OLX a fost si va fi platforma cea mai cunoscuta unde oamenii de rand isi pun la vanzare obiectele de prin casa dar si unde “baietii destepti” incearca sa pescuiasca cardurile de credit ale acestora.
Din pacate, degeaba ne laudam cu cresteri anuale ale ecommerce-ului in Romania cand omul cu cardul nu este instruit cum trebuie sa il foloseasca in siguranta. Nu este de ajuns sa i se spuna “Nu divulga datele cardului altor persoane”.
In ultima vreme OLX este tinta unor atacuri de tip phishing din partea unor astfel de baieti destepti. Atacurile par sa provina din zona Rusiei sau cel putin acolo sunt gazduite site-urile.
Site-ul in cauza este practic o copie a homepage-ului Fancourier.ro cu cateva sectiuni in plus, gazduit bineinteles pe alt domeniu. La prima vedere pare credibil dar il da de gol greselile gramaticale.
Mecanismul este simplu. Asa-zisul cumparator spune ca plateste produsul la OLX si transmite vanzatorului un link (generat de OLX cică) catre site-ul Fancourier. Ca sa isi ia banii, vanzatorul trebuie sa completeze formularul cu datele cardului.
Aici, naivul, crezand ca primirea de bani se poate face si folosind numarul cardului, completeaza formularul cu datele complete.
Ce m-a uimit este ca la pasul urmator te intreaba de sold-ul contului. Deh, trebuie sa stie si cat poate sa pescuiasca de la tine maxim.
Ultimul pas, cel mai important practic, este sa introduci codul pe care l-ai primit prin SMS.
Cat timp tu tastezi soldul contului, atacatorul va face o achizitie cu valoarea produsului din anunt si te pune sa ii dai codul pe care l-ai primit prin SMS ca sa finalizeze achizitia.
Dupa ce ai trimis codul o sa iti apara o “eroare” cum ca datele pe care le-ai trimis nu sunt corecte.
Tu ramai fara bani, fara sa fi vandut produsul iar atacatorul are datele cardului tau dar si soldul de la momentul respectiv. Posibil sa incerce curand sa faca o alta achizitie doar ca trebuie sa mai faca putin social engineering ca sa obtina codul primit prin SMS si a doua oara.
Noi, cei care suntem mai tehnici, putem sa le dam de lucru unor astfel de atacatori.
In cazul de fata am facut un script care sa ii spameze continuu baza de date. Fiecare posibil atac foloseste un URL la care difera id-ul. Un loop prin toate aceste id-uri rulat la infinit, impreuna cu niste date generate aleator pentru carduri, o sa ii dea de lucru putin.
Apoi, verificam ip-ul din spatele domeniului, cautam providerul si ii dam un mail in care sa ii explicam la ce foloseste acel domeniu. Daca providerul este serios, il va bloca destul de repede. In tot acest timp, scriptul ii va umple baza de date cu inregistrari false.
Daca ai fost naiv si te-ai lasat pacalit de astfel de specimene, doar banca mai te poate ajuta. Din pacate politia nu are instrumentele necesare pentru a rezolva astfel de cazuri.