Tuż przed Black Friday, kiedy klienci czekają na zakupy w atrakcyjnych cenach, specjaliści ds. bezpieczeństwa zauważają znaczący przyrost kampanii phishingowych oraz fałszywych sklepów internetowych, które kuszą wielkością przecen i promocji. Poszukujący okazji konsumenci muszą zatem uważać, aby nie paść ofiarą kradzieży danych osobowych czy płatniczych.
Większość prób phishingowych jest grubymi nićmi szyta i łatwa do rozpoznania, jednak w niektórych przypadkach konieczny jest dodatkowy wysiłek, aby wykryć bardziej wyrafinowane próby fałszerstwa. Przestępcy internetowi zdają się coraz częściej wykorzystywać nowoczesne metody, wymagające od użytkowników większej czujności i staranności w analizie otrzymywanych komunikatów.
Fałszywe kampanie reklamowe w mediach społecznościowych
W ostatnim czasie zwróciliśmy uwagę na kampanię reklamową na jednej z platform mediów społecznościowych. Była ona skierowana do niemieckich klientów jednej z popularnych w Polsce sieci sklepów obuwniczych. Na Facebooku pojawiły się reklamy, które prowadziły do witryny na pierwszy rzut oka prawie identycznej z oryginalną i miały na celu kradzież danych płatniczych od klientów dokonujących zakupów na tej stronie. Po dokładniejszym przyjrzeniu się okazało się, że strona jednak ma niedociągnięcia. Tłumaczenie strony jest niekompletne, a teksty zawierają mieszankę języka hiszpańskiego i niemieckiego. Dodatkowym, dość oczywistym, błędem była obecność na stronie angielskiego tekstu z szablonu strony, którego oszuści nie zmienilii ani nie usunęli. Mimo to układ strony wydawał się być wystarczająco przekonujący, aby nie wzbudzić podejrzeń wśród osób, które nie są świadome takich zagrożeń. Analiza wpisu WHOIS dla domeny wykazała, że fałszywa domena została zarejestrowana na początku tego miesiąca, a witryna funkcjonowała jeszcze w momencie pisania tego artykułu, dlatego też nazwa domeny została zamazana.
Zamykamy sklepy Deichmann, wyprzedaż -85%
Botki już od €10
„Oferta kończy się wkrótce, kup teraz!”
Reklamy mające na celu skłonić użytkowników do dokonywania zakupów sugerowały, że niektóre z popularnych sklepów sieciowych zostaną zamknięte, a produkty będą oferowane w znacznie obniżonej cenie. Aby zwiększyć presję na poszukiwaczach atrakcyjnych ofert, na stronie internetowej pojawiły się fałszywe informacje sugerujące, że inne osoby również znalazły te „okazje” i są blisko zakupu przecenionego produktu. Informacje te oczywiście nie są widoczne na oryginalnej stronie internetowej.
Wyświetlane reklamy są najprawdopodobniej opłacane przez nieświadome ofiary, których konta na Facebooku zostały przejęte i skradzione. Same reklamy mogą kosztować setki euro i pozostawić ofiary bez pieniędzy i konta na Facebooku.
Wywołujące presję „informacje” o zainteresowaniu innych użytkowników zakupem wybranego przez nas produktu na fałszywej stronie internetowej sugerują, że klient ma mało czasu na złożenie zamówienia, bo produkt może zostać szybko wykupiony. Takich informacji nie ma na prawdziwej stronie internetowej.
W niektórych miejscach oszuści byli niechlujni i nie zmienili ani nie usunęli tekstu zastępczego z szablonu witryny. Nie powinno mieć to miejsca na prawdziwej stronie sklepu.
Podczas analizy kodu źródłowego witryny szybko okazuje się, że niektóre z wyświetlanych obrazów są pobierane z adresu Content Delivery Network, który najprawdopodobniej znajduje się w Azji. Co więcej, oszuści najwyraźniej wykorzystali niektóre szablony witryny do wstawiania własnych treści. Nie zadali sobie trudu, aby usunąć przykładowy tekst, który jest częścią wspomnianego szablonu. Nie jest on widoczny na samej stronie, ale znajduje się w kodzie źródłowym. To pokazuje, jak mało wyrafinowane są te strony internetowe – to tylko kopie z niewielkimi dodatkami. W tym przypadku „dodatkiem” jest system koszyka na zakupy, który wydaje się być pochodzenia chińskiego.
Poza tym witryna nie jest szczególnie warta uwagi i wydaje się, że nie zawiera ani nie rozpowszechnia złośliwego oprogramowania, co jednak nie oznacza, że nie ma również i takich witryn. W końcu wielu przestępców zazwyczaj nie stawia wszystkiego na jedną kartę i próbuje wyłudzić jak najwięcej pieniędzy od swoich ofiar.
Niektóre z danych obrazów są pobierane z domeny zlokalizowanej w Azji.
Certyfikat SSL fałszywej witryny jest ważny. Nie ma to jednak większego znaczenia. W tym przypadku ważność certyfikatu SSL oznacza tylko, że witryna szyfruje przesyłane dane. To obecnie na tyle standardowa praktyka, że niektóre przeglądarki wyświetlają ostrzeżenie, gdy witryna nie jest zaszyfrowana. Wejście na stronę bez certyfikatu wymaga wówczas co najmniej trzech kliknięć, więc często zapobiega otwarciu witryny. Dlatego cyberprzestępcy zaopatrują swoje strony w podstawowe certyfikaty SSL.
– Istnieje kilka rodzajów certyfikatów SSL. Najprostszy może zostać kupiony przez każdego za niewielkie pieniądze. Wystarczy podać prawidłowy adres e-mail lub przynajmniej adres administracyjny z bazy danych WHOIS. Ten rodzaj certyfikatu zazwyczaj wystarcza do celów takich jak fora dyskusyjne lub niekomercyjne strony internetowe – tłumaczy Robert Dziemianko, Marketing Manager G DATA Software.
Okazało się, że w bazie WHOIS rzeczywiście znajduje się adres korespondencyjny. Adres ten odnosi się jednak do parku przemysłowego w amerykańskim stanie Arizona, niedaleko Phoenix. Pod tym adresem lub w jego pobliżu znajduje się restauracja, Best Buy, Petsmart, salon fryzjerski i siłownia. Ale żadne z tych miejsc nie ma nic wspólnego ze sprzedażą detaliczną obuwia, nie mówiąc już o Deichmannie.
Sklepy internetowe zazwyczaj dysponują rozszerzonym certyfikatem, który wymaga pewnych oficjalnych dokumentów (takich jak wyciąg z rejestru handlowego). Ten rzekomy sklep internetowy tego nie ma.
Podszywanie się pod znane marki
W obecnych czasach, gdy ceny rosną, a ludzie starają się oszczędzać tam, gdzie mogą, oszustwa w handlu online przybierają na sile. Ten trend znajduje szczególnie podatny grunt, gdy konsumenci szukają tanich okazji. Znane sklepy stają się celem oszustów, którzy wykorzystują w ten sposób reputację i zaufanie do rozpoznawalnych marek. A ponieważ Deichmann to nazwa znana i wzbudzająca zaufanie, jest mało prawdopodobne, że ludzie dokładnie przeanalizują oferty.
Sprzedawca obuwia nie jest jednak jedynym celem takich oszukańczych kampanii. Inne znane marki również przyciągają naśladowców, którzy chcą wykorzystać ich reputację i rozgłos. Dotyczy to nie tylko butów, ale w zasadzie każdej marki, która zazwyczaj jest droga, a na którą wiele osób nie może sobie pozwolić. To sprawia, że te fałszywe sklepy są jeszcze bardziej atrakcyjne.
Drogie marki modowe, kosmetyki do makijażu, elektronika użytkowa – cokolwiek to jest, prawdopodobnie istnieje jego fałszywy odpowiednik, który tylko czeka aż klienci podadzą swoje dane osobowe i informacje o płatnościach.
Fałszywe sklepy internetowe, udające sprzedaż produktów znanych marek, działają w coraz bardziej wyrafinowany sposób, który daje złudzenie autentyczności. W świecie, gdzie wiele osób nie może sobie pozwolić na drogie produkty, oferty z tych fałszywych sklepów wydają się szczególnie atrakcyjne.
Dlatego też niezmiernie ważne jest, aby konsumenci przyjrzeli się dokładnie wszystkim zbyt kuszącym ofertom. Kiedy oferta jest „zbyt piękna, aby była prawdziwa”, prawdopodobnie prawdziwa nie jest. Bardzo ostrożne podejście jest konieczne, zwłaszcza gdy w mediach społecznościowych pojawiają się reklamy obiecujące ekstremalne rabaty na artykuły luksusowe. Osoby reklamujące takie pozorne okazje, mogą sprawić, że ufni kupujący przekażą swoje dane osobowe i informacje płatnicze przestępcom. Skutki mogą sięgać od kradzieży tożsamości do poważnych strat finansowych.
– Aby chronić się przed oszukańczymi praktykami, zawsze warto być podejrzliwym i zachować szczególną ostrożność przy zakupach online, które wydają się zbyt korzystne, by były prawdziwe. Ochrona danych osobowych i informacji finansowych powinna zawsze być najważniejszym priorytetem, aby zminimalizować potencjalne ryzyko. – dodaje Robert Dziemianko.
——-
www.GDATA.pl