W zrzutach ekranu zaprezentowanych w artykule celowo zamazane zostały dane konta oraz linki prowadzące do strony związanej z kampanią phishingową.
Atak polega na wyłudzeniu danych do karty kredytowej. W jednym z przypadków posty dotyczące rzekomej konieczności weryfikacji danych zostały publicznie udostępnione. Postanowiłem zweryfikować autentyczność jednego z tych linków i na podstawie uzyskanych informacji przekazałem zgłoszenie do CERT-u.
Chodzi tutaj o link zaczynający się na „mastadon-verify”. Cała strona jest za Cloudflare’em. Przesłałem zapytanie do reprezentantów firmy i oczekuję odpowiedzi.
Po przejściu zagadki wygenerowanej przez Cloudflare’a, naszym oczom ukazuje się napis „Haron Rent” oraz błąd w języku rosyjskim o nieznalezionej stronie:
Według Impervy, w przeszłości „Haron Rent” był powiązany z atakami phishingowymi, które podszywały się pod 350 znanych firm. Nazwy i linki do kanałów na Telegramie obecnie kierują do kanałów niepowiązanych z tą grupą.
Gdy kliknąłem w link, który został podany przez cyberoszusta, pokazał mi się monit noszący nazwę „secure card verification” (czyli tłumacząc dosłownie, „bezpieczna weryfikacja karty [kredytowej]”), logotyp Mastodona, a pod nim napis „Mastodon Verification Users” i jeszcze niżej „przypominajka” o „zablokowanym” koncie.
Przycisk na niebiesko w tej wiadomości prowadzi do strony, która podszywa się pod system płatności Square i prosi o dane karty kredytowej. Nie wpisałem tam żadnych prawdziwych danych. Skontaktowałem się z firmą Square w celu uzyskania komentarza, jednak do czasu publikacji artykułu nie otrzymałem odpowiedzi.
Eugen Rochko, twórca Mastodona oraz zarządca największej instancji tego oprogramowania, mastodon.social, wydał oświadczenie, w którym zapewnił, że weryfikacja kont „nie wymaga przesyłania skanów dokumentów tożsamości”.
Mastodon umożliwia zweryfikowanie autentyczności konta za pomocą odpowiednio przygotowanego linku do profilu zamieszczanego na stronie internetowej — co można zauważyć na naszym przykładzie, gdzie link do „Kontrabandy” jest pokolorowany na zielono.
Konto należące do cyberoszustów zostało już zablokowane, ale z uwagi na to, że Fediwersum jest siecią zdecentralizowaną — nie wszystkie instancje zdążyły jeszcze takiej informacji przetworzyć.
Sytuacja jest rozwojowa i będzie uzupełniana o nowe informacje, gdy takie otrzymamy.
⚠️ Uwaga!
Nigdy nie podawaj danych swojej karty kredytowej na stronach, których nie znasz. Jeżeli jednak zauważysz „po fakcie”, że tak się stało — kartę możesz zastrzec bezpłatnie w dowolnym oddziale swojego banku, lub dzwoniąc na infolinię pod numerem +48 828 828 828.
Źródła
Zdjęcie tytułowe zostało stworzone własnoręcznie, z wyjątkiem przedstawionych grafik należących do właścicieli instancji mastodon.social. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:
- Post z mastodon.social opublikowany przez Eugena Rochko w dniu 13.07.2025