Fałszywy mail Allegro o błędnym adresie

TL;DR

Fałszywy mail o błędnym adresie dostawy Allegro wykorzystuje bardzo wiarygodny kontekst: ktoś kupił produkt, przesyłka ma problem, a użytkownik ma tylko poprawić dane. CERT Orange Polska opisał kampanię, w której wiadomość prowadziła przez ekran weryfikacyjny Cloudflare do fałszywego logowania Allegro.

Celem nie jest wyłącznie kliknięcie. Taki proces może prowadzić do wyłudzenia loginu i hasła, danych osobowych, danych karty oraz kodów autoryzacyjnych. Użytkownik widzi markę, logo, formularz i komunikat o paczce, ale prawdziwym sprawdzianem jest domena oraz sposób wejścia do serwisu.

Dla firm to dobry przykład phishingu, który nie musi dotyczyć systemów służbowych, aby wywołać incydent. Pracownik może używać tego samego telefonu, poczty, karty lub przeglądarki do spraw prywatnych i zawodowych, a skradzione dane mogą później posłużyć do kolejnych ataków.

Jak działa fałszywy mail o dostawie

Wiadomość udaje oficjalną komunikację platformy e-commerce. Informuje, że zamówienie nie może zostać przetworzone z powodu błędnego lub niepełnego adresu dostawy. To pretekst, który pasuje do codziennego życia. Wiele osób regularnie kupuje online i nie pamięta wszystkich paczek.

Atakujący wykorzystują wygląd wiadomości: logo, kolorystykę, stopkę i przycisk aktualizacji. To elementy, które użytkownik przetwarza szybciej niż szczegóły techniczne. Dopiero po rozwinięciu nadawcy można zauważyć, że e-mail nie pochodzi z oficjalnej domeny Allegro.

Po kliknięciu użytkownik nie trafia od razu na formularz logowania. CERT Orange Polska opisał ekran Cloudflare Security Check, który ma potwierdzić, że użytkownik jest człowiekiem. Taki ekran może zmylić ofiarę, bo wygląda jak element ochrony. W rzeczywistości może również pomagać atakującym utrudnić automatyczne wykrycie fałszywej strony.

Dopiero później pojawia się fałszywy panel logowania. Na małym ekranie telefonu różnice mogą być trudne do wychwycenia, a użytkownik jest już zaangażowany w proces aktualizacji adresu.

Dlaczego Cloudflare nie jest dowodem zaufania

Użytkownicy często traktują dodatkowy ekran weryfikacyjny jako znak, że strona jest chroniona. To błąd. Mechanizmy ochrony, CAPTCHA, bramki antybotowe i ekrany weryfikacyjne mogą zostać użyte również przez przestępców.

W praktyce taki ekran pełni dwie role. Po pierwsze, sprawia wrażenie profesjonalnej strony. Po drugie, może utrudniać pracę skanerom antyphishingowym, które próbują automatycznie analizować zawartość strony.

To ważny wniosek dla awareness: użytkownik nie powinien oceniać bezpieczeństwa strony po tym, że pojawiła się weryfikacja człowieka. Trzeba sprawdzić domenę, sposób dotarcia do strony i zgodność procesu z tym, jak naprawdę działa usługa.

Jeżeli ktoś ma problem z zamówieniem Allegro, właściwą ścieżką jest ręczne wejście do aplikacji lub serwisu, a nie link z maila. To samo dotyczy innych marketplace’ów, sklepów i platform dostaw.

Co może stracić użytkownik

Pierwszym celem jest login i hasło do konta Allegro. Przejęte konto może posłużyć do dalszych oszustw, fałszywych zakupów, kontaktu z innymi użytkownikami lub pozyskania historii transakcji.

Drugim celem są dane osobowe. Imię, nazwisko, adres, telefon i e-mail mogą zostać użyte do kolejnych oszustw. Atakujący mogą później przygotować bardziej wiarygodny SMS, telefon albo e-mail, bo będą znać prawdziwe dane ofiary.

Trzecim celem są dane karty. Jeśli fałszywa strona prosi o numer karty, datę ważności i CVV/CVC, należy założyć, że dane trafią do przestępców. Czasem po wpisaniu karty pojawia się ekran oczekiwania albo prośba o kod bankowy. To moment, w którym atakujący mogą próbować dodać kartę do portfela mobilnego albo zatwierdzić transakcję.

W firmach ryzyko rośnie, jeśli pracownik używa firmowej karty, telefonu, adresu e-mail albo zapisanych w przeglądarce danych. Prywatny zakup może wtedy dotknąć procesu służbowego.

Co powinien zrobić użytkownik

Nie należy aktualizować adresu dostawy przez link z maila. Jeżeli wiadomość dotyczy zamówienia, trzeba wejść ręcznie do aplikacji Allegro albo wpisać adres strony w przeglądarce. Tam należy sprawdzić status zamówienia i ewentualne powiadomienia.

Warto sprawdzić nadawcę. Nie wystarczy nazwa wyświetlana w skrzynce. Trzeba rozwinąć szczegóły i zobaczyć pełny adres e-mail. W opisanym przypadku CERT Orange Polska wskazywał, że nadawca nie pochodził z oficjalnej domeny Allegro.

Trzeba też patrzeć na pasek adresu strony. Subdomena z nazwą marki nie oznacza oficjalnej strony. Jeżeli w adresie występuje obca domena, nietypowa końcówka, przypadkowa nazwa albo marka jest tylko fragmentem dłuższego hosta, proces należy przerwać.

Najbezpieczniejsza zasada jest prosta: dane logowania i dane karty wpisuj tylko po samodzielnym wejściu do usługi, a nie po przejściu z wiadomości.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik podał login i hasło, powinien natychmiast zmienić hasło do konta Allegro oraz do innych usług, w których użył tego samego hasła. Trzeba też sprawdzić aktywne sesje, dane konta, historię zamówień i ustawienia płatności.

Jeżeli użytkownik podał dane karty, powinien skontaktować się z bankiem, zastrzec kartę albo zablokować transakcje internetowe zgodnie z procedurami banku. Trzeba sprawdzić historię płatności i alerty o próbach dodania karty do portfeli mobilnych.

Jeżeli użytkownik podał kod autoryzacyjny, należy założyć, że atakujący mogli zatwierdzić transakcję lub podpięcie karty. Wtedy szybki kontakt z bankiem jest ważniejszy niż dalsze analizowanie strony.

W środowisku firmowym incydent warto zgłosić do IT lub Security, szczególnie jeśli użyto służbowej skrzynki, karty, komputera lub telefonu. Atak może być prywatny, ale skutki mogą dotyczyć organizacji.

Co powinny zrobić IT, Security i awareness

Ten scenariusz dobrze nadaje się do ćwiczeń, bo nie wygląda jak techniczny atak. To zwykła wiadomość o zakupach. W kontrolowanym teście można sprawdzić, czy użytkownicy klikają w link, czy sprawdzają nadawcę i czy odróżniają ekran weryfikacyjny od dowodu bezpieczeństwa.

W testach phishingowych dla firm warto mierzyć nie tylko kliknięcie, ale też dalsze kroki: logowanie, wpisanie danych osobowych, wpisanie karty i reakcję po zauważeniu błędu.

Zespoły IT i SOC powinny pamiętać, że fałszywe strony e-commerce mogą działać przez urządzenia prywatne, ale dotykać służbowych danych. Warto mieć jasny kanał zgłaszania takich incydentów i prostą instrukcję dla użytkownika.

Konkretna zasada na koniec: jeśli platforma zakupowa prosi o poprawę adresu, nie klikaj w mail. Otwórz aplikację lub stronę samodzielnie i dopiero tam sprawdź zamówienie.