Dawno nie pisałem tutaj po polsku ale dzisiaj “pani Antonina” próbowała kupić ode mnie telefon.
Wprowadzenie
Nabyłem w okazyjnej cenie telefon Xiaomi Redmi Note 14 Pro+ 5G. A że nie mam potrzeby go używać to postanowiłem go sprzedać.
Na początek wrzuciłem go na Facebook Marketplace. Bo wiecie: “za darmo”. No tak sobie tam leżał, co jakiś czas ktoś pytał czy aktualne lub zadawał więcej pytań.
Po czym dzisiaj pojawiła się “pani Antonina” (w cudzysłowie bo to przejęte konto raczej). Na początek zadała klasyczne pytania o aktualność oferty, stan telefonu itp…
A może być InPostem?
Czy jest możliwość wysyłki kurierem Inpost po wcześniej wpłacie na konto? Zamówię kuriera i pokryję koszty wysyłki.
Lub paczkomatom zapłacę +20.
Nie wiem jak Wy, ja lubię usługi InPostu. W promieniu 15 minut piechotą mam pewnie z 10 ich “automatów paczkowych”. Więc owszem, czemu by nie miało być.
Parę minut później dostałem info:
Gotowe. Zaplaciłam na InPost powinieneś otrzymać list na swój adres maila.
Sprawdź swoją skrzynkę mail proszę.
I okazała potwierdzenie przelewu:
I tu już zaczęło śmierdzieć…
Potwierdzenie przelewu
Uznałem, że nie wiem, może i potwierdzenie z banku Pekao SA tak powinno wyglądać. Popytałem znajomych, czy ktoś ma tam konto.
Dostałem informację, że zawsze jest data i godzina wystawienia dokumentu. Zawsze jest numer rachunku nadawcy, dane właściciela rachunku itp.
Na potwierdzeniu powyżej jest jeszcze kilka innych błędów ale co ja będę naprowadzać scammerów…
Skoro była prośba o sprawdzenie skrzynki to sprawdziłem. Nie było nic. No to zaglądam GMailowi do spamu, a tam owszem jest mail “od InPostu”.
O ile InPost używa adresów email w domenie tp5142.com :D
Link “Otwórz panel InPost Pay” to 320 znaków prowadzących do jeszcze innej
domeny. Poza adresem był blok “onload=eval(decodeURIComponent(atob(ZNACZKI)))”.
Po zdekodowaniu otrzymałem kolejny “eval(decodeURIComponent(atob(InneZnaczki)))”
który dał mi url:
h00ps://confirm-orderNUMERKI.xyz/LosoweZnaczki=InneLosoweZnaczki
Tu już zacząłem szukać po sieci artykułów w temacie “wałek na InPost”…
Dziwne literki
Tymczasem “pani Antonina”:
To jest numer śledzenia przesyłki kսrіеrѕkіеј. Zaplaciłam na ǏnΡost. Proszę odebrać pieniądze na konto przez zamówienie.
Tam jest przycisk Dalej i wybierz bank i wprowadź dane, aby zweryfikować i otrzymać pieniądze. Po potwierdzeniu zaⅿóԝіеոіа kսrіеr zadzwoni się w celu dogadania kiedy przyjechać i pod jaki adres.
Nie wiem czy widzicie to co ja: “Ǐ” w “ǏnΡost” to nie jest nasze “I” tylko “duże łacińskie i z caronem”. Przyznaję, że nie wiem w jakim języku używa się tej litery.
Do tego “m” w “zaⅿóԝіеոіа” też nie jest naszym “m” tylko “Small Roman Numeral One Thousand” czyli “małe rzymskie oznaczenie liczby tysiąc”.
Oba znaczki złapałem bo mi edytor podświetlił słowa z nimi jako błędne.
Drugi mail
W międzyczasie dostałem jeszcze jednego maila — ten przeszedł filtry
antyspamowe. Tym razem adres nadawcy był zbudowany z losowych literek w domenie
zohomail.in.
Nic tylko czytać i klikać co nie?
Tym razem link prowadzi prosto do
h00ps://elektrizitaet-muenchen.com/LosoweLiterki który także kieruje do znanego
już adresu:
h00ps://confirm-orderNUMERKI.xyz/LosoweZnaczki=InneLosoweZnaczki
Koniec zabawy
Na tym etapie uznałem, że postaram się być miły:
Przepraszam bardzo, ale na tym kończymy - nie mam zamiaru klikać podejrzanych linków w podejrzanych mailach.
Na co dostałem:
O czym ty mówisz? Moje pieniądze już są na stronie, zaufałam Ci. Potwierdź proszę zаⅿóԝіеոіе , mam nadzieję na Twoją uczciwość.
Pieniądze już zostały pobrane i nie da się cofnąć transakcji, bo to był pobraniowy przelew
Nieprzyjęcie pobrania to kradzież. InPost pracuje do 22:00 jeśli nie przyjmiesz, pieniądze po prostu przepadną i się spalą, i to będzie traktowane jako kradzież
Przyznaję, ciekawe podejście do sprawy. Później jeszcze była wiadomość głosowa męskim głosem strasząca policją itp.
Koniec
Zgłosiłem “panią Antoninę” i podzieliłem się historią ze znajomymi. Ktoś rzucił pomysłem posta na bloga. Więc macie historię.