17.02 nadałem paczkę na Poczcie Polskiej. Tego samego dnia, po kilku godzinach od nadania, otrzymałem SMS z prośba o dopłatę.

Oczywiście link kieruje do podrobionej strony PayU, na której można przejść na stronę dowolnego banku. Każda ze stron jest niezłej jakości spreparowaną repliką, której celem jest przechwycenie danych logowania.

Na stronie banku jesteśmy proszeni o login oraz pełne hasło logowania do konta, czego np. bank ING nigdy nie robi w swoim procesie logowania. Bez względu na to, co wpiszemy w formularze - logowanie kończy się sukcesem. Po zalogowaniu się widzimy przygotowany formularz z danymi do przelewu i kwotą na 1.49zł. Oczywiście to już nie ma żadnego znaczenia, dane do logowania były celem ataku, a przelew jest fikcją. Natomiast warto zaznaczyć, że ten ekran również wygląda całkiem wiarygodnie. Po zrealizowaniu fikcyjnego przelewu wyświetla się loader i... na tym koniec.

Na codzień zajmuję się projektowaniem procesów transakcyjnych i muszę przyznać, że jest to na tyle dobrze zrobione, że osoba, która nie jest zaznajomiona z tego typu atakami ma wątpliwe szanse na zorientowanie się w sytuacji.

Do rzeczy.

Sprawa zrobiła się znacznie bardziej martwiąca, ponieważ dzisiaj została nadana do mnie paczka za pośrednictwem Poczty Polskiej i po kilku godzinach od jej nadania... otrzymałem identycznego SMSa z prośbą o dopłatę.

W pierwszy przypadku oceniłem sytuację jako zbieg okoliczności, ale w drugi przypadek jest mi bardzo trudno uwierzyć. Wygląda na to, że SMSy od atakującego wcale nie są losowo wysyłane na chybił/trafił. Być może mamy do czynienia z poważnym błędem w zabezpieczeniu systemu trackingowego Poczty Polskiej i ktoś przez jakiegoś bug’a w API zaciąga sobie zlecenia Poczty Polskiej, aby następnie rozesłać SMSy z prośbą o dopłatę?

Po pierwszym ataku zgłosiłem sprawę do banku ING oraz do niebezpiecznika (niestety PayU robisz to źle i nie wiem jak zgłosić tego typu sprawę do Was!) Bank przyjął we właściwym trybie (dziękuję) i przekazał do odpowiedniego działu. Niebezpiecznik odpisał Ctrl+C/Ctrl+V. Ponoć mają dużo takich zgłoszeń. OK. Dzisiaj zobaczyłem zabawny wpis na ich stronie: https://niebezpiecznik.pl/post... > Ha ha haaaa. Ludzie tracą pieniądze (opisany case na 50k pln), a Wy macie bekę? Nie szanuję, idźcie w ch.

Czy ktoś z mirków/mirabelek otrzymał tego samego dnia SMSa z prośbą o dopłatę, w którym nadał osobiście paczkę bądź została nadana paczka do niej/niego za pośrednictwem Poczty Polskiej? Jeżeli tak, proszę o potwierdzenie screenami.

PS

Zadzwoniłem na infolinie poczty polskiej, opisałem sprawę konsultantowi i poproszono mnie o wysłanie wiadomości na adres kontakt@........ Oooookej, wysłałem. Ale nie czuję spokoju, ktoś może stracić poważne pieniądze w ten sposób.