Phishing na OLX i DPD - czyli trzeba mieć cierpliwość, aby zarobić

Wystawiłem dziś biurko na sprzedaż w serwisie OLX. Pierwszy raz odezwała się do mnie osoba na komunikatorze WhatsApp. Dziwne? Też tak pomyślałem. Zapaliła się pierwsza lampka.

Stwierdziłem jednak, że będę kontynuował rozmowę. W dniu wczorajszym zawoziłem drukarkę do naprawy. Osoba, która ją odbierała, kontaktowała się przez komunikator Signal. Dlaczego w takim razie nie odpowiedzieć na WhatsApp?

Zdecydowałem się wrzucić to wszystko, aby każdy mógł zobaczyć jak przebiega taka sytuacja.

OLX Phishing

Tutaj pojawiła się druga lampka. Firma przewozowa? Kto zapłaci? Postanowiłem jednak drążyć temat.

Podzielę ten wpis na kilka części. W pierwszej przedstawię trochę technicznych rzeczy. W drugiej, załączę zrzuty ekranu ze stron, które mi podsyłali. W dalszych częściach dołączę zrzuty ekranów z rozmów, które prowadziłem. Przyznaję, trochę tego jest i próbowałem sobie z nich żartować na różne sposoby. Wytrzymali bardzo długo. To ja się poddałem.

# Sprawy techniczne

Na komunikatorze WhatsApp odezwała się do mnie osoba, która miała wpisane imię Julia. Julia kontaktowała się z numeru +48 502784173. Miała także jakieś słabej jakości zdjęcie. Oczywiście domyślam się, że imię i zdjęcie nie były pewnie powiązane z tą osobą. Zdjęcie z Internetu, imię wymyślone. Co z numerem telefonu? Teoretycznie od jakiegoś czasu numery muszą być zarejestrowane na osobę.

Wszystkie linki, które mi podawali były w domenie id-9329.me. Co możemy się o tej domenie dowiedzieć?

Registrar URL: www.namecheap.com
Updated Date: 2021-09-13T21:28:53Z
Creation Date: 2021-09-13T21:28:24Z
Registry Expiry Date: 2022-09-13T21:28:24Z
Registrant State/Province: Capital Region
Registrant Country: IS
Name Server: NS1.DNS-FD.ME
Name Server: NS2.DNS-FD.ME

Domena zarejestrowana wczoraj, niby na Islandii. Wszystkie pliki strony wychodziły z tego samego adresu. Strona napisana w PHP. W kodzie nic ciekawego, oprócz komentarzy po rosyjsku. Głównie dotyczyły stylów CSS.

DPD Phishing

DPD Phishing

Udało mi się zdobyć adresy IP ludzi, z którymi rozmawiałem przez podesłanie im strony, na której rzekomo umieściłem zrzut ekranu. Oczywiście trudno powiedzieć, czy to prawdziwe adresy IP, czy używali VPN.

Pierwszy adres IP to 89.46.103.234. Według informacji, które można uzyskać w Internecie, jest to Bukareszt, Rumunia.

Drugi adres jest mniej ważny, a tak na prawdę jest to kilka adresów. Przykładowy adres to 149.154.161.18. Adres ten pojawiał się od razu po tym, jak wklejałem link do mojej strony w okno czatu na stronie. Pod tym adrsem kryje się AS62041 Telegram Messenger Inc. Wygląda na to, że rozmowa była prowadzona przez komunikator Telegram (lub API), a strona tylko przekierowywała wiadomości.

Trzeci adres to 188.66.32.105, który wskazuje na Tiumeń w Rosji.

VPN? Pewnie tak.

# Wygląd stron

Tak wyglądała pierwsza strona, gdzie widniała cena, którą miałem otrzymać. Kazali mi kliknąć przycisk "odbierz środki".

OLX Phishing

Na kolejnej stronie standardowo miałem wybrać bank.

OLX Phishing

Po wybraniu banku, strona wyświetlała formularz, w którym miałem wpisać swój numer klienta (login), hasło do konta bankowego oraz kod z aplikacji.

OLX Phishing

Po wpisaniu danych, otwierał się kolejny formularz, w którym miałem wpisać numer karty oraz imię i nazwisko.

DPD Phishing

# Rozmowy na komunikatorze WhatsApp

Początkowa rozmowa toczyła się tylko na komunikatorze WhatsApp.

OLX Phishing

Chciałem, aby rozmówca wysłał mi adres strony, na której mogę poczytać o tej metodzie transportu. Jedyne co otrzymałem, to podrobiony zrzut ekranu ze strony DPD.

OLX Phishing

OLX Phishing

OLX Phishing

Zdecydowałem się, na podanie moich danych. Oczywiście nie są one prawdziwe, ale na wszelki wypadek ukryłem adres. Może to Twój! ;-)

OLX Phishing

Rozmowa toczyła się dalej.

OLX Phishing

Postanowiłem trochę uprzykrzyć im życie. Na początek udawałem, że strona się nie wyświetla prawidłowo. Potwierdziłem także wielkość przesyłki, żeby nie przepłacili.

OLX Phishing

Stworzyłem na szybko adres do strony, w którym wrzuciłem nazwę "zrzuty-ekranu", aby było bardziej wiarygodne. Dodałem także wymyślony tekst, aby wyglądało jak wynik jakiejś wtyczki do przeglądarki. Pewnie nic by to nie zmieniło gdybym utworzył adres z "podaj-mi-swoje-ip", ale wolałem nie ryzykować. Po wejściu na podany link mogłem uzyskać podane powyżej adresy IP.

OLX Phishing

Następnie udałem, że na stronie jest kwota w euro, zamiast polskich złotych. Edytowałem źródło, zamieniłem PLN an EUR i wysłałem zrzut ekranu.

OLX Phishing

OLX Phishing

OLX Phishing

Okazało się, że waluta nie robi różnicy. Czasami tak bywa. Postanowiłem także trochę poudawać z bankiem oraz dodać do rozmowy brata, który nie istnieje.

OLX Phishing

OLX Phishing

Edytowałem także przycisk na stronie, aby wyglądał jak nieaktywny. Wpisałem dane do banku, które oczywiście nie są prawdziwe i wysłałem zrzut ekranu.

OLX Phishing

OLX Phishing

Osoba, z którą rozmawiałem, poleciła mi, abym napisał do konsultanta na czacie. Profesjonalnie nazywa się to technolog.

OLX Phishing

OLX Phishing

Tutaj rozmowa się zakończyła na jakiś czas. Możliwe, że osoba na WhatsApp to ta sama osoba, co na czacie i też poszła na przerwę. Po przerwie wróciliśmy do rozmów. Otrzymałem nowy adres.

OLX Phishing

W tym momencie już mi się nie chciało dalej rozmawiać. Nie otrzymałem jednak odpowiedzi na ostatnie pytanie.

OLX Phishing

Osoba z komunikatora WhatsApp przestała się odzywać.

# Rozmowy na czacie

Rozmowa na czacie na stronie zaczęłą się po tym jak otrzymałem link do strony na WhatsApp i później głównie odbywała się tutaj.

DPD Phishing

Okazało się, że stroną trochę słabo działa. Nawet jak nie wpisałem nic w formularzu to po chwili pokazywał się komunikat, że dane są nieprawidłowe.

DPD Phishing

DPD Phishing

DPD Phishing

Wygląda na to, że asystenci DPD mają jakąś umowę z bankiem! ;-)

DPD Phishing

DPD Phishing

Czy to Maciek?

DPD Phishing

Próba kontaktu telefonicznego się nie udała. Widocznie ten konsultant obsługuje tylko czat.

DPD Phishing

Otworzyłem drugi link, który otrzymałem na komunikatorze WhatsApp. Trzeba było się przywitać ponownie.

DPD Phishing

Trochę już zwątpiłem w swoje umiejętności, ale technolog podniósł mnie na duchu.

DPD Phishing

Wpadł mi też do głowy pomysł, na ulepszenie strony.

DPD Phishing

Ta strona wymaga poprawek.

DPD Phishing

DPD Phishing

Już prawie się poddałem, ale otrzymałem nowy link.

DPD Phishing

DPD Phishing

Nowe okno. Dzień dobry!

DPD Phishing

Błędy, wszędzie błędy.

DPD Phishing

DPD Phishing

Kuba, daj mi ten numer!

DPD Phishing

Trochę ciśnienie się podniosło technologowi. Napisał do mnie dwa zdania z wykrzynikami, abym wpisał numer klienta. Gdy zwróciłem mu uwagę, aby na mnie nie krzyczał, to usunął tą wiadomość. Nie zdążyłem zrobić zrzutu ekranu. Bał się, że mu premię zabiorą?

DPD Phishing

DPD Phishing

Kolejny pomysł to podanie danych na czacie.

DPD Phishing

Nie udało mi się. Wszyscy poszli na przerwę. Kazali mi spróbować po godzinie 20.

DPD Phishing

Po godzinie 17:30 odezwała się do mnie Julia i podała nowy link.

DPD Phishing

DPD Phishing

Na stronie był taki problem, że przy otwartym oknie czatu, nie można było kliknąć na przycisk, aby przejść dalej. Trochę się CSS rozwalił. Postanowiłem to wykorzystać.

DPD Phishing

DPD Phishing

Na szczęscie brat pomoże!

DPD Phishing

DPD Phishing

DPD Phishing

DPD Phishing

Postanowiłem, że spróbuję zdobyć także adres IP osoby z czatu.

DPD Phishing

W tym momencie przestało mi się chcieć kontynuować tej rozmowy.

DPD Phishing

DPD Phishing

DPD Phishing

Tutaj rozmowa się skończyła.

# Podsumowanie

Pamiętajcie, aby zawsze być czujnym jeśli chodzi o zakupy w Internecie. Najlepiej kontaktować się przez serwis, na których kupujecie lub sprzedajecie. Najlepiej także używać metod płatności, które te serwisy oferują. Wysyłajcie lub przekazujcie przedmioty tylko po otrzymaniu płatności. Nigdy nie podawajcie swojej nazwy użytkownika i hasła do banku. Nigdy także nie podawajcie kodów do aplikacji bankowej. Jeśli rozmowa przeniesie się poza serwis, jest to podejrzane.

Co możemy z tym zrobić? Dobre pytanie. Pierwszy raz mi się takie coś przytrafiło i nie miałem okazji pomyśleć, co z tym zrobić. Zgłosiłem domenę na stronie incydent.cert.pl. Co z numerem telefonu? Czy można aktualnie zdobyć numer bez podawania danych? Nawet jeśli, może numer jest zarejestrowany, na osobę, która w ogóle o tym nie wie, że jest wykorzystywany do przestępstw. Z drugiej strony, można by go chociaż zablokować.

Gdzie takie coś zgłaszać? Jak tylko zbiorę informacje to dodam je na końcu tego wpisu. Przydadzą się na przyszłość.