Pozrite si
Spoločnosť ESET zaznamenala tento týždeň zvýšenú aktivitu kybernetických útočníkov na portáli Bazoš.sk. Aj keď na ich najznámejšie podvody dlhodobo upozorňuje aj polícia, útočníci si stále dokážu nájsť nové obete, ako aj nové metódy zamerané na kupujúcich i predajcov.
Pomerne jednoducho pôsobiaci spôsob nákupu alebo predaja sa môže veľmi rýchlo zmeniť na zlý sen spojený so stratou tovaru, financií či dokonca identity. Podvody, s ktorými sa môžete stretnúť v prostredí online bazárov, sú totiž z roka na rok čoraz sofistikovanejšie a teda aj náročnejšie na odhalenie.
Na rôzne metódy útokov na predávajúcich a kupujúcich na portáli Bazoš.sk upozorňuje Polícia Slovenskej republiky dlhodobo a to najmä prostredníctvom Facebookovej stránky Hoaxy a podvody – Polícia SR. Počas uplynulého týždňa však spoločnosť ESET zaznamenala zvýšenú frekvenciu využívania troch konkrétnych metód, z ktorých pri jednej mali útočníci staviť už aj na malvér.
„Podvody, ktoré sa z používateľov Bazoš.sk snažia vylákať čísla platobných kariet, citlivé údaje alebo predávaný tovar, nie sú žiadnou novinkou. Útočníci pri nich najčastejšie vsadia na sociálne inžinierstvo a manipuláciu. Používatelia by si preto mali dobre skontrolovať identitu človeka, s ktorým komunikujú a pristupovať ku každému zaslanému linku s najväčšou možnou opatrnosťou, nakoľko môže viesť na phishingovú stránku, či dokonca web so škodlivým kódom,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET.
Platba tovaru cez falošnú platobnú bránu/kuriéra
Prvá z troch najbežnejších metód využíva kombináciu sociálneho inžinierstva a phishingového útoku. Falošný záujemca kontaktuje predávajúceho prostredníctvom četu, kde mu zjavne strojovým prekladom do slovenčiny napíše, že má o ponúkaný tovar vážny záujem a rád by zaň zaplatil vopred.
Namiesto bežného bankového prevodu alebo vierohodnej platobnej služby však útočník predávajúcemu odošle odkaz na stránku fiktívnej platobnej alebo kuriérskej služby, kde má obeť potvrdiť záujem o prijatie platby zadaním citlivých údajov o svojej platobnej karte. Získaním týchto údajov sú útočníci schopní vykonávať platby a čerpať finančné prostriedky v mene obete.
Podľa informácií ESETu niektorí útočníci využívajú túto metódu aj na získanie tovaru, ktorý má nič netušiaca obeť odoslať na adresu falošného záujemcu bez toho, aby reálne vykonal platbu. Obeť má prostredníctvom falošného tovaru potvrdiť záujem o prijatie platby odfotením poštového dkladu, platby sa však napriek odoslaniu tovaru nikdy nedočká.
Falošné potvrdenie o platbe
Na rozdiel od prvého scenára, v ktorom sa zahraničný podvodník vydával za obyvateľa Slovenska, sa podvodník v druhom scenári stavia do pozície záujemcu zo zahraničia. Tovar žiada odoslať do Rakúska, pričom je zaň dokonca ochotný zaplatiť vopred.
Aby mohol predávajúci s falošným pokojom na duši tovar odoslať, záujemca mu odošle doklad o vykonaní platby prostredníctvom zahraničnej banky ScotiaBank, ktorý je samozrejme falošný. Žiaden bankový prevod reálne neprebehne, aj keď už tovar smeruje na adresu podvodníka.
Škodlivý kód a krádež údajov
V niektorých prípadoch môžu podvodníci namiesto sociálneho inžinierstva staviť aj na škodlivý kód, ktorý má za cieľ infikovať počítač obete a ukradnúť z neho citlivé údaje. Podľa informácií spoločnosti ESET mala obeť v jednom z takýchto prípadov prostredníctvom aplikácie WhatsApp obdržať odkaz smerujúci na neznámu webovú stránku s malvérom.
Po kliknutí naň sa z danej adresy do počítača stiahol škodlivý kód, ktorý kybernetický útočník využil na krádež hesiel obete a dokonca aj zrealizovanie platby cez jednu z online platobných služieb v mene obete. Podľa štatistík spoločnosti sa počet prípadov, v ktorých figurovali tzv. „infostealeri“ v priebehu mája až augusta v porovnaní s prvým štvrťrokom zvýšil až o 33 %.
Overovací kód z Bazoš.sk
Ďalšia z najbežnejších metód, s ktorou sme sa stretli aj v našej redakcii, je postavená priamo na systéme portálu Bazoš.sk, ktorý je využívaný na overenie telefónneho čísla predávajúceho.
Predávajúceho v takomto prípade kontaktuje falošný záujemca, ktorý by si rád ponúkaný tovar zarezervoval na svoje telefónne číslo. Útočník v takomto prípade zadá do formulára, ktorý slúži na pridávanie a úpravu inzerátov, telefónne číslo predávajúceho. Ten mu má následne do správy, e-mailu alebo telefonicky nadiktovať overovací kód zaslaný spoločnosťou Bazoš.sk.
Útočník v tomto prípade získa prístup ku všetkým inzerátom predávajúceho a zároveň možnosť pridávať v jeho mene na portál ďalšie Bazoš.sk falošné inzeráty, na ktoré môže nalákať ďalšie obete.