☕ Hakerzy na OLX i υdziwnione znа̄czki! / Fυnny chа̄rs story 🤪


🇬🇧 🇺🇸 For English scroll down! 👇

---

🇵🇱 Cześć ziomalki i ziomale! Gotowi na pierwszego szota cyber-espresso? ☕️
Dla zniechęconych postami z serii FUD Thursdays, tutaj będzie mniej technicznie i po naszemu 😋 🇵🇱

Pokażę Wam jeden "myk", którego oszuści użyli ostatnio w komunikacji ze mną na OLX. Postaram się Wam wytłumaczyć, po co to zrobili, bo uważam, że jak się coś zrozumie i zna się kontekst, to łatwiej to zapamiętać i wyłapać w przyszłości.

Na wstępie zaznaczę, że choć OLX służy tu za przykład, to podobne triki spotkacie wszędzie gdzie ktoś może do Was napisać, a sam OLX robi co może, aby takie próby blokować. I za to należy się im (OLXom, nie oszustom) szacun! 👊

Ale do rzeczy! Wystawiłem przedmiot na OLX. Zero zainteresowania, minęły tygodnie i cisza. A tu nagle wiadomość:
"Dziеń dоbrу, сzу pоѕt wсiąż аktυаⅼnу? prоѕzę о rеzеrwасję, pоdоbаłо mі ѕіę wѕzуѕtkо, zаpⅼасę z dоѕtаwą" (pisownia originalna)

I zaraz potem:
"trаnѕаkcја wуmаgа pоtwіеrdzеnіа — prоѕіmу o twо́ј е-mа̄іⅼ, wіаdоmоść prоѕzę zоѕtаwіć nа czаtсіе"

No nareszcie! Jest szansa na sprzedaż... swoich danych! Zawsze coś! 🤣


Czy widzicie te dziwne znaczki? Mogłoby się wydawać, że ktoś ma grube paluchy, albo przyoszczędził na calach w telefonie, albo ogólnie nie umi w smsy. Pomijając już fakt, że gramatyka od razu trąci jakimś tłumaczem z jakiegoś odległego języka... Bo serio? "pоdоbаłо mі ѕіę wѕzуѕtkо"? Mimo grubych paluchów klikało się "że weź"??

Fachowo mówiąc, te "dziwne znaczki" to tzw. "homoglify" - znaki z innych alfabetów, które wyglądają bardzo podobnie do zwykłych liter, ale są technicznie innymi znakami dla komputera. Taką technikę stosuje się w różnych oszustwach, najczęściej przy rejestracji domen, które dla człowieka są trudne do odróżnienia. Takie coś nazywa się atakiem homograficznym, prawie jak serek homogenizowany.

No dobrze, ale że po co? Co oni nie umiom normalnie?? Otóż chodzi o to, że dziewczęta i chłopacy z OLX nie śpią po nocach i myślą nad filtrami jak wyłapać nowe próby ataków, które najczęściej są masowe, zautomatyzowane i przeprowadzane przez osoby, które tak naprawdę siedzą przed komputerem gdzieś hen, hen daleko, poza naszymi pięknymi granicami kraju. No i te dziewczęta i chłopacy z OLX, po nieprzespanej nocy "piszą filtry": jeśli wiadomość zawiera słowo "e-mail", "aktualny" - to strzelaj, potem pytaj! Bo ta treść idzie masowo, i od razu wiadomo, że oszustwo. Proste, skuteczne, szybkie. Tylko że... jeśli oszust zamieni "e-mail" na "e-mа̄іl", to filtr po prostu przestaje działać. I to jest taka zabawa w kotka i myszkę - jedni wymyślają nowe filtry, drudzy szukają obejść. Mam nadzieję, że teraz łatwiej Wam będzie odróżnić prawdziwą wiadomość od podejrzanej jeśli pojawią się jakieś takie ciut zbyt dziwne literówki 😉

I co w takiej sytuacji zrobić? Najlepiej powiadomić OLX o podejrzanej wiadomości. Ja zrobiłem zgłoszenie bez blokowania dalszej konwersjacji czy użytkownika. Na drugi dzień OLX zablokował konto, a więc specjaliści uznali schemat za znany (oni widzą tego naprawdę dużo). Być może nawet poprawili filtr i tym razem się wyśpią ??




Co mogłoby się stać, jakbym podał maila? Teraz UWAGA, NIE RÓBCIE TEGO W DOMU(!), bo założyłem na szybko osobne konto, żeby zobaczyć, co się stanie... niestety, nie stało się nic. Być może przez blokadę OLX, atakujacy uznał konto za spalone? Albo po moich "uszczypliwościach" i pytaniach o znaczki atakujący się wycofał (bo nie chcą wchodzić w interakcję z kimś kto kuma temat, bo to grozi szybkim zdemaskowaniem i blokadą). Według różnych źródeł i raportów taki adres e-mail może potem stać się celem dalszych ataków, wyłudzeń, prób na blika, a jak donosi Orange (link poniżej) prawdopodobnie wyłudzenie danych bankowych. Dzieje się to już poza mechanizmami i filtrami OLX. Najczęściej dlatego chcą odciągnąć osobę poza platformę, która o takich mechanizmach wie więcej niż niejeden filtr spamowy. Adres może też zostać po prostu wrzucony do ogromnej bazy zweryfikowanych adresów i kiedyś sprzedany innym bebokom za jedną milionową bitcoina.

Ta historia pokazuje, że platformy nadal polegają na prostych tekstowych filtrach, które omija się homoglifami. AI mogłoby pomóc wykrywać takie sztuczki, bo jest świetny w uogólnianiu i braniu całości kontekstu. Niestety AI pomaga też oszustom w tworzeniu ładniejszych, bardziej wiarygodnych wiadomości. I tutaj podejrzewam, że mimo trochę kiepskiego tłumaczenia, to cyber-beboki korzystały jednak z AI. Skąd takie podejrzenie? Otóż chodzi o... 🥁... długą wersję myślnika "—"! 🤣 Tylko AI i profesjonalne drukarnie ich używają 😆

Na koniec jeszcze dodam, że nie jest tak, że cyber-dziady zakładają mnóstwo nowych kont i można po tym poznać, czy ktoś jest zaufany, czy nie. Kiedyś owszem, było to popularne, ale ponieważ data założenia konta stała się poniekąd standardową rzeczą do sprawdzenia, kiedy pojawiają się wątpliwości, to oszuści chętniej przejmują stare konta, z pewną historią i aktywnością na platformie. Kto wie, może oryginalny sprzedawca na OLX, podał niedawno swój adres е-mа̄іⅼ? 😉 W tym przypadku konto było założone już lata temu 🤷‍♂️



Mam nadzieję, że się Wam podobała ta historyjka na rozgrzewkę. Dajcie znać w komentarzach, albo w wiadomości prywatnej, co sądzicie, bo to dla mnie dopiero początek przygody. Piszcie, czy nurtują Was jakieś konkretne pytania do tego wpisu, albo w kwestii bezpieczeństwa w ogóle? Chętnie Wam poopowiadam, do kolejnej kawusi! Ja właśnie biorę ostatniego siorbka 😉 ☕️

Trzymajcie się ciepło, i scrollujcie bezpiecznie!


---


🇬🇧 English version

Hey folks! Ready for your first cyber-espresso shot? ☕️

I listed an item on OLX marketplace. No interest whatsoever, weeks passed in silence. Then suddenly - a message! "Is post still аctυаl? please reserve, I liked everything, will pay with delivery". And immediately after: "transaction requires confirmation - please provide your e-mа̄іl, leave message in tchat"

Finally! A chance to sell... my personal data! Always something! 🤣


Did you notice those weird characters? You might think someone has fat fingers, or skimped on screen size, or just generally can't text. Not to mention the grammar already reeks of some translator from a distant language as it sounded pretty unnatural in Polish.

Technically speaking, those "funny chars" are called homoglyphs - characters from other alphabets that look remarkably similar to regular letters, but are technically different characters to a computer. This technique is used in various scams, most often when registering domains that are hard for humans to distinguish.

Okay, but why? Can't they type normally?? The thing is, the folks at OLX don't sleep at night thinking about filters to catch new attack attempts, which are usually mass, automated, and carried out by people who actually sit at computers somewhere far, far away. So these OLX folks, after a sleepless night, "write filters": if a message contains the word "e-mail" or "actual" - shoot first, then ask! Simple, effective, fast. But if the scammer replaces "e-mail" with "e-mа̄іl", the filter simply stops working. And that's the cat-and-mouse game - some invent new filters, others look for workarounds. I hope now it'll be easier for you to spot a real message from a suspicious one if some slightly too weird typos appear 😉

So what to do in this situation? Best to notify OLX about the suspicious message. I filed a report without blocking further conversation or the user. The next day OLX blocked the account, so specialists recognized the pattern as known (they see a lot of this stuff). Maybe they even improved the filter and this time they'll get some sleep ??


What could have happened if I'd given my email? Now ATTENTION, DON'T TRY THIS AT HOME(!), because I quickly set up a separate account to see what would happen... unfortunately, nothing happened. Perhaps due to the OLX block, the attacker considered the account burned? Or after my "snarky comments" and questions about the characters, the attacker backed off (because they don't want to interact with someone who knows the topic, as it risks quick exposure and blocking). According to various sources and reports, such an email address can then become a target for further attacks, scams, attempts to steal money or bank credentials, being already beyond OLX's mechanisms and filters. Most often that's why they want to pull the person off the platform, which knows more about such schemes than spam filters. The address can also just be thrown into a huge database of verified addresses and someday sold to other scumbags for a few bucks.

This story shows that platforms still rely on simple text filters that get bypassed with homoglyphs. AI could help detect such tricks, because it's great at generalizing and taking the whole context. Unfortunately AI also helps scammers create prettier, more credible messages. And here I suspect that despite the somewhat poor translation, these cyber-crooks were using AI. Why such suspicion? Well, it's about the... 🥁... long dash "—"! 🤣 Only AI and old school newspapers use those 😆

Finally, I'll add that it's not like cyber-thugs create tons of new accounts and you can tell by that whether someone is trustworthy or not. Some time ago, yes, that was popular, but since account creation date has become somewhat of a standard thing to check when doubts arise, scammers prefer to hijack old accounts with some history and activity on the platform. Who knows, maybe the original OLX seller recently gave away their е-mа̄іⅼ address? 😉 In this case, the account was created years ago 🤷‍♂️


I hope you enjoyed this warm-up story. Let me know in the comments or via private message what you think, because this is just the beginning of my adventure. Write if you have any specific questions about this post or about security in general? I'm happy to tell you more, during our next coffee break! I'm just taking my last sip 😉 ☕️

Take care, and scroll safely!

---

📚 Masz jeszcze kawę i chcesz poczytać więcej / wanna more ☕️ ☕️ ☕️?

OLX Polska - nie przenoś rozmowy poza OLX - oficjalne ostrzeżenie przed przechodzeniem na WhatsApp itd.: 
https://www.facebook.com/olx.polska/posts/-kto%C5%9B-proponuje-ci-przeniesienie-rozmowy-poza-olx-lub-odzywa-si%C4%99-od-razu-przez-i/4828252107256654/

OLX, BLIK i przenoszenie rozmowy
CERT Orange - odświeżone oszustwo „na kupującego” (email, linki, komunikatory) - bardzo dobrze opisuje schemat wyciągania danych poza OLX: 
https://cert.orange.pl/ostrzezenia/oszustwo-na-olx-odswiezone/
Oszustwo „na BLIKA” na OLX - konkretny case, gdzie „kupujący” wyciąga kod BLIK po kontakcie z OLX: 
https://antyweb.pl/oszustwo-na-blika-olx

Homografy i narzędzia scammerów
IDN Homograph Attack (Wikipedia) - podstawy ataków homograficznych (podmiana znaków w adresach): 
https://en.wikipedia.org/wiki/IDN_homograph_attack
Malwarebytes - Homograph Attacks Explained - praktyczne przykłady użycia homografów w phishingu, dobrze ilustruje fałszywe linki wysyłane ofiarom: 
https://www.malwarebytes.com/blog/news/2017/10/out-of-character-homograph-attacks-explained
​​
ESET - Telekopye i hotel booking scams - pokazuje ewolucję tego samego toolkitu na inne platformy: 
https://www.welivesecurity.com/en/eset-research/telekopye-hits-new-hunting-ground-hotel-booking-scams/

#CoffeeBreak #HypeRipper #JackTheHypeRipper #Kawusia #BezpiecznySiorb #SlurpSafe #OLX

Location: Polska

Comments

Post a Comment

Popular posts from this blog

🚨 FUD Thursdays with Jack The HypeRipper 🎩 😎

Image
Hi 👋 🤙 I’m Jacek Fleszar (Jack) , a cybersecurity expert based in Poland, with 20+ years in the field. Most of my career was in international banks, and among other teams, I worked in the fascinating world of Cyber Intelligence. My true passion has always been cybersecurity itself - in every form. I love it from the deeply (socio)technical side to the truly (psycho)logical puzzles. Cyber is simply my sandbox with shiny but a bit dirty toys. Life can be as unpredictable as a zero-day! After some tough personal turns in recent years and a career shift toward development, I stayed quiet for a while - stepping back from public talks, conferences, and social spaces. But now it’s time to re-emerge, reconnect, and share again! 🚀 That’s why I’m launching FUD Thursdays to tackle Fear, Uncertainty, and Doubt. Each week, I’ll dissect the most hyped cybersecurity stories and cut through the noise! The name’s inspired by Poland’s Fat Thursday tradition - when we eat way too many doughnuts b...
Read more

🇵🇱 ☕️ Hyper Ipper Coffee Break in Polish (too) / Siorb kawę bezpiecznie! ☕️ 🦹‍♂️

Image
  🇬🇧 🇺🇸 After the warm welcome for the main blog, I'm launching "Hyper Ipper Coffee Break" – a biweekly mini-series with practical, non-technical cyber safety bits and quick scam-spotting guides.   Full posts will be in Polish with a condensed English summary. For English 🇬🇧 🇺🇸 scroll down! 👇 ----- 🇵🇱 Cześć przyjaciele i znajomi! 👋 SIORB KAWĘ I BROŃ SIĘ PRZED CYBER-ZŁOLAMI! ☕️ 🦹‍♂️ Po ciepłym przyjęciu bloga i FUD Thursdays wielu z Was pisało:   "Ej, może coś prostszego? Po polsku? Tak do kawy?".   I oto jest – ✨"Hyper Ipper do kawusi"✨ – lekka seria, trochę z jajem, do czytania do kawusi. Dla Ciebie i dla babci. Jak babcia poczyta, to pan z mocnym akcentem, co dzwoni z banku, sam jej zrobi Blika na wełniane skarpety. 🧶 😎 "Hyper Ipper do kawusi", czyli co? - Co dwa tygodnie (żebym się nie zasapał) - Dla ziomali po polsku i krótko po angielsku (dla dudes & chaps abroad) - Krótsze niż instrukcja ekspresu, dłuższe od sms-a dzi...
Read more

Hi, Jack! Notepad++ "hi jack" hype?

🚨 @JackTheHyperipper : Notepad++ "hijack" hype? Let's look & Rip it! 😎 Discriminating, selective targeting + only v8.8.1–8.8.8, June-Dec 2025 updates. Worry if: 💀 Logs:  gup.exe/AutoUpdater.exe/update.exe  → non-official OR getDownloadUrl.php redirects 🤔 Having v8.8.9+ now does not guarantee you didn't update in June-Dec so check network logs for the time frame anyway. ✅ Manual DLs? Safe. Hush your chief! Official link: Notepad++ Statement #Hyperipper #HypeHush #ChiefHush #Hushtag TheHyperipper Post on X
Read more