Oszuści polują na twoje konto na Allegro. Mają prosty sposób, by ci je zabrać
To kolejna w ostatnim czasie próba przejęcia kont użytkowników Allegro. Polacy dostają maile, które tylko na pierwszy rzut oka wyglądają jak te od sklepu. Jeżeli jednak ktoś się nie przyjrzy i zaufa wrażeniu, zamiast obiecanych pieniędzy może mieć spore kłopoty.
Zespół CSIRT NASK obserwuje nowe warianty kampanii, w której oszuści podszywają się pod administrację platformy Allegro. Jak informują eksperci, przestępcy rozsyłają fałszywe wiadomości mailowe, w których informują o rzekomej nagrodzie w programie lojalnościowym. Bonus to prawie 700 zł, a żeby odebrać prezent wystarczy kliknąć w link.
Z jednej strony mamy tutaj klasyczną przynętę w postaci niespodziewanej nagrody. Ostatnio pisaliśmy o oszustwie wymierzonym w niedzielnych użytkowników Blika. Polacy dostawali SMS-y o niespodziewanym przelewie. Tutaj jest więc podobnie: chodzi o to, żeby gotówka przysłoniła czujność.
Z drugiej strony przekręt nie jest taki oczywisty czy wręcz banalny, jak się wydaje
Pamiętajmy, że Allegro ma usługę Allegro Pay, a dostępna kwota też co jakiś czas się zwiększa, jeśli regulujemy należności na czas. Tak, wiem, to zupełnie dwie różne rzeczy, ale w tym właśnie jest pokrętna logika: wystarczy, że komuś coś zadzwoni, by nagle mail o programie lojalnościowym wydawał się wiarygodny. "No tak, sąsiad/koleżanka z pracy coś mówiła o pieniądzach na zakupy, które się potem oddaje, więc to może to" – i nieszczęście gotowe.
Samo przestępstwo ma tradycyjne luki. Na przykład w polu nadawca faktycznie możemy zobaczyć "Allegro", ale już jego adres to "[email protected]". Jak widać ma niewiele wspólnego z faktycznym Allegro. Kiedy jednak w grę wchodzą darmowe pieniądze, na analizę nie ma czasu – a przynajmniej na to liczą przestępcy.
Po kliknięciu w podstawiony link trafimy na stronę służącą do wyłudzania danych. Po co użytkownikom konto na Allegro? Mogą np. korzystać ze wspomnianego Allegro Pay i zrobić zakupy albo też wystawić fałszywe przedmioty, zgarniając pieniądze za rzeczy, których nie ma. I to ofiara będzie musiała się tłumaczyć z oszukańczej sprzedaży. Poza tym niestety wciąż wiele osób korzysta z tego samego hasła, więc niewykluczone, że zdobycie danych z Allegro pozwoli zalogować się w innych portalach. Właśnie dlatego powinniśmy korzystać z dwuetapowej weryfikacji wszędzie tam, gdzie to tylko możliwe.
Jak zaznaczają eksperci z CSIRT NASK, w fałszywych wiadomościach złodzieje mogą informować też o możliwej blokadzie konta, która ma wynikać z częstych prób logowania z aplikacji mobilnej czy aktualizacji regulaminu i wynikającej z tego potrzeby jego akceptacji. Sposób na ochronę swoich danych jest jeden: dokładnie sprawdzajmy, kto do nas pisze, i zachowajmy szczególną czujność, gdy próbuje nam dać coś za darmo.
