W ostatni piątek, już w godzinach weekendowych (06.03.2020, po godzinie 16) trafiłem na ciekawy przekręt związany z powszechną metodą „na dopłatę”. Tym razem celem byli potencjalni kliencie Enea (potencjalni, bo coś czuję, że dla powodzenia tego przekrętu akurat to nie miało wielkiego znaczenia ;-P). Procedura klasyczna – SMS z informacją o konieczności dopłaty zazwyczaj jakiejś niewielkiej kwoty i link. I to właśnie ten link sprawił, że uznałem, że wprawdzie artykułu nie będę od razu pisał (weekend ;-)), to przynajmniej zabezpieczę materiały na potrzeby artykułu w późniejszym terminie…

Twoja Enea i fałszywe opóźnienie w płatności

Zazwyczaj taki link prowadzi albo bezpośrednio do spreparowanej strony któregoś z systemów szybkiej płatności. Tutaj chyba najpopularniejszy jest „Dotpay”. Może wynika to z rozpoznawalności, a może na czarnym rynku jest jakaś promocja na „fałszywy Dotpay”.

W każdym razie strona płatności ma za zadanie wyłudzić dane logowania do banku:

Eksperyment zakończyłem na „weryfikacji” podanych danych logowania do banku, bo oczywiście prawdziwych danych nie podałem, a bez tego skrypt nie ruszy dalej. Bo tu nie chodzi by „tylko” pozyskać dane logowania, bo te często poza pooglądaniem sobie kto ile ma na koncie i na co wydaje pieniądze nic nie dadzą. W dalszym kroku zazwyczaj następuje próba zdefiniowania zaufanego odbiorcy/przelewu, tak by w kolejnym kroku zacząć wyprowadzać środki z konta. Zazwyczaj na słupy, a potem na Bitcoiny (BTC).

W tym przypadku link jednak nie prowadził od razu do strony płatności – z mniej lub bardziej sensownym linkiem – ale do strony, która służyła nie tylko do potwierdzenia informacji z SMSa, ale była swego rodzaju dodatkowym straszakiem:

Na stronie znajdowały się takie informacje jak:

Posiadasz opóźnienie w płatności przekraszające 30 dni! (…) W dni 07.03.2020 nastapi odcięcie energii elektrynczej.

Dalej sporo straszaków w stylu:

Co zrobić, gdy już doszło do wyłaczenia z powodu zadłużenia?

Jeśli nie opłaciłęś rachunku, bądź zrobiłeś to po wskazanym terminie – prawdopodobnie nastąpiło wstrzymanie odstaw energii z powodu zadłużenia.

Jak najszybciej ureguluj należność klikając w powyższy link. Pamiętaj że musisz spłacić całą kwotę wodoczną powyżej by wznowić dostawy energii elektrycznej.

Ale największym wg mnie „bajerem” nie była nawet ta strona, a domena, która – trzeba uczciwie przyznać – została dobrana bardzo dobrze:

DOMAIN NAME: twojaenea.pl
registrant type: individual
nameservers: ns6.az.pl. [217.160.82.248][2001:8d8:fe:53:7072::3]
ns7.az.pl. [2001:8d8:fe:53:7072::2][217.160.81.245]
ns8.az.pl. [2001:8d8:fe:53:7072::3][217.160.82.248]
created: 2020.03.06 15:34:02
last modified: 2020.03.06 15:34:05
renewal date: 2021.03.06 15:34:02 

Informacja o „kampanii” dotarła do mnie w okolicach godziny 17 w piętak, 2020.03.06, a sama domen została zarejestrowana o 15:34, a żywot zakończyła chyba gdzieś w okolicach 18-19. Czyli widać, że w takich przypadkach czas się więcej niż liczy.

I być może z tego pośpiechu, choć domena była dobra bardzo dobrze, to było to robione na szybko. Strona nie posiadał szyfrowania – niby drobiazg, a obecnie też nic trudnego, a jednak zabrakło tego elementu.

Zabrakło również jakiejkolwiek „ściemniającej strony” pod samą domeną:

Jako ciekawostkę podam, że w kodzie źródłowym strony z SMSa znajdował się kod śledzący Google Analytics wraz z identyfikatorem:

ga('create', 'UA-45772854-2', 'auto', {'name': 'wwTracker'});

A nadrzędny/główny element tego kodu (UA-45772854) np. wg serwisu SpyOnWeb związany jest z 685 domenami:

Może przypadek, może pozostał z kopiowania kodu strony, a może nie… W każdym razie mało prawdopodobne, by osoby odpowiedzialne za przygotowanie tej kampanii stały również za tymi stronami, chyba że jakieś spore studio webdeweloperskie postanowiło sobie dorobić… ;-)

(!) Zgłoś błąd na stronie