Izkušnja spletne prodaje in poskusa socialnega inženiringa

Eden od naših sodelavcev se je odločil, da proda svojo pametno uro. Prodati jo je želel na portalu Bolha.com, kjer lahko fizične osebe prodajajo svoje rabljene izdelke.

V manj kot petnajstih minutah po objavi oglasa je že prejel prvo sporočilo na WhatsAppu – našel se je kupec! Pisal mu je (z ukrajinske telefonske številke), da je za uro zelo zainteresiran in da bi jo kar takoj rad kupil.

Prvotnemu navdušenju sodelavca, češ kako hitro je uspel prodati uro, je hitro sledilo sporočilo, ki je vzbudilo sum v celotno transakcijo. Kupec je predlagal, da plačilo za storitev opravita prek neke spletne strani, ki bi potem tudi poskrbela, da bi kurir prevzel izdelek in mu ga dostavil. Seveda je sodelavec takoj zaznal, da gre za prevaro, a je bil vseeno radoveden, kako in kaj, zato je odprl predlagano spletno stran.

Prevare s socialnim inženiringom

Spletna stran ima v glavi celo logotip Pošte Slovenije, da bi izpadla bolj verodostojno. Žrtev pa poskuša prepričati, da je kupec za izdelek že plačal, zato je potrebno ta denar le še prevzeti in prodaja bo zaključena. Ko kliknemo na gumb »Pojdi na sprejem« na zgornji sliki, pa nas stran preusmeri na podstran, ki poskuša od žrtve dobiti številko kreditne kartice.

kraja osebnih podatkov

Lahko si predstavljamo, kaj se naredi v primeru vnosa podatkov – napadalcem posredujemo vse podatke, ki jih potrebujejo, da nam lahko z bančne kartice ukradejo denar. Sodelavcu pa radovednost ni dala miru, zato je vnesel podatke lažne kreditne kartice, nakar je bil preusmerjen na potrditveno spletno stran, kjer naj bi vnesel kodo, ki naj bi jo prejel v SMS sporočilu.

Podatki o plačulu

Na tej točki je potrebno poudariti, da nimajo vse kartice takšne zaščite (torej potrditve transakcije v aplikaciji oziroma prejem enkratne kode na SMS), zato je v tem koraku žrtev že lahko opeharjena.

Ko je sodelavec preveril lastništvo domene, je ugotovil, da gre za domeno, registrirano v Rusiji, hkrati pa je našel tudi njihovega ponudnika. Nato je poslal sporočilo na Pošto Slovenije, SI-CERT in ponudniku gostovanja in opozoril na prevaro, ki se dogaja. Tako Pošta Slovenije kot SI-CERT sta mu kar hitro odpisala, da za takšne napade vedo in opozarjajo na njih, kak dan kasneje pa je dobil tudi povratno sporočilo ponudnika gostovanja, da jim je ukinil storitve zaradi zlorabe.

Zanimivo pa je tudi to, da to ni bil edini poskus. V prvi uri od objave oglasa je sodelavec namreč prejel tri različna sporočila s treh različnih tujih številk – ukrajinske, portugalske in španske. Kot kaže, gre torej za zelo koordinirane napade, kjer ciljajo tudi na slovenske državljane in s pomočjo različnih prevajalnih orodij komunicirajo z nami in nas poskusijo opehariti.

SI-CERT je v letu 2019 obravnaval 1840 primerov goljufij (v letu 2018 pa 1505), kar nakazuje, da so takšni poskusi vedno pogostejši in moramo biti zato tudi uporabniki bolj previdni. Pri našem delu v ISF Teamu namreč večkrat slišimo stavek »Kdo bi pa želel napasti nas, smo zgolj malo podjetje iz Slovenije,« in izkušnje so nam pokazalo, da se takšno razmišljanje večkrat sprevrne v negativno izkušnjo.