Objavljeno:

Analiza goljufive spletne trgovine

Pred kratkim se je name obrnil znanec, ki je želel kupiti manjši rabljeni bager. Ker so cene rabljene gradbene mehanizacije v tujini cenejše, je pobrskal po spletu in naletel na špansko podjetje Alquileres Rubel SL - Agri & Maquinaria, ki prodaja rabljeno gradbeno mehanizacijo.

Seveda je želel biti previden in si je najprej precej podrobno ogledal njihovo spletno stran http://www.rubel-agrimaq.com, nato pa se je odločil podjetje preveriti še nekoliko podrobneje.

Spletna stran podjetja

Spletna stran podjetja.

Poslovni pregled

Najprej je preko Ajpesa (za okrog 6 EUR) preveril ali podjetje res obstaja, in preverjanje je pokazalo, da je podjetje dejansko vpisano v španski poslovni register, kaj dosti več podatkov pa ni bilo na voljo. Nekoliko več podatkov o podjetju je sicer dobil preko španskega spletišča Infoempresa.com, nato pa je preko Ajpesa za okrog 15 EUR pridobil še poslovno bilanco podjetja za leto 2016. Podatki so pokazali, da je imelo podjetje 2,5 mio. osnovnega kapitala, leta 2016 pa štiri zaposlene, okrog 200.000 EUR prihodkov in okrog 20.000 EUR prikazanega dobička. Preko Google Street View si je ogledal še poslovno stavbo podjetja.

Preverjanje obstoja podjetja preko Ajpesa

Preverjanje obstoja podjetja preko Ajpesa.

Vsa preverjanja so pokazala, da se podatki ujemajo, da podjetje dejansko obstaja na oglaševanem naslovu in da tudi dejansko posluje.

Znanec je nato klical še na svojo poslovno banko in preverjal ali je mogoče pridobiti podatke o transakcijskih računih podjetja, a se je izkazalo, da številke transkacijskih računov pravnih subjektov v Španiji niso javne.

Nato se je odločil s predstavniki podjetja stopiti v stik preko elektronske pošte. Komunikacija je potekala hitro, strokovno in v dobri angleščini.

A nekaj mu le ni dalo miru. Bager, ki se ga je odločil kupiti, je bil sumljivo poceni. Ponujeni model bagra s pripadajočo z opremo je bil tako poceni, da bi ga lahko v Sloveniji takoj preprodal z več kot 10.000 EUR zaslužka.

In še dodatna sumljiva malenkost. Prodajalci so mu v podpis poslali pogodbo in račun (za bager so sicer želeli 3.600 EUR), vendar pa so želeli, da nakazilo opravi na Activobank na Portugalskem. Kot razlog so navedli, da imajo na Portugalskem podružnico in da v primeru nakazila na Portugalsko ne plačajo davka na dobiček.

Transakcijski račun, ki so ga navedli je bil sledeč:

Account Holder:  ALQ Rubel Filho
Address:  R. Mal. Gomes da Costa, Lisbon, Portugal
Bank Name:  Activobank
Bank IBAN: PT50 0023 0000 4553 6090 7969 4
Bank Swift Code: ACTVPTPL

Zato se je odločil še za nekaj dodatnih preverjanj. Skušal je najti Facebook in Linkedin profile direktorja podjetja in zaposlenih, ki so predstavljeni na spletni strani (ime direktorja objavljeno na spletni strani se je ujemalo tudi z imenom direktorja objavljenim v poslovnem registru), vendar jih ni našel. A seveda je povsem mogoče, da zaposleni pač ne uporabljajo teh socialnih omrežij, tako da si s tem ni preveč belil glave.

Jim je pa poslal še e-sporočilo, ali že imajo kakšnega kupca iz Slovenije, Hrvaške, Avstrije ali Nemčije, da bi potem pri njih preveril njihovo legitimnost. A na to vprašanje ni bilo odgovora, čeprav bi mu prodajalci lahko rekli, da kupcev iz teh držav pač še nimajo.

Prav tako ni bilo odgovora na vprašanje, ali mu lahko pošljejo VIN številko stroja, preko katere bi lahko v preveril ali je to dejansko stroj ki ga prodajajo, kje je bil prodan, itd. In ravno to izogibanje odgovoru, je še povečalo njegovo skepso, da gre v ozadju za legitimno prodajo.

Na tej točki me je znanec kontaktiral in vprašal kaj bi še lahko preveril.

Internetni pregled

Preverjanje preko Whois je sicer pokazalo, da je nosilec domene oseba z imenom Heredia Sergio, stanujoča na naslovu Portal de Betono Kalea 24.

WHOIS podatki o domeni

WHOIS podatki o domeni.

Hiter pogled v Google Maps sicer pokaže, da je na tem naslovu dejansko sedež podjetja in preko Street View se tudi vidi logo podjetja in nekaj mehanizacije, ki jo prodajajo.

Podjetje na Google Maps

Podjetje na Google Maps.

Prvi konkretnejši korak je bil nato ugotavljanje kje točno se nahaja spletni strežnik. Najprej z ukazom ping pogledamo na katerem IP naslovu se nahaja spletni strežnik:

ping www.rubel-agrimaq.com
PING www.rubel-agrimaq.com (195.208.1.106) 56(84) bytes of data.
64 bytes from std-carp6-http.nic.ru (195.208.1.106): icmp_seq=1 ttl=47 time=83.5 ms
64 bytes from std-carp6-http.nic.ru (195.208.1.106): icmp_seq=2 ttl=47 time=86.4 ms
64 bytes from std-carp6-http.nic.ru (195.208.1.106): icmp_seq=3 ttl=47 time=85.8 ms

Ker imajo nekateri strežniki s požarnim zidom zaprt ICMP promet, lahko uporabimo tudi DNS poizvedbe:

host rubel-agrimaq.com
rubel-agrimaq.com has address 195.208.1.106
rubel-agrimaq.com mail is handled by 5 mx02.nicmail.ru.
rubel-agrimaq.com mail is handled by 10 mx01.nicmail.ru.
rubel-agrimaq.com mail is handled by 20 mx03.nicmail.ru.

Že takoj na prvi pogled je zadeva postala skrajno sumljiva. URL naslov www.rubel-agrimaq.com se namreč razreši v IP naslov 195.208.1.106, ki pa se očitno nahaja v Rusiji (std-carp6-http.nic.ru). Tudi ASN Lookup je pokazal, da se spletni strežnik fizično nahaja v Rusiji. Enako razkrije tudi klik na IP naslov strežnika - http://195.208.1.106/.

ASN Lookup

ASN Lookup.

Prav tako je zanimivo, da je iz zgoraj navedenega WHOIS izpisa tudi razvidno, da je bila domena rubel-agrimaq.com registrirana šele 25. junija 2018 in sicer pri nic.ru.

Še nekaj brskanja po spletišču ScamWarners.com pa je pokazalo, da so spletni goljufi že malo pred tem postavili podobno lažno spletno stran na naslovu http://www.rubel-maquinaria.com/, ki pa je bila uspešno razkrinkana. Ta domena je bila sicer registrirana pri podjetju Shinjiru International v Maleziji.

Sklep

Glede na ugotovitve je precej verjeten naslednji scenarij. Skupina goljufov, po vsej verjetnosti iz Rusije, je registrirala lažno domeno in postavila lažno spletno stran. Mogoče je tudi, da ima legitimno podjetje že nekje postavljeno spletno stran in so jo goljufi samo skopirali, ali pa so poiskali podjetje, ki spletne strani nima in jo postavili povsem na novo. Pri tem so uporabili dejanske podatke podjetja, zato preverjanje seveda pokaže, da podjetje dejansko obstaja in tudi normalno posluje. Prav tako se ujema ime direktorja in ostali podatki o podjetju.

A ko nekdo predstavnikom tega podjetja pošlje e-sporočilo na naslov objavljen na lažni spletni strani, bo to sporočilo prispelo do goljufov. Vse skupaj bo izgledalo povsem legitimno do točke, ko bo žrtev morala nakazati kupnino. V tem trenutku goljufi pošljejo drug transakcijski račun in napletejo zgodbico, da naj žrtev denar nakaže na njihovo podružnico ker je to zanje davčno ugodneje. Bi bilo pa zanimivo raziskati na kakšen način so goljufi uspeli odpreti transakcijski račun oziroma kako preprečijo, da jih preiskovalci ne uspejo razkrinkati ko sledijo toku denarja…

Če torej zaključimo. Znanca je pred zlorabo rešil občutek, da s prodajo nekaj ni v redu, saj je bila ponudba videti predobra, da bi bila resnična. Pomembno je torej, da nas pri tovrstnih nakupih ne prevzame pohlep. V nadaljevanju je njegove sume poglobilo dejstvo, da mu niso želeli sporočiti VIN številke, čeprav bi ga v resnici goljufi lahko zavedli tudi pri tem (npr. da bi originalnemu podjetju poslali zaprosilo za VIN številko, ki bi jo potem znancu posredovali dalje) ter predvsem spremenjen transakcijski račun. Pregled spletnega strežnika je nato sume le še potrdil čeprav bi verjetno znanec od nakupa odstopil že takoj, če bi vedel kje se spletni strežnik v resnici nahaja.

Nekoliko več preverjanja vam tako pri nakupih na spletu lahko prihrani marsikateri evro. Predvsem pa naj velja: če je ponudba videti predobra, da bi bila resnična, potem verjetno tudi ni resnična.

Dodatek

Iz SI-CERTa so me opozorili na njihov članek o podobni prevari iz leta 2015. Glede na to, da je navedena spletna stran uporabljala isto spletno predlogo, gre morda tudi za iste storilce.

Poleg tega so pri SI-CERTu opazili da HTML koda podstrani “Contact us” vsebuje naslednjo kodo, ki skuša onemogočiti da bi uporabnik kopiral besedilo iz spletne strani:

<body oncopy="return false" oncut="return false" onpaste="return false">

Morda storilci ne želijo, da bi kdo kopiral navedeni naslov podjetja…

Prav tako so predlagali, da tehnično manj vešči uporabniki uporabijo orodje whois.domaintools.com, ki takoj razkrije, da se spletni strežnik nahaja v Rusiji.

Vabljeni tudi k ogledu dveh izobraževalnih videov: Kako preveriš spletno trgovino ter Hipster Lovrenc kupuje traktor na spletu.

Kategorije: Informacijska tehnologija, Digitalna forenzika
Ključne besede: kiberkriminal