosci rozmow telefonicznych potrafia trzaskac po 15k tygodniowo ze smiesznego olxa, wiec skads idiotow musza brac a wyjebkowe sklepy aukcje i inne cuda z dokladnymi opisami dzialania kraza od lat po internecie. Dam taki przyklad: kobiecina robi prezent mezowi placac jego wlasnymi pieniedzmi. Rano maz wchodzi na konto a tam stan konta zero zlotych, przelewu cofnac sie nie da, rachunek drop mozna blokowac ale po co skoro juz kasa dawno na btc zamieniona. takich sytuacji opisywac mozna do rana, handlarze to idioci i pazerne janusze. Saldo grubo ponad 30k a on sie targuje o 2 stowki na olxie, pozniej placz i grozby na mailu bo go okradli. A powiem ciekawostke, ci idoci wyzywaja kuriera a nie mnie bo to przeciez kurier im pobral z konta.
Wklejam screena zebys mi nie powiedzial ze bajki opowiadam. Screenow z konta drop robic nie bede bo jeszcze stoi, ale musisz mi uwierzyc na slowo harcerza. moje prywatne dane wyciete ze screena. kont na godzine srednio ogarniety czlowiek robi 1-5 a saldo na nich zalezy w jaka grupe docelowa trafiasz.

poparty takim oto zrzutem ekranu:

Wygląda zatem na to, że biznes się całkiem nieźle kręci.

Kilka ciekawostek

Sam opisywany panel został postawiony ok. 6 lutego i skonfigurowany lub poprawiony ok. 12 lutego – zatem dwa dni temu. Autor tego oszustwa najwyraźniej korzystał z cudzego szablonu (być może kupionego z wyżej pokazanego ogłoszenia), ponieważ w kodzie można znaleźć kilka fragmentów nie pasujących do tego scenariusza. Wśród nich między innymi można znaleźć odwołanie do adresu

Co ciekawe, domena oplata351.pl faktycznie jest zarejestrowana 22 listopada 2017 (ogłoszenie Hochwanderka jest z 20 grudnia) i mogła być stroną „demonstracyjną”, gdzie pokazywał klientom swój wspaniały produkt. Aktualnie serwer nie odpowiada – wcześniej schowany był za Cloudlfare. Identyczną ścieżkę można było także znaleźć w listopadzie pod adresem

Inne ślady wskazują na to, że analogiczne kampanie trwają bez większych przerw od wielu miesięcy. Niestety najwyraźniej są skuteczne – dlatego przekażcie linka znajomym, by ograniczyć liczbę potencjalnych ofiar przestępców.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *