Nowy rodzaj oszustwa przy pomocy Allegro i fałszywych potwierdzeń PayU?

Dobry,

bratu przydarzyła się właśnie niemiła sytuacja - prawdopodobnie został oszukany przez Allegro przy użyciu kradzionego konta oraz fałszywych potwierdzeń PayU. Ale po kolei.

Brat sprzedaje na Allegro nie od dziś (złoto do Tibii, nie jest to najważniejsze, ale niżej ta informacja się przyda), praktycznie wszystkie transakcje są opłacane poprzez PayU bo szybciej. Standardowo jest tak, że dostaje dwa maile od Allegro:
- Sprzedałeś przedmiot przez Kup Teraz - nr: nrOferty - TytułOferty
- PayU - Kupujący nickKupującego wybrał sposób zapłaty i dostawy w ofercie (nrOferty
Po czym przychodzi potwierdzenie z PayU:
- Nowa wpłata od Kupującego nickKupującego

Teraz na czym polega myk:
brat otrzymał, jak zwykle, dwa maile od Allegro, po czym przyszło potwierdzenia z PayU. Potwierdzenie wyglądało jak każde inne, które przychodziło do tej pory, więc nie wzbudziło żadnych podejrzeń. Kupujący dokonał trzech transakcji, więc w efekcie przyszło 6 maili od Allegro i 3 od PayU. Ponieważ transakcje PayU są niemal natychmiastowe, brat chciał tę kasę wypłacić (a przedmioty wysyła od razu po otrzymaniu potwierdzenia) i tu się zaczęło: na koncie nie było zapłaconej kwoty, za którą przedmioty zostały zakupione. Jak się okazało, wszystkie potwierdzenia od PayU były identyczne i wskazywały, jako numer płatności, tę samą wartość (link do płatności na część całej kwoty). Brat nie czekał i zadzwonił najpierw do PayU, gdzie potwierdzili, że faktycznie taka płatność widnieje, ale została rozpoczęta - nie doszła do skutku. Następnie zadzwonił do użytkownika, który zakupił dane przedmioty (czyli właściciel skradzionego konta Allegro) i okazało się, że ta osoba niczego nie kupowała (z głosu wywnioskował, że była to młoda kobieta i raczej zmniejsza to prawdopodobieństwo, że ona dokonała tego wałka, chociaż kto wie...).

To tyle z samej historii, teraz trochę technikaliów.
Wszystkie potwierdzenia, które przychodzą z PayU posiadają nagłówki e-mail takiej postaci (spoilerem, bo jest czytelniej):

pokaż spoiler X-Ebed: 103
Received: from fmx3.pf.interia.pl (fmx3.pf.interia.pl [127.0.0.1])
by fmx3.pf.interia.pl (INTERIA.PL) with ESMTP id C7C89660191
for ; Tue, 18 Mar 2014 06:30:37 +0100 (CET)
X-Envelope-To:
X-Envelope-From:
X-Ebed: 103
Received: from smtpfarm2.allegro.pl (abox-1.allegro.pl [91.194.188.90])
by fmx3.pf.interia.pl (INTERIA.PL) with ESMTP
for ; Tue, 18 Mar 2014 06:30:37 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
d=payu.pl; i=powiadomienia@payu.pl; q=dns/txt;
s=dkim1024; t=1395120637; x=1426656637;
h=to:subject:mime-version:content-transfer-encoding:from:
reply-to:message-id:date;
bh=0s1MnWQqyuOVi+fRXuLQ09connyGxVXgxlr5zK+MMgY=;
b=S4LXkIyIYzrqmA/5qheAh0DbL3V/hHWn/Adpqp5YoiMqWkYttX+9aO8N
Afk1Pe2lXstogEVm/TsbR++QjfeqUR5fHE9a/2enJiBymkJywhUCgbXUv
PplXBkkttEFyzg1FIJauSv1gvF+CFmYAdG1FXyY0kZCRWElqOmaUkUqoc
4=;
X-Ebed: 103
Received: from unknown (HELO allegro.pl) ([10.64.36.46])
by smtpfarm2.allegro.pl with ESMTP; 18 Mar 2014 06:30:37 +0100
X-Ebed: 103
Received: by allegro.pl (Postfix, from userid 33)
id 8BF06928E2; Tue, 18 Mar 2014 06:30:37 +0100 (CET)
To: mailBrata@interia.eu
Subject: =?UTF-8?Q?Nowa_wp=C5=82ata_od_Kupuj=C4=85cego_nickKupującego?=
Mime-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-type: text/html; charset=UTF-8
From: PayU
Reply-To: mailJakiegośZiomka@gmail.com
Message-Id: <20140318053037.8BF06928E2@allegro.pl>
Date: Tue, 18 Mar 2014 06:30:37 +0100 (CET)
X-IPL-VerifiedSender: www-data@allegro.pl
X-Interia-Antivirus: OK


natomiast nagłówek oszusta wygląda tak:

pokaż spoiler Received: from fmx38.pf.interia.pl (fmx38.pf.interia.pl [127.0.0.1])
by fmx38.pf.interia.pl (INTERIA.PL) with ESMTP id 3DF40620843
for ; Mon, 24 Mar 2014 17:30:50 +0100 (CET)
X-Envelope-To:
X-Envelope-From:
Received: from s8.jupe.pl (s8.jupe.pl [144.76.91.209])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by fmx38.pf.interia.pl (INTERIA.PL) with ESMTPS
for ; Mon, 24 Mar 2014 17:30:49 +0100 (CET)
Received: from karallla by s8.jupe.pl with local (Exim 4.80.1)
(envelope-from )
id 1WS7lx-0001qi-Kb
for mailBrata@interia.eu; Mon, 24 Mar 2014 17:30:49 +0100
To: mailBrata@interia.eu
Subject: Nowa wpata od Kupujcego nickKupującegoNaSkradzionymKoncie
X-PHP-Originating-Script: 1415:wiadomosc.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-2
From: PayU
Reply-To: PayU
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Just My Server
Message-Id:
Date: Mon, 24 Mar 2014 17:30:49 +0100
X-IPL-VerifiedSender: karallla@s8.jupe.pl
X-Interia-Antivirus: OK
X-IPL-SAS-ZERO: 37
X-IPL-SAS-SPAS: -1.900000095
X-IPL-SAS: -1.900000095


Jupe.pl to firma hostingowa, więc ktoś wypuszcza z tego miejsca sfałszowane potwierdzenia.
Ponadto, z bratem w sprawie sprzedaży kontaktował się numer gg: 50262228.
Adres IP, z którego koleś się logował na śledzony link to ... 54.241.140.158 oraz 114.160.71.148 (odpowiednio USA i Japonia). Później, ku mojemu zdziwieniu, kliknął w link jeszcze dwa razy, ale znowu USA i Dublin, więc IP nic nie da.

Dlaczego znalezisko?
Po pierwsze - żeby ostrzec. Sprawdzajcie nagłówki wiadomości z PayU albo faktycznie wpłatę (wiem, gafa, nie musicie wypominać ;) ), bo to prawdopodobnie nie będzie jedyny taki przypadek.
Po drugie - aby poprosić o pomoc. Czy ktoś z Was jest nas w stanie jakoś naprowadzić na odpowiedni trop czy jakkolwiek pomóc? Wiem, że wypok to nie miejsce na takie prośby, ale im więcej informacji zdobędziemy dla policji, tym sprawniej powinni działać (chociaż i tak szanse będą nikłe...).

PS. Tak, jestem zielony, bo wcześniej biernie przyglądałem się Waszym poczynaniom i widziałem kilka pomocnych rad. Jeśli nawet to się nie uda, to niech będzie to informacja dla przyszłych osób.