Phishing "na Allegro" - jak nie dać się oszukać?

Jak donosi Fortinet, wielu użytkowników serwisu Allegro otrzymało e-maile z informacją o zablokowaniu ich kont. Przyczyną ma być nieuregulowanie płatności. Uwaga - to oszustwo!

Wiadomość, która przychodzi rzekomo od Allegro, jest dziełem cyberprzestępców. Stanowi klasyczny phishing, czyli próbę wykradzenia informacji. Tego typu ataki to często podszywanie się pod znane marki i firmy, jednak użytkownicy po ich otrzymaniu wpadają w panikę i myśląc, że dana wiadomość naprawdę pochodzi od znanego nadawcy, klikają na link wiodący do płatności. Często w wiadomościach takich jest załącznik, stanowiący rzekomo fakturę lub inny dokument, który należy pobrać. To oczywiście szkodliwy plik, którego pobrania skutkuje zawirusowaniem systemu. Jak wyjaśnia Jolanta Malak, dyrektor Fortinet w Polsce: "Socjotechniki bazują na wywołaniu emocji u odbiorcy wiadomości. Maile z linkami do fałszywego polecenia zapłaty lub złośliwymi załącznikami często są napisane w alarmistycznym tonie, z użyciem sformułowań, które mają wzbudzić u odbiorcy natychmiastową reakcję"

W przypadku oszustwa "na Allegro", eksperci Fortinet zauważyli powtarzające się motywy:

  • niska kwota rzekomego zadłużenia, która może wywołać poczucie, że lepiej ją dla „świętego spokoju” opłacić i mieć problem z głowy;
  • kwota „1.98” jest zapisana w formacie z kropką, bez oznaczenia „zł” lub „PLN” – taki zapis w języku polskim jest praktycznie niespotykany, zazwyczaj stosuje się przecinek oraz odpowiedni skrót oznaczający walutę;
  • widoczne są błędy gramatyczne polegające na niepoprawnej odmianie („aby zapobiec blokady konta”) oraz literówki („Twój dług przejmie windykacyjna” – brakuje tutaj słowa „firma”). Na tym przykładzie widać też element zastraszający, mając wzbudzić emocje – nikt nie chciałby mieć kłopotów związanych z postępowaniem windykacyjnym.

Co robić, gdy otrzymasz taki e-mail? Przede wszystkim - zachowaj spokój i przeczytaj treść maila. Jego treść możesz zweryfikować np. telefonicznie, w Biurze Obsługi Klienta danej firmy. Jeśli z kolei nie posiadasz konta w danym serwisie - możesz spokojnie posłać tego e-mail do kosza.