Poniżej opisujemy prawdziwy atak phishingowy przeprowadzony na użytkownika OLX, który zorientował się ze jest celem ataku hakerskiego i zgłosił do nas próbę wyłudzenia środków.

Już od ponad roku Polacy korzystający z OLX są atakowani na tak zwany phishing. Mimo kampanii edukujących oraz dedykowanej problemowi stronie OLX, nadal wiele osób pada ofiarą „phishingowców” i traci nawet po kilkanaście tysięcy złotych. Niestety, Policja jest bezrada a jedyne co mogą zrobić ofiary to próbować odzyskać skradzione pieniądze na drodze reklamacji złożonej w banku.

Atak phishingowy „na OLX”

Celem ataku jest wyłudzenie od ofiary – Osoby Sprzedającej na OLX – informacji dotyczących jej numeru karty kredytowej, loginu i hasła do serwisu bankowego, numeru PESEL oraz paru innych informacji.

Atak przebiegał następująco:

  1. Sprzedawca wystawia na OLX rzecz. Potencjalny Kupujący – Złodziej, korzystając z danych na portalu OLX skontaktował się ze Sprzedawcą za pomocą komunikatora WhatsApp niemalże natychmiast po publikacji ogłoszenia i wyraził zainteresowanie zakupem towaru.
  2. Następnie złodziej poprosił o podanie miejsca zamieszkania. Pytanie o lokalizacje pojawia się prawie zawsze i ma na celu umożliwienie hakerowi odpowiedź, że jest z innego miasta i dlatego poprosi o wysyłkę kurierem. Dalej „Kupujący-złodziej” proponuje, że zorganizuje dostawę przez OLX i pokryje koszt przesyłki.
  3. Sprzedający pyta o to czy wysyłka OLX zakłada płatność z góry a po otrzymaniu zapewnienia od złodzieja, że pieniądze otrzyma praktycznie od razu godzi się na taką opcję.
  4. Po chwili Sprzedawca otrzymuje link do swojego ogłoszenia z OLX wraz z potwierdzeniem rzekomego przelewu na konto OLX.PL (zrzut z ekranu) oraz informacją: „Zamówienie zostało utworzone i opłacone, musisz potwierdzić zamówienie, zostawiłem powyższy link”.
  5. Po kliknięciu w przesłany link Sprzedawca jest proszony o podanie imienia, nazwiska oraz numeru karty. Prośba o podanie właśnie tych informacji wzbudza w Sprzedającym podejrzenie oszustwa i sprawia, że kontaktuje się z nami jednocześnie pisząc Złodziejowi, że link nie działa.
  6. My przejmujemy prowadzenie rozmowy udając ”naiwnego Sprzedawcę” celem sprawdzenia jakie informację będzie próbował wyciągnąć Złodziej i jakich sposobów użyje, aby je otrzymać.
Tu zatrzymajmy się na chwilę i prześledźmy dokładnie co wydarzyło się do tej pory i jakich sztuczek użył haker w celu uśpienia czujności potencjalnej ofiary i wyłudzenia pieniędzy:
-  kontakt nastąpił nie przez wiadomość wysłaną za pomocą portalu OLX a przez komunikator WhatsApp. Pomimo tego, Sprzedający w ferworze emocji i zadowolenia z sytuacji "super sprzedam" wchodzi w interakcja z Kupującym nie podejrzewając podstępu. 
- podesłany link jest dość dobrze spreparowany, zawiera frazę olx-order.pl, co ma na celu zasugerowanie, że jest to domena OLX. Po weryfikacji pełną domeną jest olx-order.pl-id55035541.xyz . 
- Sprzedający nie jest świadomy, że wyłudzenia na OLX dzieją się już od dobrych pary miesięcy, więc nic nie podejrzewa. Nie wie też, że na OLX można zweryfikować wszelkie domeny powiązane z nazwą OLX. 
- zrzut z ekranu telefonu wysłany "na szybko" potwierdzający dokonanie transakcji bankowej wygląda bardzo realnie przez co nie wzbudza podejrzeń u Sprzedającego. 

Wróćmy teraz do tego, co działo się dalej i jak haker kontynuował atak.
6. Link, który Sprzedający otrzymał od hakera przenosi nas na stronę internetową z logiem OLX i danymi Kupującego (w naszym przypadku Złodziej podał się za Panią Lenę Nowak z Płocka) oraz przyciskiem zachęcającym od obioru zapłaty ODBIERZ ŚRODKI.

7. Po kliknięciu w ODBIERZ ŚRODKI spreparowana aplikacja poprosi nas o wybór banku.

8. Niezależnie od wyboru loga banku jesteśmy przekierowywani na stronę, gdzie rozpoczyna się wyłudzanie informacji. Jesteśmy proszeni o podanie imienia i nazwiska oraz numeru karty (my oczywiście podaliśmy nieprawdziwe informacje, niestety wiele osób ”łapie” się na ten chwyt i wpisuje prawdziwe dane). Poniżej pól, gdzie należy wpisać te informacje widnieje dokładna kwota, za jaką Sprzedający wystawił przedmiot na portalu OLX a obok komunikat o dostawie kurierskiej wraz z logiem OLX. Szata graficzna strony zrobiona jest na podobieństwo tej z portalu, co ma na celu uśpienie czujności ofiary i zachęcenie w kliknięcie przycisku DOSTAĆ.

To co dodatkowo może wzbudzić czujność to forma gramatyczna użyta zarówno przy kwocie jak i na przycisku wykonania – w prawdziwych aplikacjach nie będzie to raczej bezokolicznik a bardziej przyjazne użytkownikowi sformułowanie.

9. Po kliknięciu przycisku DOSTAĆ strona informuje nas o błędzie i potrzebie dodatkowej weryfikacji poprzez podanie ważności karty i kodu CVV. Ponownie podajemy więc nieprawdziwe dane i przechodzimy do kolejnego kroku.

10. Otrzymujemy informacje, że karta została zweryfikowana, ale potrzebujemy jeszcze podać aktualne saldo konta.

11. Po podaniu salda, aplikacja web’a przenosi nas na spreparowaną stronę logowania Banku PKO B.P. To jest kolejny krok, przy którym powinna zaświecić się nam przysłowiowa ”czerwona lampka”. Przy prawidłowym przekierowaniu na stronę banku adres url powinien się zmienić na właściwy dla danej domeny banku, podczas gdy w tym wypadku byliśmy cały czas w fałszywej domenie olx-order.pl0id55035541.xyz.

12. Po wpisaniu danych, zostajemy przekierowani do podstrony, na której jesteśmy proszeni o podanie 4-ro cyfrowego kodu. Poniżej mamy dwa przyciski: OTRZYMAJ ŚRODKI oraz Wsparcie.

13. Podczas całego procesu wypełniania danych w celu otrzymania środków rozmawiamy z rzekomym Kupującym na WhatsApp. Informujemy, że mamy problemy gdyż ”podajemy poprawne dane, ale nie otrzymaliśmy PIN’u”. Zwracamy też uwagę na sposób w jaki odpisuje nam Złodziej – niepoprawną polszczyzną.

14. W trakcie rozmowy ze Złodziejem, w przeglądarce otwiera się czat i zaczynamy otrzymywać instrukcje co dokładnie musimy wykonać i jakie informacje podać, aby dokończyć transakcje. Na WhatsApp Kupujący również informuje nas o tym, że mamy postępować zgodnie z radami działu wsparcia: „postępuj zgodnie z ich radami. Oni ci pomogą”.

15. Po dłuższej dyskusji z zespołem wsparcia, Kupujący wysyła nam nowego linka z informacją: „zespół wsparcia przesłał mi nowy link do potwierdzenia transakcji, najwyraźniej był błąd z ich strony”.
16. Nowy link zawierał podobne informacje jak poprzedni z tą różnicą, że strona na której należało podać imię, nazwisko i numer karty wyglądała („powiedzmy”) bardziej profesjonalnie.

17. Po podaniu danych mamy tę samą procedurę próby wyłudzenia informacji dotyczących loginu i hasła do konta bankowego, numeru PESEL i PIN’u. Cały czas jesteśmy instruowani co mamy podać, i w jaki sposób.

Po dłuższej rozmowie na czacie, informujemy atakującego, że jesteśmy świadomi ataku i zawiadomiliśmy odpowiednie organy o próbie wyłudzenia informacji. Po chwili jesteśmy rozłączeni, zdjęcie Pani Leny znika z komunikatora WhatsApp i użytkownik staje się nieaktywny.

Zdarzenie zostało zgłoszone Policji, która zarejestrowała zajście oraz numer telefonu osoby kontaktującej się przez WhatsApp. Warto zaznaczyć, że sprzedawca zaraz po wystawieniu rzeczy na OLX otrzymał, aż cztery podobne wiadomości o chęci zakupu towaru.

Jak nie dać się oszukać na OLX

  • Przede wszystkim nie podawaj numeru karty płatniczej w raz z jej dodatkowymi danymi. Karta płatnicza służy do płacenia a nie otrzymywania pieniędzy (oczywiście z technicznego punktu widzenia, kartą zrobimy przelew i prześlemy pieniądze ale głównie związane jest to ze zwrotem środków za wykonaną już transakcję)
  • Najlepiej nie klikaj w linki otrzymane od nieznanych osób. Weryfikuj je na oficjalnej stronie portalu sprzedażowego i banku.
  • Dokładnie sprawdź w jaki sposób dany portal sprzedażowy działa, na jakich zasadach, jakie dane są podstawowe, w jaki sposób dochodzi do interakcji między stronami, i przede wszystkim w jaki sposób odbywa się płatność.
  • Bądź podejrzliwy – niepoprawna polszczyzna powinna wzbudzić podejrzenie, fakt otrzymania informacji kanałem WhatsApp wraz z kopią przelewu bez weryfikacji produktu powinno wzbudzić podejrzenie – czy kupujesz przedmioty bez ich uprzedniego sprawdzenia?
  • Edukuj siebie i innych. Raz na jakiś czas przeglądaj portale poświęcone cyberbezpieczeństwu poszukaj informacji o ostatnich atakach i sposobach ich unikania. Informuj i ostrzegaj bliskich i znajomych o podejrzanych przypadkach.