A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

ALERTĂ: Tentativă de fraudă pe platforme marketplace (OLX, Publi24, LaJumate.ro)

2020/12/14
Popularitate 1512

Foto:

UPDATE 17.12.2021

Pentru o rată de succes mai mare a atacurilor de tip phishing/scam propagate prin aplicația de mesagerie WhatsApp, care vizează clienții platformelor de tip marketplace (OLX, Publi24, LaJumate.ro), infractorii cibernetici au adăugat în scenariul atacului noi elemente de tip vizual și audio, cu scopul de a sprijini veridicitatea detaliilor oferite în conversațiile cu potențialele victime. 

Atacatorii se folosesc în continuare de identitatea vizuală a unor servicii de curierat cu reputație (FanCurier) pentru a justifica necesitatea ca persoana contactată să-și furnizeze datele de card după accesarea unui link de phishing. De această dată, textul este unul bine conceput în limba română, așa cum se poate observa în imaginea de mai jos. CU toate acestea, utilizatorii trebuie să fie conștienți că FanCurier nu deține un astfel de serviciu de plăți, așa cum este descris în vizualul transmis către potențialele victime. 

Mai mult, pentru a eluda cerința persoanei contactate de a discuta la telefon, fără a ridica suspiciuni, atacatorii scriu că nu pot vorbi în acel moment, invocând diverse motive, dar transmit un mesaj audio în limba română, pre-înregistrat.

UPDATE 09.08.2021

Tentativa de fraudă, care viza până acum exclusiv clienții din platofrma OLX, a apărut recent și pe Publi24. Schema prin care utilizatorii platformei sunt atrași de atacatori în capcană pentru a-și introduce datele de card funcționează similar cu cea de pe OLX.

Potențialele victime sunt de obicei persoane care publică un anunț pe platformă cu un anumit produs/serviciu oferit spre vânzare. La scurt timp după publicare, aceștia sunt contactați în afara platformei, pe WhatsApp, de către atacatorii care pozează în clienți interesați de acel anunț.

După ce pun câteva întrebări generale referitoare la condiția produsului, atacatorii din spatele acestor mesaje sunt de acord să facă plata, inclusiv livrarea coletului, deși pe platforma Publi24 serviciul de transport este gratuit.

Următorul pas este transmiterea în cadrul conversației a unui link către un instrument de plată FAN CURIER, care de fapt este un link către o pagină de phishing, unde atacatorii colectează datele de card ale utilizatorilor. În acest caz, pentru a primi o sumă de bani în cont NU este nevoie de furnizarea datelor de card, ci a IBAN-ului, care reprezintă secvența de numere și cifre care identifică acel cont!

Atacatorii încearcă apoi să extragă sume de bani de pe acel card în timp real. Practic, vorbim despre un atac de tip real-time phishing, deoarece atacatorii vor cere mai departe interlocutorului pe WhatsApp și eventuale coduri venite pe sms sau prin aplicația de internet banking, pentru validarea tranzacțiilor.

Pentru a da acel fals sentiment de încredere potențialei victime, atacatorii au integrat pe acel site de phishing și un serviciu de tip chat, care are rolul de a ajuta utilizatorul să efectueze plata. De fapt, în realitate acea coversație este purtată tot cu atacatorii.

Recomandările în acest caz sunt similare cu cele oferite în cazul atacului pe platforma OLX

- Analizați cu atenție și validați informația primită, înainte de a face clic pe link-uri sau atașamente din surse necunoscute! De ce ați oferi cuiva datele complete de card, cu codul de validare al tranzacțiilor (CVV)? Oricine are acces la aceste date poate folosi cardul pentru a face plăți. În plus, puteți scana astfel de link-uri suspicioase cu anumite instrumente disponibile gratis online (ex: VirusTotal), dacă nu aveți o soluție de securitate instalată pe dispozitiv, pentru a evita infectarea cu malware sau astfel de tentative de phishing. 

- Fiți atenți la exprimarea interlocutorilor în scris, precum și la corectitudinea gramaticală a textului! Așa cum specificam anterior, de multe ori atacatorii nu sunt de origine română și se folosesc de instrumente automate de traducere a textului pentru a se conversa cu potențialele victime în limba lor nativă.

- În cazul în care ați căzut în această capcană, este vital să vă adresați cât mai repede băncii emitente a cardului, pentru a bloca cardul și eventuale tranzacții ilicite din cont. Ulterior, dacă ați suferit pagube materiale, va trebui să depuneți o plângere la cea mai apropiată secție de Poliție, pentru a deschide o investigație în acest sens.

- Luați în considerare faptul că, pentru tranzacțiile efectuate cu autentificarea strictă a clienților (reglementate conform noii Directive Europene privind Serviciile de Plăţi - PSD2) transpusă în legislația română în Legea 209 /2019, coroborat cu prevederile regăsite în reglementările organizațiilor de carduri, băncile NU pot iniția dispute pe motiv de fraudă, iar șansele să recupereze sumele pentru clienții lor sunt aproape nule. Tranzacțiile în care sunt completate elementele de siguranță ale cardului și sunt autorizate de către clienți NU sunt considerate frauduloase, iar banca NU poate recupera banii în caz de fraudă.

UPDATE 17.02.2021

La nici o săptămână după ce actualizam alerta dedicată campaniei de tip scam, care are drept țintă clienții OLX România, echipa CERT-RO a observat o nouă schimbare a tacticii abordate de atacatori. Dacă în cazurile precedente erau vizate persoanele care puneau anunțuri cu produse oferite spre achiziție pe OLX, noile tentative identificate mută ținta finală a atacului concentrându-și eforturile de această dată înapoi pe cumpărători. 

Mai precis, atacatorii își creează conturi în platformă folosindu-se de date false și publică anumite anunțuri cu produse extrem de cerute în piață (ex: consolă PlayStation 5) la prețuri avantajoase. Ulterior, după ce persoana interesată de produs este de acord să facă achiziția, acestora din urmă li se funizează un link care duce către o pagină de phishing, unde li se extrag datele de card.

Desigur, site-ul nu este unul oficial, iar acest lucru este imediat vizibil dacă suntem atenți la domeniu utilizat: olx-romania-delivery[.]shop. Conversația este redirecționată, la fel ca în atacurile precedente, în afara platformei (WhatsApp), iar scenariul servit pentru a convinge potențiala victimă să-și introducă datele de card este tot acela al utilizării serviciului de plată ‘prin OLX’. Atacatorii genereaza un link fals care care îl transmit potențialei victime, încurajând-o să introducă datele cardului, soldul contului și codul CVV/CVC, sub pretextul de a le fi facută plata pentru produsul tranzacționat. Ca și în cazul campaniilor frauduloase anterioare, interlocutorul nu este deloc disponibil la telefon și invocă diverse motive plauzibile pentru acest lucru (interdicția de a vorbi la telefon în scop personal la job).

UPDATE 10.02.2021

Pentru a convinge mai rapid utilizatorii să cadă în capcană, atacatorii au început să se folosească de o imagine, creată în ton cu identitatea vizuală a companiei OLX. Textul din imagine explică în 5 pași generali cum ar trebui potențiala victimă să-și introducă datele bancare pe un link furnizat de către cel interesat să facă achiziția.

Cel mai probabil rata de succes a tentativei de fraudă a scăzut, iar această inițiativă este menită să ofere o aură de siguranță viitoarelor victime, că este vorba despre un serviciu de plată legitim și ușor de operat, iar ei își vor primi banii pentru produsul comercializat pe card în sigurnață. 

 

OLX România a lansat recent un instrument pe care utilizatorii îl pot folosi pentru a detecta în timp real dacă link-ul pe care urmează să îl acceseze este unul legitim și aparține OLX. VERDE înseamnă că link-ul este legitim, iar ROȘU indică un link fals și o posibilă tentativă de fraudă. Încercați link-ul aici: http://bit.ly/VerificaLinkul

_____________________________________

Echipa CERT-RO a primit în ultimul timp numeroase notificări cu privire la incidente de securitate cibernetică de tip fraudă, propagate prin intermediul serviciului OLX și prin WhatsApp.

Atacatorii contactează un utilizator care a publicat un anunț de vânzare a unui produs pe OLX, se declară interesați de achiziție, apoi susțin că au efectuat plata. Dar, pentru încasarea sumei corespondente ar fi necesară accesarea unui link și introducerea datelor cardului pe care ar trebui virată suma. Desigur, este vorba despre o capcană, atacatorii sistând orice conversație după ce primesc datele de card, iar victimelor li se extrag bani din cont. 

Cum funcționează tentativa de fraudă

Utilizatorii serviciului OLX care pun spre vânzare anumite produse sunt contactați direct de potențiali cumpărători. La scurt timp, folosind un anumit pretext, clientul fals mută conversația de pe OLX pe un alt canal de comunicare, de regulă WhatsApp.

De cele mai multe ori, mesajele primite au o exprimare ciudată, deși sunt în limba română. Este un semn că acel text ar putea fi fost tradus cu un instrument disponibil gratis online. Greșelile gramaticale sau repetiția unor termeni în cadrul aceleiași propoziții pot fi astfel de indicii, așa că analizați cu atenție informațiile, înainte de clic!

  

Următorul pas pe care atacatorii îl fac este informarea potențialelor victime că produsul a fost deja achitat. Aceștia generează un link fals unde vânzătorilor li se cer datele cardului, inclusiv codul CVV/CVC, sub pretextul de a fi făcută plata pentru produsul tranzacționat. Din nefericire, acel link duce către o pagină de phishing, prin care infractorii cibernetici încearcă să colecteze datele de card ale utilizatorilor. Cum ne dăm seama de acest lucru? Deși acea pagină web folosește identitatea vizuală a brandului OLX, în realitate, dacă analizăm denumirea domeniului din link-ul transmis (.xyz), putem observa că NU mai suntem pe site-ul oficial (vezi imaginea de mai jos), ci pe un site malițios. În plus, singurul moment în care OLX cere introducerea datelor cardului este cel în care se cumpără serviciile OLX de publicare sau de promovare a anunțurilor

În momentul în care utilizatorul introduce datele de card pe astfel de site-uri de phishing, acestea intră automat în posesia atacatorilor, care au din acel moment posibilitatea de extrage bani de pe acel card. Desigur, orice conversație se oprește, după acel moment, iar vânzătorii au supriza nu doar că nu le-au intrat banii în cont, ci chiar că le-au fost extrași ilicit anumite sume de pe card.

În ultimele zile, echipa CERT-RO a fost notificată de faptul că atacatorii folosesc și alte identități vizuale pentru site-urile de phishing, de regulă ale unor companii cu reputație în România. Un exemplu ar fi FanCurier, așa cum se poate observa din imaginile anterioare.

Recomandări despre cum putem evita tentativele de fraudă 

Analizați cu atenție și validați informația primită, înainte de a face clic pe link-uri sau atașamente din surse necunoscute! De ce ați oferi cuiva datele complete de card, cu codul de validare al tranzacțiilor (CVV)? Oricine are acces la aceste date poate folosi cardul pentru a face plăți. În plus, puteți scana astfel de link-uri suspicioase cu anumite instrumente disponibile gratis online (ex: VirusTotal), dacă nu aveți o soluție de securitate instalată pe dispozitiv, pentru a evita infectarea cu malware sau astfel de tentative de phishing. 

Fiți atenți la exprimarea interlocutorilor în scris, precum și la corectitudinea gramaticală a textului! Așa cum specificam anterior, de multe ori atacatorii nu sunt de origine română și se folosesc de instrumente automate de traducere a textului pentru a se conversa cu potențialele victime în limba lor nativă.

În cazul în care ați căzut în această capcană, este vital să vă adresați cât mai repede băncii emitente a cardului, pentru a bloca cardul și eventuale tranzacții ilicite din cont. Ulterior, dacă ați suferit pagube materiale, va trebui să depuneți o plângere la cea mai apropiată secție de Poliție, pentru a deschide o investigație în acest sens.

Pentru mai multe informații de conștientizare despre astfel de tentative de fraudă existente pe internet, recomandăm să accesați/descărcați materialul de pe site despre cum ne protejăm de fraudele din mediul online, dar și recomandări pentru o activitate online sigură de acasă, pentru a afla ce pași este nevoie să respectăm în securizarea datelor personale sau cele ale companiei unde lucrăm.