Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta. Jak to możliwe? - Subiektywnie o finansach

Sposobów na okradanie nas w internecie jest mnóstwo, ale stosunkowo najlepiej ostatnio działają te, które pozornie nie mają nic wspólnego z bankowością internetową. O tym, że nie wolno reagować na żadne prośby o zalogowanie się do konta bankowego, podanie numeru telefonu, hasła jednorazowego lub jakiegokolwiek identyfikatora do banku – wiadomo. Z phishingiem spotkała się już większość posiadaczy kont bankowych i generalnie już potrafimy „odstrzeliwać” cwaniaków podszywających się pod bank.

Wciąż natomiast brakuje nam czujności w sytuacjach, w których złodziej nie pojawia się w okolicach naszego konta bankowego, tylko pozornie w dość niegroźnych okolicach. Pamiętacie wirusa, który grasuje na Facebooku? Wystarczy, że ktoś przejmie facebookowe konto Twojego znajomego i już możesz mieć problem.

Ciekawe? Po przeczytaniu wróć tutaj, kliknij i odkryj sprawdzone patenty Samcika na ochronę przed inflacją

Złodziej w imieniu znajomego – i na jego „twarz” – poprosi o pożyczenie 2 zł na kawę (bo zabrakło) i poda link do serwisu z płatnościami. Kto by nie chciał pomóc koledze? Link oczywiście jest „lewy”, a wszystko co wpisujemy na ekranie trafia do złodziei. Zamiast pożyczyć koledze 2 zł dajemy złodziejowi całe saldo konta.

Czytaj: Publiczne wi-fi, czyli brama dla złodziei naszych pieniędzy. Podłączasz się czasem? Jak się ochronić?

Czytaj też: Jak nie dać się okraść z pieniędzy na koncie przez Facebooka metodą “na wnuczka”? Ostrzegam!

Ten złodziejski patent ma również inną wersję. Na portalach aukcyjnych lub ogłoszeniowych – OLX, Allegro czy nnych – pojawiają się fałszywi sprzedający, którzy oferują przedmioty po dość atrakcyjnych cenach. Często mają ustaloną renomę i pozytywne komentarze. Kupujesz u takiego delikwenta, a potem… posłuchajcie:

„Żona robiła zakup na OLX i jako sposób płatności ktoś wysłał jej linka do serwisu Dotpay. Żona dwa razy robiła niby-przelew, który nie dotarł do celu (taki w każdym razie pojawił się komunikat na ekranie), za to rano okazało się, że nasze konto bankowe jest puste i karta kredytowa przypięta do konta też wyczyszczona do dna. Straty w sumie przekroczyły 6500 zł. Bank umywa ręce, bo żona odebrała SMS autoryzacyjny i potwierdziła transakcję. Sprawa jest zgłoszona na policję, ale wątpię w jej skuteczność. Da się cokolwiek ugrać?”

– pyta pan Marcin. Sytuacja jest dość beznadziejna, bowiem żona mojego czytelnika popełniła kilka błędów, które pozwalają zepchnąć odpowiedzialność z banku. Po pierwsze kliknęła w podesłany przez kogoś link do systemu pośredniczącego w płatnościach. Tymczasem przy jakiejkolwiek płatności to my sami musimy inicjować proces – albo wpisując adres strony swojego banku „z ręki” (jeśli np. chcemy zapłacić za coś zwykłym przelewem bankowym) albo klikając „kupuję”.

Wtedy platforma aukcyjna lub portal ogłoszeniowy przenoszą nas stronę płatności, która jest częścią platformy aukcyjnej lub ogłoszeniowej. W tym przypadku złodziej skontaktował się z klientką i podesłał jej e-mailem (lub wiadomością wewnątrz platformy ogłoszeniowej) „swój” link „do płatności”. Trzeba mieć świadomość, że każdy podesłany nam e-mailem link może być fałszywy, kierować na stronę tylko podobną do systemu płatności.

Potem jednak nastąpił błąd jeszcze gorszy. Jak już żona pana Marcina kliknęła w link, który prowadził do fałszywej strony, to złodzieje mogli coś-tam sobie w tym koncie pogrzebać, ale na koniec każda transakcja wymaga potwierdzenia SMS-em autoryzacyjnym, który przyszedł na telefon żony czytelnika.

Złodziejom była potrzebna zgoda na zdefiniowanie ich konta jako zaufanego (żeby potem mogli przesłać sobie pieniądze z konta i z karty pechowej klientki). I o tym właśnie był SMS autoryzacyjny. Gdyby żona pana Marcina go przeczytała, to by powzięła podejrzenia i nie straciłaby pieniędzy.

Czytaj też: Wirus zaatakuje cię na smartfonie. Gdy będziesz chciał/a wejść do aplikacji bankowej…

Bank umywa ręce i ma pretekst, żeby tak się zachować. Gdyby klientka miała jakiś punkt zaczepienia w postaci niewystarczająco skutecznych zasad zabezpieczeń w banku (np. gdyby treść SMS-ów autoryzacyjnych była niepełna lub niejednoznaczna, gdyby bank nie oferował alternatywnego sposobu zabezpieczania transakcji poprzez aplikację mobilną), to byłby cień szansy. Ale klikanie w „lewe” linki i zatwierdzanie transakcji bez upewnienia się czy dotyczą tego, czego mają dotyczyć… tego się nie wybacza.

W nieco podobnej sytuacji oburzyłem się na nieczułość banku, gdy mowa była o starszej pani, która konto internetowe w banku ma, ale tylko dlatego, że już jej nie stać na „normalne”. W przypadku osób z ery analogowej, które nie zostały przez bank ani przygotowane, ani przeszkolone z zasad bezpieczeństwa, byłbym skłonny żądać od bankowców taryfy ulgowej. Ale nie możemy całkiem zdjąć odpowiedzialności za błędy z klientów. Warto mieć w głowie dwie ważne rzeczy: nie klikamy w żadne linki do płatności oraz czytamy uważnie SMSy autoryzacyjne.

Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku

Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi?

Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze

źródło obrazka tytułowego: Pixabay.com

81 komentarzy

Oldest

Newest Most Voted

Inline Feedbacks

Zobacz wszystkie komentarze

Lolca

7 lat temu

Nie da się nie klikać w „linki od płatności”. Chyba, że nie będziemy w ogóle kupować nic przez internet. W każdym sklepie internetowym, na Allegro, nawet w banku gdy poprzez niego chcemy kupić doładowanie do telefonu, każdy jeden guziczek „Zapłać” jest tak naprawdę „linkiem do płatności”. Rozumiem, że poprzez „link do płatności” miał Pan na myśli coś w formie tekstowej, podesłane nam przez oszusta i prowadzącego do podrobionej strony banku czy pośrednika płatności. Nic nie stoi jednak na przeszkodzie (ok, są zabezpieczenia, raz lepsze, raz gorsze) by oszust-haker podmienił pod guziczkami „Zapłać” liki na stronie jakiegoś sklepu czy portalu aukcyjnego.… Czytaj więcej »

Odpowiedz

Don Quijote de la Mancha

Reply to Lolca

O, ktoś mnie ubiegł, też miałem napisać, że czepianie się, że ktoś kliknął w pay-by-link jest absurdalne, bo z definicji tak właśnie się tym płaci. Inna rzecz, że nie wiem, jak to działa na OLX i nie wiem, skąd ten link się w tym przypadku wziął, bo jeśli z mejla (może jeszcze od nadawcy typu tanisprzedawca@gmail.com), to rzeczywiście klikanie w taki było głupie…

Autor

Maciej Samcik

Reply to Don Quijote de la Mancha

Macie rację, niepotrzebny skrót myślowy. Zmieniłem zdanie na takie: „Po pierwsze kliknęła w podesłany przez kogoś link do systemu pośredniczącego w płatnościach. Tymczasem przy jakiejkolwiek płatności to my sami musimy inicjować proces – albo wpisując adres strony swojego banku „z ręki” (jeśli np. chcemy zapłacić za coś zwykłym przelewem bankowym) albo klikając „kupuję”. Wtedy platforma aukcyjna lub portal ogłoszeniowy przenoszą nas stronę płatności, która jest częścią platformy aukcyjnej lub ogłoszeniowej. W tym przypadku złodziej skontaktował się z klientką i podesłał jej e-mailem (lub wiadomością wewnątrz platformy ogłoszeniowej) „swój” link „do płatności”. Trzeba mieć świadomość, że każdy podesłany nam link może… Czytaj więcej »

Maciej

5 lat temu

Płacić należy tylko i wyłącznie kartą. Potencjalnie każdy sklep internetowy może być zhakowany. W przypadku karty, wystarczy zgłosić kradzież – cashback. Poza własnoręcznie otwartą stroną internetową naszego banku, nie wolno nigdzie wpisywać swojego loginu i hasła. Płacisz szybkimi płatnościami, to twoja decyzja, ale zgadzasz się w takiej sytuacji na wysokie ryzyko takiej operacji. Sam tak robiłem, bo wygodniej. Nigdy więcej. Nawet jeżeli ktoś nie używa menadżera kart (zabezpieczonego oczywiście kluczem sprzętowluźna USB np.) to zapamiętanie numeru karty, nie jest takie trudne.

Tom36

Z tego co pamiętam na Olx nigdy się nie wysyła komukolwiek pieniędzy. A towar do innego miasta tylko za pobraniem. Ale może mało wiem…Pozdrawiam.

Michał

Reply to Tom36

Od dawna płacą mi przelew i wysyłam na OLX. Wszystko zależy od portalu i zgłoszenia na policję. Do OLX podaje się nr telefonu, który jest zarejestrowany.

Gie

Mam nadzieję że PayU na Allegro nie da się oszukać? Tam klikam Płacę i przenosi mnie na stronę banku. Wpisuję login, hasło. Rzucam okiem czy wszystko OK, przychodzi SMS, znowu rzucam okiem, przepisuję kod i po wylogowaniu wracam na Allegro. Przy takiej płatności chyba raczej nie ma ryzyka oszustwa? Chyba tylko gdybym miał jakiegoś trojana.

Reply to Gie

Gie, PayU nie da się oszukać, PayU przeniesie Cię na stronę banku. Natomiast da się oszukać człowieka i napisać mu „masz tu link do PayU” który w rzeczywistości kieruje na stronę która tylko wygląda jak PayU

Oprócz czytania treści sms autoryzacyjnych zalecam także sprawdzanie certyfikatu EV – to jeden rzut okiem (czy w przeglądarce obok kłódki pojawia się zielona nazwa instytucji). Zarówno serwisy transakcyjne banków, jak i operatorów płatności typu PayU czy Dotpay powinny takie mieć, jeśli nie mają, to należy z ich usług zrezygnować. Piszę to z pełna świadomością i czekam na pozew od Inbank Polska… ?

dfff

A co z tym Inbankiem nie tak. Certyfikat jak w każdym innym banku.
natomiast kupowanie czegokolwiek na olx i przelwanie kasy to jakaś głupota. kiedyś tak tam kupowałem jeszcze przed inwazją oszustów na ten portal. teraz – nie ma mowy. jeśli chce cos tak sprzedać to najpierw przelew weryfikacyjny na moje konto z danymi posiadacza. I tak to nie zabezpieczy transakcji więc tak czysiak – nie kupuję na OLX

Reply to dfff

„A co z tym Inbankiem nie tak. Certyfikat jak w każdym innym banku.” — ŁŻESZ.

O co chodzi z certyfikatem EV opisałem w poprzednim komentarzu (czy w przeglądarce obok kłódki pojawia się zielona nazwa instytucji). Niebywałe, że Inbank zamiast kupić odpowiedni certyfikat woli w komentarzach bezczelnie kłamać, że ma „certyfikat jak w każdym innym banku” (bo na pewno powyższy komentarz wpisałeś na zlecenie tego banku, nie wierzę, by ktoś mógł być aż takim idiotą, żeby nie rozumieć pojęcia „zielona nazwa instytucji”).

Nerkofil

Najbezpieczniejsza była by opcja WYŁĄCZENIA mozliwosci zdefiniowania przelewu zaufanego lub ograniczenia tej czynnosci tylko do oddzialu banku.

To kolejny raz kiedy banki pod pozorem naszej wygodny drastycznie obniżają poziom zabezpieczenia naszych pieniędzy!

Jak długo banki wzbraniały się przed możliwością WYŁĄCZENIA funkcji zbliżeniowej w kartach płatniczych?
A dziś 80% klientów placac kilka zl na komunikat „zbliż kartę” wklada ja do terminalu i wstukuje PIN.

BTW, do autoryzacji płatności używam wyłącznie tokena. Kosztuje to rocznie dokładnie tyle samo ile SMSy autoryzacyjne w mBanku.

Proszę podać sposób w jaki da się mnie okraść?

Przypominam, że hasło z tokena działa wyłącznie na oryginalnej stronie banku i służy do zalogowania się na koncie.

Internauci wściekli na Allegro. "Wymuszają podawanie loginów i haseł do kont bankowych" | Subiektywnie o finansach - Maciej Samcik

[…] Czytaj też: Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta bankowego! […]

Patryk

Ja ogólnie też na OLX się przejechałem bo zamówiłem telefon zapłaciłem przelewem i przyszło same pudełko nie szło tego wgl udowodnić nie polecam serwisu OLX jedynie odbiór osobisty bo tam dużo ludzi kradnie. Na allegro mamy POK który nas jeszcze może uratować.

@Patryk: jeśli znasz kogokolwiek komu skutecznie udało się skorzystać z POK Allegro, to jesteś szczęściarzem;-)

pajacyk_123

Reply to Nerkofil

Ale w czym problem? POK działa(ł), a że skorzystanie z niego w przypadku małych kwot mija się z celem (przez konieczność zgłoszenia oszustwa na policji) to inna sprawa.

Pawel.jarczyk@gmail.com

Działa pok. Korzystałem trzy razy w życiu zawsze pozytywnie. Piszesz jakbys nigdy nie korzystał z niego. Wizyta na policji, wypełnienie formularza, przesłanie informacji o rozpoczęciu śledztwa i kasa na koncie. Max 30-45dni

Michal

Reply to Pawel.jarczyk@gmail.com

To po co POK? Ja zgłaszałem na policję i wystarczyło.

WC Complex

Dlatego najlepiej korzystać w weryfikacji dwuetapowej. Do autoryzacji płatności używam wyłącznie tokena. Kosztuje to rocznie dokładnie tyle samo ile SMSy autoryzacyjne w mBanku.

personal injury lawyer NJ

Can I just say what a reduction to seek out someone who really knows what theyre speaking about on the internet. You undoubtedly know learn how to convey a problem to mild and make it important. More people have to learn this and understand this side of the story. I cant consider youre not more common since you definitely have the gift.

den pha led

Your house is valueble for me. Thanks!…

bong nhoi goi

I used to be more than happy to search out this web-site.I wanted to thanks to your time for this glorious learn!! I definitely enjoying each little little bit of it and I’ve you bookmarked to take a look at new stuff you blog post.

gia dong ho sapphire

you have an amazing blog here! would you like to make some invite posts on my weblog?

mua ban nha dat

I found your weblog website on google and verify a number of of your early posts. Continue to keep up the superb operate. I simply extra up your RSS feed to my MSN News Reader. In search of ahead to studying extra from you in a while!…

tu vi

WONDERFUL Post.thanks for share..extra wait .. …

thung xop moi

After I originally commented I clicked the -Notify me when new comments are added- checkbox and now every time a comment is added I get four emails with the identical comment. Is there any means you may take away me from that service? Thanks!

otomatis like 24 jam

A formidable share, I simply given this onto a colleague who was doing slightly analysis on this. And he in fact purchased me breakfast as a result of I discovered it for him.. smile. So let me reword that: Thnx for the deal with! However yeah Thnkx for spending the time to discuss this, I really feel strongly about it and love reading extra on this topic. If possible, as you grow to be experience, would you mind updating your blog with extra details? It’s extremely useful for me. Big thumb up for this blog put up!

curso de maquiagem profissional online

Aw, this was a very nice post. In idea I wish to put in writing like this moreover – taking time and actual effort to make a very good article… however what can I say… I procrastinate alot and in no way appear to get one thing done.

Adam

Bardzo dobry wpis i pouczający, moim zdaniem ludzie nie zdają sobie sprawy z tego jak łatwo idzie włamać się komuś na konto tym bardzie jak większość po wyskoczeniu okienka z informacją go nie czytają

check this out

This is the proper blog for anybody who needs to find out about this topic. You notice so much its virtually laborious to argue with you (not that I truly would need…HaHa). You positively put a new spin on a subject thats been written about for years. Nice stuff, simply great!

Zobacz również:

Subiektywny newsletter