Włamanie do popularnego sklepu internetowego sieci Neonet. Przestępcy wyłudzili pieniądze

Robert Kędzierski
Neo24.pl, sklep internetowy należący do sieci Neonet, najwyraźniej padł ofiarą cyberprzestępców. Ktoś przejął kontrolę nad serwerem sklepu i rozesłał wiadomości o fałszywej promocji.

Aktulizacja

Biuro prasowe Neonet przesłało nam oświadczenie. Publikujemy je w całości:

Z przykrością informujemy, iż padliśmy ofiarą próby wyłudzenia internetowego. Realizując wewnętrzną procedurę bezpieczeństwa, Spółka NEO24.pl podjęła wszelkie niezbędne kroki, aby zminimalizować ewentualne skutki działań hakerów i doprowadzić do wyjaśnienia sprawy. Niezwłocznie zabezpieczyliśmy i doprowadziliśmy do wyłączenia domeny mistrzostwa.neo24.pl oraz serwera, który był celem ataku. O zaistniałej sytuacji powiadomiliśmy odpowiednie organy, z którymi ściśle współpracujemy mając na uwadze jak najszybsze wyjaśnienie sprawy.

***

Niektórzy klienci sklepu internetowego Neo24.pl otrzymali SMS-y z informacją o nowej promocji. W wiadomości oferującej nawet 30 proc. zniżki na wszystkie towary, znalazł się link, który odsyłał do subdomeny mistrzostwa.neo24.pl. 

Informacja o fałszywej promocjiInformacja o fałszywej promocji Źródło: Niebezpiecznik.pl (publikacja za pisemną zgodą)

Sieć odcina się od akcji

W powyższym przypadku nadawca wiadomości wyświetlił się na telefonie odbiorcy jako "NEONET". To właśnie znana sieć jest właścicielem sklepu internetowego. 

Neonet odcina się jednak od akcji. Na swoim profilu na Faceboku zapewnia, że nie organizował żadnej promocji i nie tworzył subdomeny mistrzostwa.neo24.pl.

Neo24.pl odcina się od subdomeny mistrzostwa.neo24.plNeo24.pl odcina się od subdomeny mistrzostwa.neo24.pl Źródło: Facebook

To prawdopodobnie włamanie

Jest niemal pewne, że sieć padła ofiarą cyberprzestępców, albo sabotażu. Wszystko wskazuje bowiem na to, że ktoś przejął kontrolę nad serwerem Neo24.pl. Bez dostępu do panelu administratora nie byłby przecież w stanie stworzyć nowej subdomeny. 

Neonet kiedyś z niej zresztą korzystał. Dotarliśmy do kopii strony mistrzostwa.neo24.pl z roku 2012. Wtedy prowadzono na niej podobną akcję promocyjną. 

Warto podkreślić różnicę pomiędzy domeną, a subdomeną. Stworzenie fałszywej kopii sklepu wykorzystującego podobny adres - np. neo-24.pl -  jest czymś zupełnie innym, niż stworzenie subdomeny. W tym drugim przypadku oszust nie podszywa się pod dany adres internetowy, ale rzeczywiście wykorzystuje go do swoich działań.

Kopia autentycznej domeny mistrzostwa.neo24.pl z roku 2012Kopia autentycznej domeny mistrzostwa.neo24.pl z roku 2012 Źródło: web.archive.org

Jak okradano ofiary?

Po otworzeniu linku umieszczonego we wiadomości SMS odbiorca mógł dokonać zakupu produktów w kilku kategoriach. Po dodaniu produktów do koszyka, witryna kierowała do płatności Dotpay, a raczej do fałszywego klona bramki płatniczej. 

Bramka przejmowała dane do logowania do bankowości elektronicznej. Ofiara otrzymywała SMS z kodem jednorazowym. Wpisywała go na stronie sądząc, że akceptuje płatność. Tak naprawdę jednak tworzyła nowego odbiorcę zaufanego. 

Wtedy przestępcy mogli przystąpić do wyczyszczenia konta bankowego z pieniędzy, gdyż przelewy od takiego odbiorcy nie wymagają już autoryzacji. Oszustwa wykorzystujące fałszywą bramkę Dotpay nie są nowością - niektóre już opisywaliśmy

Są ofiary

Jeden z poszkodowanych stracił w  ten sposób pieniądze.

Niestety padłem ofiarą tego oszustwa – moje konto zostało obciążone. To, że płatność była "fejkowa" dotarło do mnie po skojarzeniu kilku faktów już po “dokonaniu zakupu”. Niestety sposobność zakupu procesora, który akurat teraz zamierzam kupić taniej. spowodowała totalne zaćmienie umysłu. Dopiero potem włączyło mi się normalne myślenie. Wstyd mi przed samym sobą, że dałem się nabrać :( Fakt, że adres mistrzostwa.neo24.pl był prawdziwy dowodzi chyba, że ktoś włamał się na serwer neo24.pl.

- opisuje sytuację w rozmowie z serwisem Niebezpiecznik.

Wiele pytań

W tej chwili nie ma pewności, w jaki sposób przestępcy zaatakowali Neo24.pl. Skąd wzięli dane klientów sklepu? Jak to się stało, że ofiary widziały Neonet jako nadawcę nadawcę SMS-a? W jakich okolicznościach doszło do utworzenia fałszywej strony na serwerze należącym do sieci? Takie pytania przesłaliśmy do biura prasowego Neonet.

Czytaj też: Nie pierwszy raz ktoś podszywa się pod znaną sieć

Rzecznik sieci Neonet Daiana Esenwa-Lendzion w rozmowie z nami zapewniła, że okoliczności incydentu zostaną zbadane. W firmie trwa właśnie spotkanie związane z atakiem. Kiedy tylko otrzymamy wyjaśnienia artykuł zostanie zaktualizowany. 

***

Prezes Rainbow: Firmy stają się nieefektywne, jeśli wszystko spoczywa na rękach prezesa [NEXT TIME]

Więcej o:
Komentarze (6)
Włamanie do sklepu Neo24.pl, należącego do sieci Neonet. Przestępcy wyłudzili pieniądze
Zaloguj się
  • Radek K

    Oceniono 1 raz 1

    Pewnie ta subdomena była oddana jakiejś agencji marketingowej w zarządzanie i stała na osobnym zewnętrznym serwerze który był bardzo słabo zabezpieczony. A nadawce\ę SMS można dowolnie definiować i każdy kto pracował przy jakimś API SMS'owym wie o tym doskonale.

  • ycbo

    0

    Powinni tego zabronić.

  • qwerfvcxzasd

    Oceniono 1 raz -1

    sprawa jest oczywista - oddają pieniądze ofiarom, bo to oni dali d...

  • kosmaty.ponczek

    Oceniono 1 raz -1

    Znaczy sie, zero procedur i zarzadzanie rekordami w bindzie na haslo Dupa8

  • kler-killer

    Oceniono 3 razy -3

    A jaki problem wysłaś SMS z dowolnego numeru telefonu albo jako nadawca to nazwa do 13 znaków? Choćby SMS Global.

Aby ocenić zaloguj się lub zarejestrujX