Бездарные мошенники — 2: фишинг с marktplaats.nl

Автор: Дмитрий Канн Чтение на 3 мин

Мы вчера впервые близко познакомились с «таргетированным», индивидуальным фишингом, который выглядел настолько правдоподобно, что многие на это, возможно, и купились бы.

Есть в Нидерландах очень популярный сайт объявлений marktplaats.nl, что-то типа российского «Авито» — там легко и просто можно продать что-нибудь ненужное. Ну, или купить что-нибудь ненужное.

Супруга тоже продавала там одну вещь, и в WhatsApp ей написала какая-то — судя по аватару — женщина.

Она спросила, можем ли мы выслать по почте, попросила прислать betaalverzoek, запрос на оплату, якобы, чтобы перевести деньги.

«Верификация»

Потом написала: а можно, я вам пришлю запрос на верификацию от Marktplaats, чтобы удостовериться, что это точно вы? Для этого нужно всего лишь перевести € 0,01 якобы через официальный сервис.

Фрагмент нашей беесды в WhatsApp.
Фрагмент нашей беесды в WhatsApp.

После чего присылает линк следующего вида: https://mp-idealoversteken.nl/pay/6069eb4601d50nyd67vdn778ndh4267hsbtt86Fr.

Линк, как нетрудно заметить, на домене mp-idealoversteken.nl, mp — это, типа, marktplaats, а oversteken должен ассоциироваться с настоящим, официальным сервисом Марктплаца Gelijk Oversteken, «одновременная передача», при которой продавец получает деньги, а покупатель — товар.

При открытии ссылки видим страницу в дизайне самого marktplaats.nl

Страница mp-idealoversteken.nl
Страница mp-idealoversteken.nl

Что характерно, при попытке захода на сам сайт, в его корень, тебя просто перенаправляет на google.nl, то есть нужно иметь конкретный линк с идентификатором, чтобы эту страницу увидеть.

«Оплата»

Дальше нужно выбрать свой банк, после чего попадаешь на страницу логина, тщательно копирующую соответствующую настоящую страницу. Вот, например, страница ABN Amro:

Фейковая страница логина ABN Amro.
Фейковая страница логина ABN Amro.

А вот — ING:

Фишинговая страница логина ING.
Фишинговая страница логина ING.

Обе, как можно заметить, на том же самом домене mp-idealoversteken.nl. Что произойдёт после попытки залогиниться, догадаться нетрудно. Мошенники получат ваши логины-пароли и, вероятнее всего, даже код для двухфакторной аутентификации (она в Нидерландах обязательна для всех финансовых приложений).

Добыча сбежала

Тут лично мне уже было всё совершенно ясно. Ответили мошенникам, что пользоваться их услугами не станем. Любопытно, что они тут же удалили сообщение, в котором был линк — наверное, в надежде, что он у нас не сохранился (ха-ха).

Дальше я попробовал нагуглить этот домен и получил ровно ноль результатов.

Потом посмотрел на данные WhoIs — домен зарегистрирован за день до этого, 3 апреля.

Сразу же написал письмо на verdacht@marktplaats.nl, приложил скриншоты, а также в Namecheap, который значился регистратором домена — эти ребята оказались молодцами и тут же его прикрыли, сейчас он уже недоступен:

Данные WhoIs.
Данные WhoIs.

Правила цифровой гигиены

Напоследок напомню дорогим читателям о необходимости быть бдительными. Особенно, когда речь касается личных данных, документов или денег:

  • Всегда обращайте внимание на адрес страницы! Вводить логины-пароли можно только на домене своего банка, провайдера и т.д.
  • При любых сомнениях насчёт неизвестных сервисов сначала проверяйте путём поиска в Гугле. Их упоминание и адрес обязаны присутствовать на соответствующем официальном сайте.
  • В случае, если сомнения не разрешились, нигде ничего не вводите.
  • Сохраняйте скриншоты и ссылки, они полезны для сообщений в абьюз-службы.
  • Храните свои номера телефонов, емэйл-адреса и прочие персональные данные в секрете.
Подписаться на обновления блога:
Ещё
Сделано с помощью once.to — самого быстрого сокращателя ссылок.

Комментарии

Поделиться: