Københavns Lufthavn og salg af bortkommen bagage svindel

2023-12-16

Når "Københavns Lufthavn" sælger bortkomne kufferter og bagage for 10 kroner, så skal du have paraderne oppe og tænke dig godt om ...

IT-svindlere har for 2 dage siden oprettet flere falske Facebook sider, som bl.a. foregiver at være Københavns Lufthavn og salg af mistede/glemte kufferter og bagage til en urimelig billig penge. Men som altid, når tilbuddet er for godt til at være sandt, så er målet noget helt andet, end at du skal gøre en god handel.

Jeg har analyseret denne svindel, og en trin for trin beskrivelse af hele forløbet, hvis man lader sig friste, findes i det følgende.

Vi starter med et skærmbillede, af den falske Facebook side:

Måske banditterne glemte at fjerne nogle detajler fra Facebook sidens beskrivelse? Det ser i hvert fald suspekt ud :-)

Gå til webstedet for at afgive en ordre står der!
Hvis man klikke på knappen "Læs mere", så flyttes man væk fra Facebook og over på en webside - i dette tilfælde (saniteret) saleba8[.]shop - som er oprettet for 4 dage siden, og alene med det formål, at snyde og bedrage. Se skærmprint herunder.

Julepakkelegen hvor du ALTID vinder!
Du er nu tæt på at vinde retten til at blive snydt! Du skal blot klikke på julegaverne på websiden, hvor du uanset hvor og hvor mange gange du forsøger, selvfølgelig ender med at vinde. Se herunder:

I næste og sidste fase er det tid til betaling. Det sker via en anden webside end den første. Her opkræves personlige oplysninger, som så afsluttes med at varen skal betales for. Her kan du forøvrigt også vælge størrelse og farve på det bortkomne bagage. Belejligt.

Kreditkort betalingen sker via websiden (saniteret):
https://payment.supperoffer4u[.]com

Svindlerne understøtter denne betaling med noget javascript, som bruges til at checke om kreditkort oplysningerne, som indtastes, svarer til det som man forventer at et kreditkort.

Alle dine data lander igennem en gateway på samme webside. Fra det øjeblik har du videregivet dine kreditkort data til svindlerne og det eneste der er at gøre, er, at spærre kortet med det samme.

Du kan kigge langt efter den forsvundne bagage
Der kommer selvfølgelig aldrig nogen kuffert fra Københavns lufthavn, men derimod kan man roligt forvente, at svindlerne vil forsøge at handle med dit kreditkort, eller sælge det videre for på den måde, at tjene penge på dette scam.

Phishing pakket ind i Facebook
Det her er phishing, men pakket ind i et godt tilbud og i modsætning til normalt, hvor phishing sendes via e-mail, så bliver det her distribueret via sociale medier. Det kan gøre det vanskeligere at gennemskue, men du skal vænne dig til det. Det vil stige i omfang.

Teknisk analyse:
Det første domæne, som anvendes i denne svindel, er (saniteret):
saleba8[.]shop

Domænet er registeret igennem Namecheap, Inc.

Dates 4 days old
Created on 2023-12-12
Expires on 2024-12-12
Updated on 2023-12-12
Name Servers DNS1.REGISTRAR-SERVERS.COM (has 9,009,987 domains)
DNS2.REGISTRAR-SERVERS.COM (has 9,009,987 domains)
IP Address 68.183.4.206 - 21 other sites hosted on this server
IP Location Netherlands - Noord-holland - Amsterdam - Digitalocean Llc

SIE Europe pDNS

Hvis man anvender SIE Europe pDNS vil man kunne se, at den pågældende server, som dette domæne er hostet på (Digital Ocean i Holland), også er vært for andre og tilsvarende svindelsider fra samme gruppe af svindlere (saniteret):

saleba12[.]shop
saleba3[.]shop
saleba4[.]shop
saleba5[.]shop
saleba10[.]shop
saleba6[.]shop
saleba8[.]shop
saleba9[.]shop
saleba2[.]shop
saleba1[.]shop
saleba11[.]shop
saleba7[.]shop
www.saleba12[.]shop
www.saleba4[.]shop
www.saleba9[.]shop
goodsalefee7[.]quest
goodsalefee10[.]quest
goodsalefee3[.]quest
goodsalefee6[.]quest
goodsalefee8[.]quest
goodsalefee1[.]quest
goodsalefee4[.]quest
goodsalefee9[.]quest
goodsalefee2[.]quest
goodsalefee5[.]quest

Se diagram herunder.

Hostet bag Cloudflare og på en nginx
Det andet domæne (saniteret) supperoffer4u[.]com, som bruges til at fiske kreditkort oplysningerne, er også registreret igennem NameCheap, men gemt bag CloudFlare.

Hvis vi kigger lidt nærmere på websiden så afsløres det, at betalingsfunktionen er kamuflere bag en webshop skabelon for at sløre det egentlige formål med websiden. Det er et kendt trick for at beskytte mod suspendering. Webserveren er hostet på en nginx.

Alle disse domæner kan med fordel blokeres i sin firewall er sikkerhedsløsning.

Det underlige telefonnummer?
Måske du husker, at der på den falske Facebook side var efterladt en beskrivelse med et telefon nummer. Det behøver ikke nødvendigvis at betyde noget, men pudsigt nok kan det nummer knyttes til:

"Young Scientists Club" under Universitetet i Bouira.

Bouria er hovedstaden i Algeriet og det er ikke første gang at phishing bander har lavet angreb mod Danmark.