Użytkownicy Allegro na celowniku hakerów

23 kwietnia, 2013

W ostatnich tygodniach serwis aukcyjny Allegro.pl był dość częstym obiektem ataków DDoS. Jak przyznają przedstawiciele firmy „od lutego odnotowujemy zwiększoną ilość takich incydentów”. Według nieoficjalnych informacji ataki na serwis były przeprowadzane na zlecenie osoby z Polski przez dwie niezależne grupy hakerów.  Zmiana hostingu pozwoliła pracownikom serwisu na poradzenie sobie z atakami. Po kwietniowej ofensywie teraz przyszedł czas na spersonalizowane ataki na samych użytkowników.

W zeszłym tygodniu pracownicy laboratorium antywirusowego G Data SecurityLabs otrzymali zgłoszenie od jednego z użytkowników. Był on adresatem podejrzanej korespondencji, której autorzy próbowali podszywać się pod operatora płatności internetowych PayU, jednego z serwisów Grupy Allegro. Treść maila informowała o naliczonej opłacie za wystawienie oferty w serwisie OtoMoto.pl (także jeden z serwisów grupy). Wiadomość zawierała szczegóły takie jak identyfikator w systemie PayU, kwotę, tytuł płatności oraz informacje dotyczącą doliczenia wymienionej kwoty do rachunku konta w serwisie Allegro. Przestępcy umiejętnie połączyli i wykorzystali dostępne pozycje z portfolio serwisów Grupy Allegro. Wszystkie elementy układały się w jedną w miarę logiczną całość.

Kolejnym punktem korespondencji była wiadomość o obciążeniu bieżącego salda rachunku przypisanego do konta w serwisie aukcyjnym oraz informacja na temat możliwości ewentualnych działań w przypadku braku zgody na takie działanie. Użytkownik mógł kliknąć w jeden z dwóch odnośników. Pierwszy w przypadku braku zgody oraz drugi w przypadku wykazania chęci kontaktu z obsługą serwisu Allegro. Adresy URL przenosiły do fałszywej witryny logowania (poniżej porównanie).

allegro phishing big
Fałszywa strona wyłudzająca informacje dostępowe.
allegro big
Oryginalna strona logowania do serwisu Allegro.pl

Cały atak oparto o inżynierię społeczną, przestępcy starali się wywołać strach przed bezpodstawnym naliczeniem opłaty za niezamawianą usługę. Sama strona logowania różniła się nieznacznie od oryginału. Można to było stwierdzić po dokładniejszym i uważnym jej przejrzeniu, podstawową różnicą był brak szyfrowania połączenie SSL czyli tzw. „kłódeczki” w pasku adresowym przeglądarki. Adresy których używali cyberprzestępcy zostały dodane do Blacklist G Data SecurityLabs. Jednak podobne ataki wciąż mają miejsce, a jedynym sposobem na ich uniknięcie jest wzmożona czujność i kierowanie się kilkoma prostymi zasadami od G Data Software.

G Data radzi jak nie paść ofiarą phishingu:

  • Administratorzy czy to banków czy portali aukcyjnych zazwyczaj nie wysyłają wiadomości zawierających prośbę o zalogowanie się w serwisie. Taki mail powinien zwiększyć naszą czujność, powinniśmy stosować się do zasady obowiązującej w ruchu drogowym – ograniczonego zaufania do innych uczestników, w tym przypadku, ruchu sieciowego.
  • Nie otwieraj odnośników bezpośrednio z wiadomości e-mail. Jeżeli już postanowisz zalogować się w serwisie wpisz adres ręcznie do przeglądarki. Przestępcy stosują ten trik zamieszczając odnośniki przekierowujące do witryn które do złudzenia przypominają oryginały.
  • Zamknij luki bezpieczeństwa – bądź pewny że oprogramowanie którego używasz jest to najnowsza wersja dostępna u producenta.
  • Nigdy nie wysyłaj danych dostępowych poprzez e-mail – prośby o podanie loginu i hasła w wiadomości zwrotnej ignoruj od razu po ich otrzymaniu.
  • Zwracaj uwagę czy znajdujesz się na właściwej stronie oraz czy połączenie jest szyfrowane – większość serwisów po przejściu do strony logowania wykorzystuję połączenie szyfrowane.  Jeśli stwierdzisz jego brak, coś jest nie tak.
  • Chroniony przez oprogramowanie zabezpieczające – dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika Internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online. 
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]