Aktulizacja
Biuro prasowe Neonet przesłało nam oświadczenie. Publikujemy je w całości:
Z przykrością informujemy, iż padliśmy ofiarą próby wyłudzenia internetowego. Realizując wewnętrzną procedurę bezpieczeństwa, Spółka NEO24.pl podjęła wszelkie niezbędne kroki, aby zminimalizować ewentualne skutki działań hakerów i doprowadzić do wyjaśnienia sprawy. Niezwłocznie zabezpieczyliśmy i doprowadziliśmy do wyłączenia domeny mistrzostwa.neo24.pl oraz serwera, który był celem ataku. O zaistniałej sytuacji powiadomiliśmy odpowiednie organy, z którymi ściśle współpracujemy mając na uwadze jak najszybsze wyjaśnienie sprawy.
***
Niektórzy klienci sklepu internetowego Neo24.pl otrzymali SMS-y z informacją o nowej promocji. W wiadomości oferującej nawet 30 proc. zniżki na wszystkie towary, znalazł się link, który odsyłał do subdomeny mistrzostwa.neo24.pl.
Informacja o fałszywej promocji Źródło: Niebezpiecznik.pl (publikacja za pisemną zgodą)
Sieć odcina się od akcji
W powyższym przypadku nadawca wiadomości wyświetlił się na telefonie odbiorcy jako "NEONET". To właśnie znana sieć jest właścicielem sklepu internetowego.
Neonet odcina się jednak od akcji. Na swoim profilu na Faceboku zapewnia, że nie organizował żadnej promocji i nie tworzył subdomeny mistrzostwa.neo24.pl.
Neo24.pl odcina się od subdomeny mistrzostwa.neo24.pl Źródło: Facebook
To prawdopodobnie włamanie
Jest niemal pewne, że sieć padła ofiarą cyberprzestępców, albo sabotażu. Wszystko wskazuje bowiem na to, że ktoś przejął kontrolę nad serwerem Neo24.pl. Bez dostępu do panelu administratora nie byłby przecież w stanie stworzyć nowej subdomeny.
Neonet kiedyś z niej zresztą korzystał. Dotarliśmy do kopii strony mistrzostwa.neo24.pl z roku 2012. Wtedy prowadzono na niej podobną akcję promocyjną.
Warto podkreślić różnicę pomiędzy domeną, a subdomeną. Stworzenie fałszywej kopii sklepu wykorzystującego podobny adres - np. neo-24.pl - jest czymś zupełnie innym, niż stworzenie subdomeny. W tym drugim przypadku oszust nie podszywa się pod dany adres internetowy, ale rzeczywiście wykorzystuje go do swoich działań.
Kopia autentycznej domeny mistrzostwa.neo24.pl z roku 2012 Źródło: web.archive.org
Jak okradano ofiary?
Po otworzeniu linku umieszczonego we wiadomości SMS odbiorca mógł dokonać zakupu produktów w kilku kategoriach. Po dodaniu produktów do koszyka, witryna kierowała do płatności Dotpay, a raczej do fałszywego klona bramki płatniczej.
Bramka przejmowała dane do logowania do bankowości elektronicznej. Ofiara otrzymywała SMS z kodem jednorazowym. Wpisywała go na stronie sądząc, że akceptuje płatność. Tak naprawdę jednak tworzyła nowego odbiorcę zaufanego.
Wtedy przestępcy mogli przystąpić do wyczyszczenia konta bankowego z pieniędzy, gdyż przelewy od takiego odbiorcy nie wymagają już autoryzacji. Oszustwa wykorzystujące fałszywą bramkę Dotpay nie są nowością - niektóre już opisywaliśmy.
Są ofiary
Jeden z poszkodowanych stracił w ten sposób pieniądze.
Niestety padłem ofiarą tego oszustwa – moje konto zostało obciążone. To, że płatność była "fejkowa" dotarło do mnie po skojarzeniu kilku faktów już po “dokonaniu zakupu”. Niestety sposobność zakupu procesora, który akurat teraz zamierzam kupić taniej. spowodowała totalne zaćmienie umysłu. Dopiero potem włączyło mi się normalne myślenie. Wstyd mi przed samym sobą, że dałem się nabrać :( Fakt, że adres mistrzostwa.neo24.pl był prawdziwy dowodzi chyba, że ktoś włamał się na serwer neo24.pl.
- opisuje sytuację w rozmowie z serwisem Niebezpiecznik.
Wiele pytań
W tej chwili nie ma pewności, w jaki sposób przestępcy zaatakowali Neo24.pl. Skąd wzięli dane klientów sklepu? Jak to się stało, że ofiary widziały Neonet jako nadawcę nadawcę SMS-a? W jakich okolicznościach doszło do utworzenia fałszywej strony na serwerze należącym do sieci? Takie pytania przesłaliśmy do biura prasowego Neonet.
Czytaj też: Nie pierwszy raz ktoś podszywa się pod znaną sieć
Rzecznik sieci Neonet Daiana Esenwa-Lendzion w rozmowie z nami zapewniła, że okoliczności incydentu zostaną zbadane. W firmie trwa właśnie spotkanie związane z atakiem. Kiedy tylko otrzymamy wyjaśnienia artykuł zostanie zaktualizowany.
***
