Письма от Команды AliExpress

-SEM-

Активный пользователь
Сообщения
117
Реакции
89
Внимание! Активизировалась новая мошенническая схема с использованием популярной площадки продаж AliExpress.

Работает социальная инженерия. Из базы данных берется Ваше имя и дата рождения и в День Рождения присылается письмо от имени "Команда AliExpress". Если вы не смотрите на адрес отправителя, а из мобильной версии почти на адрес не смотрит практически никто, то есть вероятность, что вы попадетесь на удочку злоумышленников большая. Т.к. в День Рождения у каждого в ящике хватает поздравительных писем и промоакций. Письмо следующего содержания
Письмо_1.jpg

В письме вас поздравляют ("Как приятно!") с вашим праздником и предлагают скидку на любой товар после простенького опроса

Опрос.jpg


После опроса отрывается ловушка, обещающая скидку
Страничка мошенников.jpg

Конечно у каждого есть товар на Али, который вроде бы хочется, но дороговато для покупки, а тут такая удача в День Рождения! После размещения ссылки в отведенное поле, в кэш браузера грузится скрипт, который делает зеркало настоящей странички с АлиЭкспресс, только со своими кнопками и своими ссылками. После работы скрипта появляется долгожданная скидка
Скидка активирована.jpg

Скрипт хорош тем, что использует родные шрифты и стили сайта https://aliexpress.ru, т.е. для создания фейковой странички злоумышленники не очень заморачивались. Скрипт написан с русским примечаниями, так что ориентирован в пределах РФ, Беларуси и Украины.
После нажатия на страницу товара выходит стандартная с виду страничка выбранного товара, а на почту приходит письмо
Письмо товара.jpg


Для оплаты товара открывается стандартная форма

Оплата товара.jpg

Только все данные необходимо заполнить, в любом случае это должно вас насторожить, т.к. АлиЭкспресс обычно запоминает данные карты.
После оплаты деньги улетают на кошелек в Германии, страничка аннулируется и след их исчезает.
Все кнопки ведут на адрес hxxps://aliexpress.diskont20.fun, оплата проходит по теневым платежным системам, таким как hxxps://paid24vip.shop, hxxps://y0urpay24.com, hxxps://rkzr0h.useptpay.com

В общем и целом, рекомендации старые. Не верьте никаким письмам о распродажах и скидках. Все скидки активируются только в личном кабинете на торговых площадках и магазинах.
 
Последнее редактирование модератором:

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,946
Реакции
2,943
Не верьте никаким письмам о распродажах и скидках.
Я бы ещё добавил - внимательно смотрите реальный адрес, с которого пришло подобное письмо. Наверняка уже на этом этапе можно обнаружить подвох.
@-SEM-, кстати, если сохранилось письмо, какой там адрес?
 

-SEM-

Активный пользователь
Сообщения
117
Реакции
89
Известные адреса: mail@harrington-fervent-аncestor.ru, mail@prerogativеensuеd.ru, info@rеsortfаstfrаying.ru
 
Последнее редактирование:

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,946
Реакции
2,943
Ну вот, сомневаюсь, что у "команды ALI" будут подобные адреса :)
 

Uralez

Новый пользователь
Сообщения
2
Реакции
0
Попался в свой день рождения. Развод один-в-один. Деньги ушли через MTS.Home. Предлагаемый ими реквизиты старой карты немного насторожили. Но ... Кстати сайт начало в строке Https:// aliexpress - и без .com дальше всякая хрень. уже потом увидел. Значит замочек и https не означает, что сайт под защитой? Всем объясняю про адресную строку, а здесь сам прошляпил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,640
Реакции
6,621
Значит замочек и https не означает, что сайт под защитой?
Он никогда и не означал, я про это много раз здесь писал, в том числе ещё несколько лет назад когда только собирались это принудительно вводить под предлогом безопасности.
Это всего лишь очередной способ вымогать деньги.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,640
Реакции
6,621
И с такого сайта "под замком" вам точно также могут насовать вирусов как сайта без замка.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,828
Реакции
2,494
И с такого сайта "под замком" вам точно также могут насовать вирусов как сайта без замка.
Сайты мошенники, все имеют замок урл. это очень хорошо срабатывает на пользователя, так как он абсолютно уверен в безопасности сайта и платежной системы.
 

Uralez

Новый пользователь
Сообщения
2
Реакции
0
Спасибо. Понятно. Я не профи, но с компом с конца 90-х. Походу что-то подцепил. Опять вылазит развод с Госуслуг. Якобы "вам положена выплата 240 т.р." Бла-бла. Года три назад уже было это. Ради прикола ввел от фонаря несуществующую карту, с вымышленными данными. Бот ухватился - давай cvc и прочее... И ведь иногда людей обувают. Как и меня расслабившегося на днях лапуха :mad: Пора чистить систему...
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,640
Реакции
6,621

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,946
Реакции
2,943
внимательно смотрите реальный адрес, с которого пришло подобное письмо
Вот, например, сегодня у меня, хоть и попало в спам, просто ради интереса посмотрел - просто подвёл курсор мыши к "адресу":
1669376632183.png
 
Сверху Снизу