Wiadomości, informacje o zagrożeniach

Credit Resources Vault: Dlaczego ten e-mail dotyczący kredytu wzbudził nasze podejrzenia o oszustwo

autor: Pieter Arntz | 15 kwietnia 2026 r.
nieograniczony limit

Jeśli jest coś, co irytuje mnie bardziej niż oszust, to są to firmy, które zachowują się jak oszuści, pozostając jednocześnie w granicach prawa. Udaje im się utrzymywać na rynku i rozczarowywać klientów przez lata.

To właśnie dlatego ludzie czasami myślą, że Malwarebytes Scam Guard bywa zbyt ostrożny przy oznaczaniu stron internetowych. Niektóre witryny znajdują się w szarej strefie, gdzie nawet doświadczeni badacze muszą przyjrzeć się im dwa razy, aby ustalić, czy mają do czynienia z jawnym oszustwem.

Dokładnie tak właśnie się tutaj stało.

Po otrzymaniu anonimowego zgłoszenia od klienta wszcząłem dochodzenie w sprawie wiadomości e-mail, którą program Scam Guard oznaczył jako wysoce podejrzaną.

E-mail

Wiadomość e-mail nadeszła z adresu anna@cosmosshift[.]org i promowała usługę o nazwie Baza zasobów kredytowych, zachęcając odbiorców do kliknięcia przycisku oznaczonego jako Sprawdź teraz, czy się kwalifikujesz..

Od razu rzucają się w oczy pewne sygnały ostrzegawcze:

  • Domena nadawcy (cosmosshift.org) nie ma żadnego wyraźnego związku z usługami kredytowymi ani produktami finansowymi. Nie istnieje żadna instytucja finansowa o nazwie „Cosmos Shift”.
  • Wiadomość ta wywołuje poczucie pilności w związku z zatwierdzeniem kredytu, co stanowi klasyczną taktykę wywierania presji w ramach socjotechniki.
  • Zawiera adres fizyczny oraz link do rezygnacji, które wydają się wiarygodne, ale stanowią również powszechną technikę stosowaną w phishingu, zwaną „praniem wiarygodności”.

W odróżnieniu od większości wiadomości phishingowych ta zawiera spersonalizowane powitanie, w którym wykorzystano adres e-mail odbiorcy. Ponieważ odbiorca twierdzi, że nigdy nie miał kontaktu z nadawcą, można przypuszczać, że jego dane pochodziły od pośrednika danych lub z wcześniejszej kradzieży danych.

Ta strona internetowa budzi pewne podejrzenia

Kliknięcie linku prowadzi do (yourcreditvault.com), elegancka strona internetowa, która wydaje się oferować usługi kredytowe.

Strona główna sekcji „Zasoby kredytowe”
Strona główna sekcji „Zasoby kredytowe”

Jednak po bliższym przyjrzeniu się odkryliśmy kolejne niepokojące sygnały:

  • Strona została stworzona przy użyciu Vite/React, nowoczesnego frameworka JavaScript, który częściej spotyka się w pobocznych projektach startupów niż w sektorze usług finansowych podlegających regulacjom.
  • Wzmianki o serwisie bolt.new wskazują, że strona mogła zostać stworzona przy użyciu narzędzi opartych na sztucznej inteligencji
  • Nie widać żadnych oznak zabezpieczeń na poziomie bankowym. Kod źródłowy HTML zawiera jedynie podstawową strukturę aplikacji, bez śladów infrastruktury szyfrującej typowej dla sektora finansowego.
  • Wizerunek marki (w tym logo) wygląda na stworzony w pośpiechu
  • Pakiet JavaScript (index-B54Ghi53.js) za formularzem przesyłania danych jest mocno zaszyfrowana: jest to technika stosowana przez cyberprzestępców w celu ukrycia miejsca, do którego trafiają przesłane dane.

Żadna z tych rzeczy sama w sobie nie świadczy o złych zamiarach. Jednak w połączeniu tworzą one obraz rozwiązania stworzonego w pośpiechu, którego celem jest raczej gromadzenie danych niż świadczenie solidnych usług finansowych.

Formularz służy do gromadzenia danych, a opłata wynosi 20 dolarów tygodniowo

Największe obawy budzi ten formularz, który gromadzi niezwykle dużą ilość danych, jak na coś, co przedstawiane jest jako podstawowa weryfikacja zdolności kredytowej.

Formularz zgłoszeniowy
Formularz zgłoszeniowy

Dzięki monitorowaniu ruchu sieciowego podczas przesyłania formularza udało nam się ustalić, które dokładnie pola są przesyłane:

  • Dane osobowe: imię, nazwisko, adres e-mail, numer telefonu
  • Adres: ulica, miasto, województwo, kod pocztowy
  • Pełne dane bankowe: nazwa banku, numer identyfikacyjny banku, numer rozliczeniowy, numer rachunku
  • Dane dotyczące kampanii reklamowych
  • Podpis narysowany na ekranie, który jest przesyłany na dysk Google właściciela.

To znacznie więcej, niż potrzeba do sprawdzenia zdolności kredytowej.

Wystarczy sam ten numer konta, aby ktoś mógł skonfigurować fałszywe polecenia zapłaty (PAD). Polecenie zapłaty to forma bezpośredniej wypłaty z konta bankowego, z której legalnie korzystają wystawcy rachunków, ale która może być również nadużywana.

Umowa o świadczenie usług w ramach abonamentu
Powiększony zrzut ekranu przedstawiający pole, w którym ma pojawić się znacznik wyboru

I właśnie tak się wydaje, że się dzieje.

Małe pole wyboru, połączone z drobnym drukiem, upoważnia firmę do pobierania co tydzień kwoty 20 dolarów zgodnie z umową PAD, którą osoba, do której skierowana jest oferta, właśnie podpisała. To pole wyboru służy dwóm celom: zapewnia operatorom ochronę prawną („zgodziłeś się na to!”) oraz pozwala wykorzystać dane konta bankowego, które właśnie zostały zebrane w formularzu.

Skierowane do osób znajdujących się w trudnej sytuacji finansowej

Wydaje się, że ta kampania celowo jest skierowana do osób o słabej lub ograniczonej historii kredytowej. Obietnica „akceptacji tam, gdzie inni odmawiają” ma ogromną siłę oddziaływania, zwłaszcza na osoby znajdujące się pod presją finansową.

Nie są to przypadkowe ofiary, lecz osoby, które stały się celem ataku, ponieważ ich trudna sytuacja sprawia, że są bardziej skłonne do ujawniania poufnych informacji bez dokładnego sprawdzania źródła.

Opłata za PAD w wysokości 20 dolarów tygodniowo (ponad 1000 dolarów rocznie) może prowadzić do przekroczenia salda, naliczania opłat i dalszych strat finansowych.

Gdzie trafiają Twoje dane

Analiza ruchu sieciowego wykazała istnienie zaawansowanego, wielousługowego zaplecza, które wykorzystuje poszczególne komponenty, z których każdy może być legalny.

Supabase: Dane ofiar są przesyłane za pomocą żądania POST do projektu Supabase:

POST https://bstvkdzfgpktokbiagsc.supabase.co/rest/v1/vault_memberships

Supabase to renomowana platforma baz danych w chmurze, oferująca bezpłatne plany taryfowe.

Brevo (dawniej Sendinblue): Jest to legalna platforma do masowej wysyłki wiadomości e-mail. Rejestracja ofiar na tej platformie oznacza, że mogą one być bezterminowo docelowymi odbiorcami kolejnych kampanii.

POST https://bstvkdzfgpktokbiagsc.supabase.co/functions/v1/add-to-brevo

Dysk Google i Arkusze Google: Pole danych podpisu zawiera signature_drive_url, co oznacza, że odręczne podpisy ofiar mogą zostać zapisane w infrastrukturze Google Drive. A google_sheets_synced Pole to potwierdza, że dane nowych ofiar są synchronizowane z aktywnym arkuszem Google, dzięki czemu operatorzy mają dostęp do panelu kontrolnego w czasie rzeczywistym, zawierającego informacje o wszystkich osobach, które przesłały formularz.

Każda z nich to sprawdzona platforma. Razem tworzą system, którego celem jest:

  • Gromadzić poufne dane osobowe i bankowe
  • Zapisz to w formatach dostępnych dla wszystkich
  • Dodaj użytkowników do trwających kampanii marketingowych, a nawet phishingowych

Innymi słowy, przesłanie formularza nie tylko naraża Twoje konto bankowe na ryzyko, ale może również sprawić, że znajdziesz się na liście osób, które mogą stać się celem kolejnych ataków.

Infrastruktura

Infrastruktura tej kampanii obejmuje wiele obszarów:

  • cosmosshift[.]org (nadawca wiadomości e-mail)
  • yourcreditvault[.]com (strona docelowa).
  • yourscore[.]ca (przekierowanie po wysłaniu formularza)
  • creditresources[.]ca (e-mail z przypomnieniem zawierający numer telefonu 1-833-427-1562)
  • debtlesscredit[.]com (inna strona internetowa, na której podano ten sam numer telefonu)

Korzystanie z wielu domen oraz powiązanie jednego numeru telefonu z więcej niż jedną domeną budzi wątpliwości co do wiarygodności firmy.

Czy to więc oszustwo?

To zależy od tego, jak to zdefiniujesz.

Chociaż sytuacja ta może nie spełniać ścisłej definicji oszustwa w świetle prawa, rozumiemy, dlaczego system Scam Guard ją zidentyfikował, ponieważ wiele stosowanych tu taktyk pojawia się również w wiadomościach phishingowych i na fałszywych stronach internetowych.

Wszystko wskazuje na to, że strony te są prowadzone przez prawdziwe firmy, ale działają one w szarej strefie. Z jednej strony posiadają rejestrację jako firmy, publiczne strony internetowe i najwyraźniej nawet kilku zadowolonych klientów. Z drugiej strony model biznesowy — pobieranie stałych opłat za „programy” kredytowe lub związane z zadłużeniem — generuje stały napływ skarg konsumentów i oskarżeń o oszustwo. Wykorzystanie wielu domen (Credit Resources, Debtless Credit, Your Credit Vault) wskazuje również na strategię pozyskiwania potencjalnych klientów, powszechną w branży pomocy w spłacie zadłużenia.

Możliwe też, że firmy te korzystają z zakupionych list mailingowych i znalazły adres e-mail naszego klienta na liście potencjalnych odbiorców. Niestety, tego typu listy są przedmiotem handlu zarówno wśród legalnych podmiotów zajmujących się marketingiem, jak i cyberprzestępców.

Skontaktowaliśmy się z nadawcą wiadomości e-mail oraz firmą Credit Resources w celu uzyskania komentarza, ale do momentu publikacji nie otrzymaliśmy odpowiedzi.

Co cyberprzestępcy wiedzą o Tobie?

Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Aktualności
Logo JDownloader

Hakerzy zastąpili pliki instalacyjne programu JDownloader złośliwym oprogramowaniem

May 15, 2026

Strona internetowa JDownloader została zhakowana, a linki do pobrania instalatora przez kilka dni zawierały złośliwe oprogramowanie.

AI
Instagram między WhatsApp a Instagram

Nowe, budzące wątpliwości podejście firmy Meta do prywatności w czatach

May 15, 2026

WhatsApp oferuje teraz znikające wiadomości wysyłane przez sztuczną inteligencję, których, jak twierdzi Meta, nie jest w stanie odczytać. Tymczasem Instagram usunął funkcję, która uniemożliwiała firmie Meta odczytywanie Twoich wiadomości.

Ochrona prywatności
Logo Yahoo Mail

Dlaczego Malwarebytes niektóre przekierowania w serwisie Yahoo Mail

May 14, 2026

Niektórzy użytkownicy Yahoo Mail mogą otrzymywać powtarzające się Malwarebytes spowodowane połączeniami w tle z podejrzanymi domenami stron trzecich. Oto dlaczego.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa