Na začátku března Aukro zaznamenalo rafinovaný pokus o podvod. Zatím neznámý útočník se dostal k heslům několika uživatelů (pravděpodobně metodou phishingu – jedná se o způsob vylákání přihlašovacích nebo osobních údajů na základě falešného emailu nebo stránek oficiální společnosti) a jejich jménem vystavil na Aukru nabídky převážně drahých telefonů za velmi výhodné ceny. Do nabídky vložil klikatelný obrázek „přidat do košíku“.
Pokud zájemce klikl na nabízený odkaz, zobrazila se mu podvodná stránka, která ho vybízela k vyplnění kontaktních údajů pro zaslání zboží. Stránka působila poměrně věrohodně a nepožadovala vyplnění hesla.
Následně zájemce obdržel email z adresy This email address is being protected from spambots. You need JavaScript enabled to view it. vydávající se za Aukro a.s. (správně: společnost Allegro Group CZ, s.r.o., portál Aukro.cz) s výzvou k platbě za předmět na bankovní účet na Slovensko. V nabídkách na Aukru je možnost „přidat do košíku“ vždy nahoře, mimo popis zboží, nikdy jako jeho součást. Při kliknutí na standardní možnost „přidat do košíku“ začíná adresa v příkazovém řádku vždy http://aukro.cz, nikoliv tedy http://hm-revenue.com/aukro.cz/ apod. Aukro nikdy nevyužívá jiné emailové domény než @aukro.cz.
Aukro během dne všechny nabídky zrušilo a podařilo se také zrušit podvodné stránky.
Ve spolupráci s projektem E-bezpečí, Seznamem a Googlem jsme se pokusili pachatele monitorovat a zjistit bližší informace. Informace o podezřelém bankovním účtu byly obratem předány slovenské bance. Případem se již zabývá Policie, na kterou se obrátil majitel zneužitého účtu. Aukro také aktualizovalo skript na monitoring vkládaných odkazů.
Aukro doporučuje být při online nakupování vždy obezřetní. V případě nesrovnalostí se vždy obraťte na prodejce nebo daný servis s žádostí o prověření.
Pro E-Bezpečí
Dominik Jambor
vedoucí oddělení Bezpečnost transakcí firmy Allegro Group CZ