// Studia przypadków
Phishing na Kleinanzeigen: studium przypadku — wykryj, przeanalizuj, zgłoś
E-mail w imieniu „Kleinanzeigen” straszył zablokowaniem konta i żądał „weryfikacji profilu”. Link prowadził przez wiarygodnie wyglądające przekierowanie Google (share.google) na fałszywą stronę — to celowa technika obejścia filtrów spamu i reputacji. Na tym realnym przypadku pokazujemy, jak taki atak jest zbudowany, jak bezpiecznie go przeanalizować i co zrobić w razie kliknięcia.
Zaktualizowano: 2026-07-11
Przebieg sprawy
- 1Sprawdź e-mail zamiast klikać: adres nadawcy, nazwa wyświetlana i nagłówki techniczne (m.in. DKIM/SPF) demaskują podszycie — tu darmowe konto pocztowe zamiast prawdziwego adresu Kleinanzeigen.
- 2Nie otwieraj linku w codziennej przeglądarce: najpierw ogląda się tylko adres docelowy — droga wiodła przez share.google (przekierowanie Google) na obcą domenę.
- 3Przeanalizuj stronę w izolacji: w odizolowanym środowisku, nigdy przez własne urządzenie ani własne IP, aby nie ujawnić danych.
- 4Rozpoznaj maskowanie (cloaking): strona pokazywała systemom analizy nieszkodliwą stronę-alibi, a tylko prawdziwym mobilnym ofiarom w Niemczech fałszywy formularz logowania.
- 5Przypisz infrastrukturę: data rejestracji, rejestrator, fronting hostingu i certyfikaty TLS potwierdziły kilkutygodniową jednorazową domenę o jednym celu.
- 6Uruchom łańcuchy zgłoszeń: powiadom dostawcę hostingu/proxy, rejestratora, ochronę przeglądarki (Safe Browsing) i sieci zgłoszeniowe (m.in. phishing-radary konsumenckie, APWG).
- 7Zabezpiecz własną skrzynkę: zablokuj nadawcę i domenę phishingową na bramce pocztowej i udokumentuj incydent.
Czego unikać
- Nie klikaj linków w mailach o „zablokowaniu” lub „weryfikacji” — poważni dostawcy nie straszą natychmiastowym usunięciem.
- Nie podawaj danych logowania na stronie, do której dotarłeś przez link z e-maila.
- Nie daj się zwieść znanej marce w nazwie wyświetlanej — liczy się prawdziwy adres nadawcy.
- Nie ufaj ślepo skróconym ani przekierowującym linkom (nawet pozornie od dużych dostawców).
- Nie usuwaj po prostu podejrzanych maili — pełne nagłówki są cenne przy zgłoszeniu.
Jak wspiera SKOPION
SKOPION weryfikuje podejrzane wiadomości, analizuje infrastrukturę phishingową w izolacji i bez ryzyka dla Twoich urządzeń, przypisuje infrastrukturę atakujących i uruchamia właściwe łańcuchy zgłoszeń do zdjęcia strony — udokumentowanie i w sposób weryfikowalny. Działamy wyłącznie pasywnie i ze źródeł dostępnych zewnętrznie; nie skanujemy ani nie zmieniamy Twoich systemów.
Zapytanie poufneNajczęstsze pytania
- Po czym poznam fałszywy e-mail Kleinanzeigen?
- Po prawdziwym adresie nadawcy (często darmowe konto pocztowe zamiast adresu @kleinanzeigen.de), po straszeniu i presji czasu oraz po linkach prowadzących przez przekierowania na obce domeny.
- Dlaczego link wygląda jak od Google?
- Atakujący nadużywają przekierowań dużych dostawców (tu share.google), aby link wyglądał wiarygodnie i przechodził filtry. Cel to i tak obca domena phishingowa.
- Co oznacza „cloaking”?
- Strona phishingowa pokazuje systemom analizy nieszkodliwą stronę-alibi, a tylko prawdziwym celom oszukańczy formularz logowania — co utrudnia wykrycie i wydłuża żywotność strony.
- Kliknąłem — co teraz?
- Nie podawaj danych i zamknij stronę. Jeśli jednak podałeś dane logowania: natychmiast zmień hasło z czystego urządzenia i włącz uwierzytelnianie dwuskładnikowe. Udokumentuj incydent.
Źródła
Więcej studiów przypadków