Wstęp
Za zgodą Autora artykuł trafia na bloga-Autorem jest Mateusz Sabaj. Mateusz sam planuje otworzyć bloga i wrzucać na niego treści wiec już teraz zapraszam Cię do odwiedzenia jego bloga, jak tylko powstanie a poniżej treść artykułu napisanego przesz Mateusz. Załączam również link do profilu na LinkedIn Mateusza.
Artykuł
„Kolejna kampania — Immediate Edge — OSZUSTWO, wykorzystujące nakłanianie ludzi do czerpania zysków z handlu krypto-walutami”.
Przeglądając wiadomości w sieci w dniu 21.12.2022, natknąłem się na jeden z artykułów dot. słynnej sprawy zaginięcia Iwony Wieczorek – moją uwagę oprócz publikacji na portalu onet.pl zwróciła jedna rzecz – artykuł miał osadzoną po prawej stronie reklamę, która od razu ściągnęła mój wzrok ( duży widoczny prostokąt z wizerunkiem Mateusza Morawieckiego opisany enigmatycznym tekstem – jak można w to nie kliknąć? Polski Internet przeżył już wiele kampanii nastawionych na nabijanie ludzi w balona w stylu: „Inwestuj z Kaczyńskim – on wie co dobre!”, „Robert Lewandowski zarobił już na tym systemie miliony”, „Inwestycje z KGHM – polski rząd nie chce byś się bogacił”, „Beata Tadla opisująca jak dzięki magicznemu systemowi jej zarobki w TVN idą jedynie na waciki” itd. Jestem na to mocno wyczulony i kiedy mogę (a dziś akurat miałem na to czas) staram się głębiej przyglądać takim niecnym inicjatywom. Kiedy zaś zajdzie konieczność – zgłaszam je do CERT-u do przysłowiowej utylizacji.
Jak działa schemat takiego oszustwa i czy rzeczywiście coś to jest nie tak?
Wszystko zaczyna się od zaciekawienia użytkownika bardzo opłacalną inwestycją. Przestępcy wykorzystują do tego bardzo wiele schematów. Wśród nich można wyszczególnić np. fałszywe wpisy użytkowników lub reklamy na serwisach społecznościowych, takich jak Facebook czy Instagram, albo też masowo rozsyłane wiadomości spam do użytkowników. Reklamy opisują platformy inwestycyjne, za pomocą których można rzekomo inwestować w kryptowaluty lub akcje firm. Częstym zabiegiem uwiarygadniającym inwestycje jest korzystanie z wizerunku znanych osób oraz podszywanie się pod istniejące portale biznesowe lub znane firmy.
Warunkiem koniecznym do rozpoczęcia inwestycji jest wpłacenie przez użytkownika określonej kwoty i wypełnienie specjalnego formularza kontaktowego. Po podaniu wymaganych danych kontaktowych, przedstawiciel firmy oferującej te fałszywe inwestycje kontaktuje się telefonicznie z zainteresowanym i nakłania do zainwestowania przez wykonanie przelewu. Zazwyczaj są to na początku niskie kwoty. Fałszywa platforma jest tak zaprogramowana, aby zawsze pokazywała wyraźnie wzrosty zainwestowanych pieniędzy. Ma to na celu zachęcenie użytkownika do inwestowania coraz to większych kwot. Oczywiście platforma do inwestowania nie jest prawdziwa, a przelane pieniądze nie zostały zainwestowane, lecz przelane na konto przestępców.
Przyjrzyjmy się zatem dzisiejszej kampanii. Spróbuję za pomocą ogólnodostępnych narzędzi ustalić skąd pochodzi ta kampania oraz ustalić zakres jej występowania w polskim Internecie. Mowa o tym:
Element, który zwrócił moją uwagę:
Tak – ja też miałem przed oczami tę niepokojącą wizję. Oto premier naszego kraju postanowił przestać milczeć na temat jakichś „kluczowych” spraw? Czyżby chciał wyjawić Polakom jakąś niesamowitą wiedzę o bliżej nieokreślonym programie rządowym? Czyżby prawda miała nas wszystkich wyzwolić? Spytamy o to Kancelarię Premiera w późniejszym czasie. Póki co nie rzucam jeszcze gromów na onet.pl – wiadomo jak to wszystko działa. Nie mają pełnej kontroli nad tym, co publikują ich reklamodawcy (z grubsza zabezpieczają się przed pornografią i tego typu treściami) lecz ogólnie działają jak zwykła agencja reklamowa – wynajmują miejsce na banery (dokładniej rzecz biorąc miejsce na skrypty, gdzie reklamodawcy wrzucają swoje treści – choć w przypadku tej pseudoreklamy onet.pl chyba nie bardzo zdaje sobie sprawę, że bierze udział w szwindlu inspirowanym zza wschodniej granicy (ale o tym za chwilę).
Po kliknięciu reklamy zostajemy przeniesieni na zupełnie inną stronę, która na pierwszy rzut oka wygląda dość znajomo:
Zgadza się, mamy wrażenie jakbyśmy zostali przeniesieni na inną stronę jednak nadal znajdującą się w ramach portalu onet.pl – kolorystyka, wygląd, szata graficzna – identyczne jak na portalu onet.pl (wystarczy jednak sprawdzić link, na jaki nas przeniosło, aby zrozumieć, że trafiliśmy w dziwne meandry sieci).
Samo łącze już robi się znacznie ciekawsze:
https://cyyvuhiyhi.in.net/?subid2=642179827876&subid3=wiadomosci.onet.pl&subid4=&gclid=E AIaIQobChMIlez829OL_AIVOyQGAB0qoAqcEAEYASAAEgJEQ_D_BwE
Dowiedzmy się zatem coś o tym URL-u:
Jak widać strona stoi pod adresem 104.21.40.162 (dalsze poszukiwanie wykazało, że jest postawiona za Cloudflarem – micah.ns.cloudflare.com). Virustotal nie wykazał, aby była to witryna złośliwa:
IBM X-force Exchange również twierdzi, że witryna ta nie ma złośliwej reputacji:
Co ciekawe podmiotem, który ją zarejestrował jest Radix FZC zlokalizowana w ZEA (mamy również adres mailowy do kontaktu). Mamy również informację o administratorze domeny – jego email domainmanager@radix.email.
Analizując treść strony możemy przeczytać:
Czymże jest ta ciekawa inicjatywa „Immediate Edge”, którą tak intensywnie miał się zajmować nasz Senat? Szczerze mówiąc, pierwsze słyszę o takiej inicjatywie – czyżby jakaś ofensywa rządu w sprawie kryptowalut?!!! Pada również niebezpieczne sformułowanie, że niejaka „Immediate Edge” jest platformą rządową. Autor poleciał jeszcze mocniej, popuszczając wodze fantazji, stwierdzając, że wszyscy członkowie senatu jednogłośnie zaakceptowali ten projekt – wszystko po to by Polacy się bogacili 🙂 (zapytamy o to w Kancelarii Senatu również). Padają również pierwsze wzmianki o depozycie, który uczestnik „projektu” musi posiadać – mowa tu o 1415 złotych, po wpłaceniu których stajemy się pełnoprawnym członkiem platformy Immediate Edge.
Oczywiście widać tutaj wykorzystanie szaty graficznej, kolorystyki i „maniery” pisania artykułów stosowanej na onet.pl — cała treść jest przedstawiona tak, jakby opisywana platforma była artykułem opublikowanym na tym właśnie portalu — ma jej to dodawać wiarygodności i wyglądać rzetelnie w oczach
nieświadomego odbiorcy. Dziwię się, że onet.pl nie sprawdza takich treści i nie „prostuje” zapędów swoich reklamodawców, tym bardziej, że jak później się okaże, ta „reklama” jest dużo bardziej niebezpieczna, niż nam się na pierwszy rzut oka wydaje. Kwestia odpowiedzialności i poświęcenia uwagi na kontrolę tego, co publikujemy – to wystarczy. Nie zawsze pieniądz jest tego warty – biorąc pod uwagę, jakie mogą być skutki masowego oszustwa przy skuteczności tego typu kampanii.
Instrukcja postępowania została przedstawiona powyżej – instruowanie klienta od samego początku jak ma postępować, aby wziąć udział w projekcie, jest również pewną nieodzowną cechą tego typu kampanii. We wstępie opisałem ten schemat – jak widać na załączonym obrazie i w przypadku tej kampanii nie mamy do czynienia z jakimiś nowymi patentami na oszukiwanie ludzi.
Komentarze zadowolonych klientów nie są również niczym nowym. Warto zwrócić jednak uwagę na publikację danych firmowych Ringer Axel Springer sp. z o.o. – pokazują, że są oni odpowiedzialni za publikację
określonych treści a występowanie ich danych firmowych ma uwierzytelniać tego typu wątpliwe treści. Czy niewiedza lub lenistwo ze strony Ringer nadal będzie legitymizować działania tego typu? Jeśli onet.pl nadal uważa, że nie jest wykorzystywany do oszukiwania ludzi – powiadam Wam, nie idźcie tą drogą !!! Ma to na celu zwrócenie uwagi administracji tego portalu, aby bezczynnie nie dała się wykorzystywać cyberprzestępcom.
Teraz trochę analizy. Postanowiłem przeglądnąć kod stron, aby zobaczyć czy nie znajdują się tam jakieś ciekawe informacje, które mogłyby mnie naprowadzić na dalszy trop.
Większość odnośników na stronie prowadzi do URL-a: https://emmediateedgepro.com ( w samym artykule nie ma słowa o takim podmiocie – być może jest to reklamodawca albo ktoś, kto rzeczywiście stoi za projektem platformy „Immediate Edge”? Zobaczmy więc, jak wygląda strona www tego podmiotu:
Niestety sama strona za wiele nam o sobie nie powie ponieważ jest typowym „blank page-em” i nie zawiera żadnej treści. Źródło strony jest bardzo ubogie:
Jednak ponownie sięgnijmy po ogólnodostępne narzędzia, aby dowiedzieć się, kto za tym wszystkim stoi:
Tak więc IBM X-Force Exchange informuje nas, że za rejestracją tej witryny stoi niejaka Olga Solovyova (domena zarejestrowana na prywatną osobę, rejestracji dokonano w Rosji ale co ciekawe mamy również możliwość identyfikacji adresu mailowego: olgaivann061987@gmail.com. Jesteśmy coraz bliżej odkrycia prawdy na temat intencji prawdziwych autorów tej kampanii.
Sięgając do sprawdzonego narzędzia SpiderFoot możemy zobaczyć, że lista powiązań z tą witryną jest dość spora a po odsianiu false positive’ów (w tym innych stron postawionych na tym samym serwerze CloudFlare) na pewno uda zebrać się dodatkowe, ciekawe informacje (analiza tych danych będzie dostępna w przyszłości).
Przeszukując zasoby Internetu pod kątem podobnego źródła, treści i obrazów natrafić możemy na dokładnie identyczną wersję reklamy – identyfikującą się jednak innym adresem:
https://ktyuiio5o.es/?subid2=642016757519&subid3=www.onet.pl&gclid=EAIaIQobChMIruzuhd-K_AIVmbgnAh0-NQP3EAEYASAAEgKEO_D_BwE
Co łączy ją z poprzednio opisywaną stroną, kampanią i źródłami? Odpowiedź jest dość prosta – prawie wszystko. Korzystanie z infrastruktury CloudFlare (serwer leah.ns.cloudflare.com), identyczna treść, kod strony oraz występujące w nim linki prowadzące do strony emmediateedgepro.com.
Wygląda dokładnie tam samo i prezentuje te same treści co wcześniej opisywana https://cyyvuhiyhi.in.net. Badając kod źródłowy strony, trafiamy na ten sam podmiot – https://emmediateedgepro.com. Warto by sprawdzić z iloma domenami związana jest Olga Solovyova.
Jasne staje się także to, że jest to dużo bardziej złożona kampania i możemy się spodziewać w najbliższym czasie jeszcze sporo linków o tej samej tematyce nakłaniających ludzi do inwestowania w jakieś dziwne instrumenty kryptowalutowe. Czego zaś możemy dowiedzieć się o Pani Oldze Solovyovey? Otóż ta postać przewija się w przypadku wielu witryn związanych z oszustwami:
Kobieta powiązana jest m.in. z podmiotem cashbitcoingup.com:
Tu udaje nam się pozyskać nieco więcej informacji na temat Olgi, wiemy już, że domena została zarejestrowana w Moskwie pod adresem: Universitetskiy proezd str., 24, apt. 8 119330 Moskwa. Mamy też numer telefonu Olgi.
Większość z zarejestrowanych przez Olge domen jest świeża – daty ich rejestracji nie są starsze niż pół roku.
Ostatnie dwie domeny zarejestrowano u rosyjskiego dostawcy usług hostingowych i domenowych. Jak można się łatwo domyślić – domeny miały dotyczyć obrotu kryptowalutami. Śledztwo w tej sprawie będzie kontynuowane a temat zgłaszam do CERT.GOV.PL. Adresy URL pokazane w tym krótkim artykule nie posiadają jeszcze złej reputacji zarówno w dużych bazach (VirusTotal, IBM X-Force) jak i u mniejszych podmiotów – oznacza to że temat jest rozwojowy i im szybciej stosowne organy wydadzą na ten temat ostrzeżenie tym lepiej.
Poniżej zamieszczam link do mojego zgłoszenia do CERT.NASK – numer zgłoszenia #2040993 – Jeśli ktoś z Was posiada dodatkowe informacje, może do nich przesyłać takie dane. Z pewnością będą one analizowane.
The form you have selected does not exist.
