Wystawiłem dziś biurko na sprzedaż w serwisie OLX. Pierwszy raz odezwała się do mnie osoba na komunikatorze WhatsApp. Dziwne? Też tak pomyślałem. Zapaliła się pierwsza lampka.
Stwierdziłem jednak, że będę kontynuował rozmowę. W dniu wczorajszym zawoziłem drukarkę do naprawy. Osoba, która ją odbierała, kontaktowała się przez komunikator Signal. Dlaczego w takim razie nie odpowiedzieć na WhatsApp?
Zdecydowałem się wrzucić to wszystko, aby każdy mógł zobaczyć jak przebiega taka sytuacja.
Tutaj pojawiła się druga lampka. Firma przewozowa? Kto zapłaci? Postanowiłem jednak drążyć temat.
Podzielę ten wpis na kilka części. W pierwszej przedstawię trochę technicznych rzeczy. W drugiej, załączę zrzuty ekranu ze stron, które mi podsyłali. W dalszych częściach dołączę zrzuty ekranów z rozmów, które prowadziłem. Przyznaję, trochę tego jest i próbowałem sobie z nich żartować na różne sposoby. Wytrzymali bardzo długo. To ja się poddałem.
Sprawy techniczne
Na komunikatorze WhatsApp odezwała się do mnie osoba, która miała wpisane imię Julia. Julia kontaktowała się z numeru +48 502784173. Miała także jakieś słabej jakości zdjęcie. Oczywiście domyślam się, że imię i zdjęcie nie były pewnie powiązane z tą osobą. Zdjęcie z Internetu, imię wymyślone. Co z numerem telefonu? Teoretycznie od jakiegoś czasu numery muszą być zarejestrowane na osobę.
Wszystkie linki, które mi podawali były w domenie id-9329.me. Co możemy się o tej domenie dowiedzieć?
Registrar URL: www.namecheap.comUpdated Date: 2021-09-13T21:28:53ZCreation Date: 2021-09-13T21:28:24ZRegistry Expiry Date: 2022-09-13T21:28:24ZRegistrant State/Province: Capital RegionRegistrant Country: ISName Server: NS1.DNS-FD.MEName Server: NS2.DNS-FD.MEDomena zarejestrowana wczoraj, niby na Islandii. Wszystkie pliki strony wychodziły z tego samego adresu. Strona napisana w PHP. W kodzie nic ciekawego, oprócz komentarzy po rosyjsku. Głównie dotyczyły stylów CSS.
Udało mi się zdobyć adresy IP ludzi, z którymi rozmawiałem przez podesłanie im strony, na której rzekomo umieściłem zrzut ekranu. Oczywiście trudno powiedzieć, czy to prawdziwe adresy IP, czy używali VPN.
Pierwszy adres IP to 89.46.103.234. Według informacji, które można uzyskać w Internecie, jest to Bukareszt, Rumunia.
Drugi adres jest mniej ważny, a tak na prawdę jest to kilka adresów. Przykładowy adres to 149.154.161.18. Adres ten pojawiał się od razu po tym, jak wklejałem link do mojej strony w okno czatu na stronie. Pod tym adrsem kryje się AS62041 Telegram Messenger Inc. Wygląda na to, że rozmowa była prowadzona przez komunikator Telegram (lub API), a strona tylko przekierowywała wiadomości.
Trzeci adres to 188.66.32.105, który wskazuje na Tiumeń w Rosji.
VPN? Pewnie tak.
Wygląd stron
Tak wyglądała pierwsza strona, gdzie widniała cena, którą miałem otrzymać. Kazali mi kliknąć przycisk “odbierz środki”.
Na kolejnej stronie standardowo miałem wybrać bank.
Po wybraniu banku, strona wyświetlała formularz, w którym miałem wpisać swój numer klienta (login), hasło do konta bankowego oraz kod z aplikacji.
Po wpisaniu danych, otwierał się kolejny formularz, w którym miałem wpisać numer karty oraz imię i nazwisko.
Rozmowy na komunikatorze WhatsApp
Początkowa rozmowa toczyła się tylko na komunikatorze WhatsApp.
Chciałem, aby rozmówca wysłał mi adres strony, na której mogę poczytać o tej metodzie transportu. Jedyne co otrzymałem, to podrobiony zrzut ekranu ze strony DPD.
Zdecydowałem się, na podanie moich danych. Oczywiście nie są one prawdziwe, ale na wszelki wypadek ukryłem adres. Może to Twój! ;-)
Rozmowa toczyła się dalej.
Postanowiłem trochę uprzykrzyć im życie. Na początek udawałem, że strona się nie wyświetla prawidłowo. Potwierdziłem także wielkość przesyłki, żeby nie przepłacili.
Stworzyłem na szybko adres do strony, w którym wrzuciłem nazwę “zrzuty-ekranu”, aby było bardziej wiarygodne. Dodałem także wymyślony tekst, aby wyglądało jak wynik jakiejś wtyczki do przeglądarki. Pewnie nic by to nie zmieniło gdybym utworzył adres z “podaj-mi-swoje-ip”, ale wolałem nie ryzykować. Po wejściu na podany link mogłem uzyskać podane powyżej adresy IP.
Następnie udałem, że na stronie jest kwota w euro, zamiast polskich złotych. Edytowałem źródło, zamieniłem PLN an EUR i wysłałem zrzut ekranu.
Okazało się, że waluta nie robi różnicy. Czasami tak bywa. Postanowiłem także trochę poudawać z bankiem oraz dodać do rozmowy brata, który nie istnieje.
Edytowałem także przycisk na stronie, aby wyglądał jak nieaktywny. Wpisałem dane do banku, które oczywiście nie są prawdziwe i wysłałem zrzut ekranu.
Osoba, z którą rozmawiałem, poleciła mi, abym napisał do konsultanta na czacie. Profesjonalnie nazywa się to technolog.
Tutaj rozmowa się zakończyła na jakiś czas. Możliwe, że osoba na WhatsApp to ta sama osoba, co na czacie i też poszła na przerwę. Po przerwie wróciliśmy do rozmów. Otrzymałem nowy adres.
W tym momencie już mi się nie chciało dalej rozmawiać. Nie otrzymałem jednak odpowiedzi na ostatnie pytanie.
Osoba z komunikatora WhatsApp przestała się odzywać.
Rozmowy na czacie
Rozmowa na czacie na stronie zaczęłą się po tym jak otrzymałem link do strony na WhatsApp i później głównie odbywała się tutaj.
Okazało się, że stroną trochę słabo działa. Nawet jak nie wpisałem nic w formularzu to po chwili pokazywał się komunikat, że dane są nieprawidłowe.
Wygląda na to, że asystenci DPD mają jakąś umowę z bankiem! ;-)
Czy to Maciek?
Próba kontaktu telefonicznego się nie udała. Widocznie ten konsultant obsługuje tylko czat.
Otworzyłem drugi link, który otrzymałem na komunikatorze WhatsApp. Trzeba było się przywitać ponownie.
Trochę już zwątpiłem w swoje umiejętności, ale technolog podniósł mnie na duchu.
Wpadł mi też do głowy pomysł, na ulepszenie strony.
Ta strona wymaga poprawek.
Już prawie się poddałem, ale otrzymałem nowy link.
Nowe okno. Dzień dobry!
Błędy, wszędzie błędy.
Kuba, daj mi ten numer!
Trochę ciśnienie się podniosło technologowi. Napisał do mnie dwa zdania z wykrzynikami, abym wpisał numer klienta. Gdy zwróciłem mu uwagę, aby na mnie nie krzyczał, to usunął tą wiadomość. Nie zdążyłem zrobić zrzutu ekranu. Bał się, że mu premię zabiorą?
Kolejny pomysł to podanie danych na czacie.
Nie udało mi się. Wszyscy poszli na przerwę. Kazali mi spróbować po godzinie 20.
Po godzinie 17:30 odezwała się do mnie Julia i podała nowy link.
Na stronie był taki problem, że przy otwartym oknie czatu, nie można było kliknąć na przycisk, aby przejść dalej. Trochę się CSS rozwalił. Postanowiłem to wykorzystać.
Na szczęscie brat pomoże!
Postanowiłem, że spróbuję zdobyć także adres IP osoby z czatu.
W tym momencie przestało mi się chcieć kontynuować tej rozmowy.
Tutaj rozmowa się skończyła.
Podsumowanie
Pamiętajcie, aby zawsze być czujnym jeśli chodzi o zakupy w Internecie. Najlepiej kontaktować się przez serwis, na których kupujecie lub sprzedajecie. Najlepiej także używać metod płatności, które te serwisy oferują. Wysyłajcie lub przekazujcie przedmioty tylko po otrzymaniu płatności. Nigdy nie podawajcie swojej nazwy użytkownika i hasła do banku. Nigdy także nie podawajcie kodów do aplikacji bankowej. Jeśli rozmowa przeniesie się poza serwis, jest to podejrzane.
Co możemy z tym zrobić? Dobre pytanie. Pierwszy raz mi się takie coś przytrafiło i nie miałem okazji pomyśleć, co z tym zrobić. Zgłosiłem domenę na stronie incydent.cert.pl. Co z numerem telefonu? Czy można aktualnie zdobyć numer bez podawania danych? Nawet jeśli, może numer jest zarejestrowany, na osobę, która w ogóle o tym nie wie, że jest wykorzystywany do przestępstw. Z drugiej strony, można by go chociaż zablokować.
Gdzie takie coś zgłaszać? Jak tylko zbiorę informacje to dodam je na końcu tego wpisu. Przydadzą się na przyszłość.