OLX Phishing Behind Cloudflare & WhatsApp

OLX phishing refers to a type of online scam where attackers create fake websites or messages that mimic the legitimate OLX platform to trick users into providing sensitive information such as payment details or personal information. Phishers often use various tactics to deceive users, including fake websites that closely resemble the legitimate OLX platform.

Here’s how OLX phishing might work:

WhatsApp requests: Phishers complain they can’t see the product details and ask users to share the product images using WhatsApp, sharing a phone number.

Fake OLX websites: Phishers create fake OLX websites that look identical to the real one. They may use similar domain names, layouts, and logos to make users believe they are on the genuine OLX platform.

To prevent falling victim to OLX phishing or similar scams:

Verify website URLs: Always check the URL of the website to ensure it is the official OLX domain. Avoid clicking on links in emails or messages; instead, manually type the OLX website address in your browser.

Beware of unsolicited WhatsApp message requests: Be cautious of WhatsApp messages asking you to provide personal or financial information. OLX encourage its users to keep the communication in their own platform.

RO

Phishingul OLX se referă la un tip de înșelătorie online în care atacatorii creează site-uri web false sau mesaje care imită platforma OLX legitimă pentru a păcăli utilizatorii să furnizeze informații sensibile, cum ar fi detalii de plată sau informații personale. Atacatorii folosesc adesea diverse tactici pentru a înșela utilizatorii, inclusiv site-uri web false care seamănă foarte mult cu platforma OLX legitimă.

Iată cum ar putea funcționa phishingul OLX:

Solicitări WhatsApp: Atacatorii se plâng că nu pot vedea detaliile produsului și cer utilizatorilor să partajeze imaginile produsului folosind WhatsApp, lăsând un număr de telefon în privat.

Site-uri OLX false: Site-urile OLX false arată identic cu cele reale. Ele pot folosi nume de domenii, machete și logo-uri similare pentru a-i face pe utilizatori să creadă că se află pe platforma OLX autentică.

Pentru a nu deveni victimă a phishing-ului OLX:

Verificați adresele URL ale site-ului web: verificați întotdeauna adresa URL a site-ului web pentru a vă asigura că este domeniul oficial OLX. Evitați să faceți click pe linkuri din e-mailuri sau mesaje; în schimb, introduceți manual adresa site-ului web OLX în browser – www.olx.ro.

Atenție la mesajele WhatsApp nesolicitate: Fiți atenți la mesajele WhatsApp care vă solicită să furnizați informații personale sau financiare. OLX își încurajează utilizatorii să păstreze comunicarea în propria platformă.

Recent malicious OLX campaigns

1. olx.safety-orders.site
Malicious URL log: https://urlscan.io/result/43112e5f-cf96-427e-9771-ef6b3570f7ea/
Domain registrar: REG.RU, LLC
Registration date: 2024-02-27
Domain nameservers:
keenan.ns.cloudflare.com
sonia.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

2. olx.ro-confirmer.fun
Malicious URL log: https://urlscan.io/result/696e79cd-7bda-4ad6-bc6c-86853aae9413/
Domain registrar: REG.RU, LLC
Registration date: 2024-03-03
Domain nameservers:
keenan.ns.cloudflare.com
sonia.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

3. olx.safety-receives.site
Malicious URL log: https://urlscan.io/result/c57b85e4-b907-47c3-9ca5-85ab5b8eae18/
Domain registrar: REG.RU, LLC
Registration date: 2024-03-13
Domain nameserers:
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

4. olx.confirm-ro.fun
https://urlscan.io/result/b121b964-ff2b-4515-b40f-be9d605e9036/
Domain registrar: REG.RU, LLC
Registration date: 2024-03-14
Domain nameserers:
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

4. olx.secure-orders.site
https://urlscan.io/result/ef66181e-bfb3-405e-9aa1-fd8295c966dc/
Domain registrar: REG.RU, LLC
Registration date: 2024-03-18
Domain nameserers:
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

5. fancourier.order-receive.site
https://urlscan.io/result/91bd0503-405e-4e99-90ea-90d8d3dc7a3b/
Domain registrar: REG.RU, LLC
Registration date: 2024-03-29
Domain nameserers:
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

6. fancourier.payments-c.site
https://urlscan.io/result/65296ad0-1a9f-4e0d-bdb0-e884042ceb6e/
Domain registrar: REG.RU, LLC
Registration date: 2024-04-03
Domain nameserers:
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

7. olx.hardpays.site
https://urlscan.io/result/49cf7f2c-f11c-48b1-969b-81f5db5ad8c4/
Domain registrar: REG.RU, LLC
Registration date: 2024-04-04
elsa.ns.cloudflare.com
matias.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

8. olx-ro.ewgroup.shop
https://urlscan.io/result/a99b908f-2821-4ebf-bf25-aea71de1501a/
Registrar: PublicDomainRegistry.com
Registration date: 2024-11-10
sandy.ns.cloudflare.com
hans.ns.cloudflare.com
Possible server IP: 88.99.65.151 ( Hetzner, free-kassa.ru )

Server note after the page is disabled:
Apache/2.4.52 (Ubuntu) Server at free-kassa.ru Port 80

Statement descriptor, shown on victim’s bank statement: Simplex_Hfinance, attackers ask the victim what’s the card balance then 3D secure is prompted for the exact amount.

WhatsApp phone numbers: +40791294829, +40732854628, +40792052600, +40792356394, +40728499116, +40729515212, +40731577752, +40791619515, +40701507603.
WhatsApp phone numbers used in 31.03.2024 +40732937741, +40737428428, +40791175556
+7 902 308-80-05 ( Rusia ), +40792524774 ( Vodafone )

Mesaje folosite de atacatori:

Eu sunt în Cluj,dar curierul poate ridica marfa direct de la adresa ta,adică nici nu trebuie să pleci de acasă și să-ți petreci timpul toate costurile de care mă ocup eu,plata o primești chiar acum.

Am plătit și am plasat comanda, trebuie să faceți clic pe link și apoi pe butonul Go to receive pentru a primi banii imediat, iar după primirea banilor un curier vă va contacta pentru a ridica articolul în termen de 3 zile.

Buna ziua, sper ca acest articol nu s-a epuizat inca, as dori sa-l cumpar de la dvs. si daca este in stoc contactati-ma pe WhatsApp. Sunt interesat de produsul dumneavoastra, dar din cauza unor probleme cu site-ul olx nu pot vedea toate imaginile. Ati putea sa-mi trimiteti va rog imaginile pe WhAtsap.