Kolejny wariant oszustwa internetowego, którego ofiarami padają użytkownicy popularnych platform olx czy Vinted. Przede wszystkim ci, którzy wystawiają przedmioty do sprzedaży. Czytelnicy „Subiektywnie o Finansach” ostrzegają, że łatwo dać się nabrać. Niektórzy z czytelników niestety już stracili grube tysiące… Nie róbcie tego!
O tym, że platformy ogłoszeniowe – takie jak olx czy Vinted – są wymarzonym miejscem do oszukiwania ludzi, było już na „Subiektywnie o Finansach” nie raz i nie dwa. Wszystko przez to, że ich rola ogranicza się do bycia „słupem ogłoszeniowym”. Nikt tu nie weryfikuje sprzedawców ani nabywców, nie ma obligatoryjnej płatności poprzez platformę (choć np. olx wprowadziło jakiś czas temu opcję „Przesyłka olx”). Trzeba bardzo uważać.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Bardzo często są w takich miejscach próby wyłudzenia pieniędzy. Kontrahent dla ułatwienia przesyła „link do płatności”, a my – klikając weń – trafiamy na fałszywą stronę, która zbiera nasze dane i dzięki której złodzieje mogą wejść na nasze konto bankowe i ukraść wszystkie pieniądze. Platformy ostrzegają, by nie klikać w żadne linki podesłane przez kontrahenta – bezpieczniejsza (choć nie tak szybka) jest płatność przelewem bankowym.
Czytaj też: Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta. Jak to możliwe?
Nowy wariant oszustwa internetowego. Sprzedajesz na olx albo Vinted? Uważaj!
Wygląda na to, że pojawił się właśnie nowy wariant tego oszustwa. Jeden z czytelników opowiada, jak próbowano go oszukać. Gdyby się to udało – mógłby stracić dziesiątki tysięcy złotych ze swojego rachunku bankowego:
„Wystawiam przedmiot na olx. Po minucie dostaję wiadomość na WhatsApp od Hani. Hania chciałaby zamówić dostawę kurierem DPD. I pokrywa koszty wysyłki. Dostaję link do fałszywej strony DPD. Po kliknięciu na link pojawia się fałszywa strona DPD z banerem: „Otrzymaj płatność”. Klikam na baner, który prowadzi do kolejnej strony, na której są logotypy różnych banków. To podróbka bramki płatności. Wybieram logo swojego banku, przechodzę na kolejną stronę, która każe podać login do rachunku bankowego, hasło, PESEL, imię panieńskie matki i PIN do karty”
– pisze czytelnik. Wszystko podejrzane, ale jak ktoś chce już za pięć minut dostać pieniądze i jest mało ogarnięty, to wpisze swoje dane i odda złodziejom dostęp do wszystkich swoich pieniędzy. Bo te dane złodzieje wykorzystują do wjazdu na konto ofiary, definiują przelew na swoje konto, a klient dostaje SMS autoryzacyjny. W pośpiechu zatwierdza przelew, nie widząc, że zleca transfer wszystkich swoich pieniędzy na konto złodzieja.
Niestety zgłaszają się do Ekipy „Subiektywnie o Finansach” osoby, które zostały w ten sposób okradzione. Wygląda więc na to, że patent jest wielkoskalową akcją, która ma dotknąć miliony osób, z których tysiące – albo setki – mogą dać się nabrać.
„Piszę do Pana, ponieważ padłam ofiarą oszustwa, korzystając z aplikacji Vinted. Skradziono mi z konta bankowego pieniądze. Zaczęło się od tego, że wystawiłam ubrania na platformie, gdzie po chwili odezwało się kilkanaście osób (oszustów), rzekomo zainteresowanych kupnem produktu. Oszuści wiedzieli, że jestem nowym użytkownikiem, dlatego też przyjęli taktykę kilkunastu osób zainteresowanych produktem, z których każdy prosił o e-mail lub numer telefonu”
– pisze pani Iza. Podała e-mail, a w odpowiedzi przyszły oczywiście linki, które miały ułatwić skonfigurowanie wysyłki na koszt kupującego.
„Weszłam w jeden z linków, zostałam przekierowana do fałszywej strony firmy kurierskiej DPD, gdzie miałam zatwierdzić sprzedaż, po czym przekierowano mnie do fałszywej strony mojego banku. Po jakimś czasie dostałam telefon od kobiety, która była rzekomo konsultantką Vinted, mówiła łamaną polszczyzną, prawdopodobnie była to Ukrainka. Dzwoniła, bo chciała potwierdzić zakup i skontaktować się z bankiem w celu potwierdzenia mojej tożsamości”
– opowiada czytelniczka. Żadnych swoich danych nie podała, ale po pewnym czasie w aplikacji mobilnej banku dostała powiadomienie dotyczące zatwierdzenia transakcji w kwocie zero złotych, którą potwierdziła.
„Jestem pewna, że w tamtym momencie wszystkie pieniądze były jeszcze na moim koncie, ponieważ odświeżałam aplikację w celu sprawdzenia, czy wszystko jest w porządku”
– mówi pani Iza. Za godzinę z konta zniknęły wszystkie pieniądze (2000 zł). Czytelniczka natychmiast zadzwoniła na infolinię swojego banku i poprosiła o anulowanie transakcji. Niestety konsultant na infolinii mBanku, nawet nie weryfikując tożsamości pani Izy, odpowiedział negatywnie. Nie znał sprawy, nie wiedział, co to był za przelew, nie wiedział, czy już został wypuszczony z banku sesją systemu Elixir, ale i tak oświadczył, że nie ma możliwości cofnięcia przelewu.
Czy bank mógł zatrzymać złodziejski przelew?
Pani Iza dowiedziała się tylko, że w związku z jej zgłoszeniem została zablokowana jej aplikacja i karta. Złożyła reklamację, ale została przez bank odrzucona (prawidłowa autoryzacja wszystkich operacji).
„Ja przecież potwierdziłam tylko transakcje zerową! Oczywiście przyznaję się do błędu, ale myślę, że większość ludzi na pierwszy rzut oka miałoby problemy z odróżnieniem oryginalnej strony swojego banku od fałszywej. O jakiej autoryzacji mówimy, kiedy doszło do oszustwa? Przecież ja, jako ofiara, nie byłam świadoma tego, co się stało. Dlaczego banki nie biorą odpowiedzialności za te wszystkie hakerskie zagrania?”
Pani Iza pyta, jak odzyskać stracone pieniądze. I czy faktycznie jest tak, że nie ma już takiej możliwości?
„Wiem, że dla kogoś ta suma może być stosunkowo niewielka. Ale ja? Jestem studentką, pracuję dorywczo i dla mnie nawet te 2000 zł to spora kwota.”
Prawdopodobnie czytelniczka na fałszywej stronie DPD, a potem w fałszywej bramce płatniczej podała wystarczająco dużo danych, by złodzieje nie tylko dostali się na konto, ale „odpięli” jej telefon od aplikacji i przypięli urządzenie złodzieja. Chyba to była ta „zerowa” transakcja, którą zatwierdziła klientka.
Czy można coś jeszcze zrobić? Obawiam się, że nie. Pieniądze już z banku wypłynęły (gdyby człowiek na infolinii nie był niemotą, może dałoby się je jeszcze zatrzymać), zapewne konto, na które zostały przelane, jest kontem „na słupa”, więc do złodzieja nie da się łatwo dotrzeć. Najpewniej kasa od razu została z tamtego konta wypłacona w bankomacie. Można mieć do banku pretensję, że nie pomógł w pierwszych minutach po kradzieży. I że nikt do klientki nie zadzwonił upewnić się, czy to ona odpina telefon od aplikacji mobilnej.
Czytaj też o tym, czy da się zatrzymać taki przelew: Odwołanie przelewu, w którym popełniliśmy błąd? „Nie da się, niemożliwe” – mówią w bankach. Czy receptą może być usługa, którą zaproponował jeden z banków?
To niejedyny przypadek udanej kradzieży. Ostatnio czytałem w serwisie PAP, że 23-latka z Wielkopolski chciała sprzedać ubrania w internecie, a dała się podejść oszustom tak skutecznie, że z jej konta bankowego zniknęło 10 000 zł.
„Za pośrednictwem komunikatora portalu ogłoszeniowego skontaktowała się z nią osoba, która zadeklarowała chęć kupna wystawionego przedmiotu wraz z przesyłką. W jednej z wiadomości wysłała kobiecie link, który odesłał ją do logowania do bankowości elektronicznej. Okazało się, że umożliwiła oszustom wejście na jej rachunek bankowy, gdzie od razu zostało wykonanych kilka przelewów oraz wypłacono gotówkę przy użyciu kodu BLIK”
– podała policja. Jak się nie dać okraść? Pamiętajcie, nie klikamy w żadne linki, które wysyłają do nas nieznajomi! Jak ktoś chce zapłacić, to niech wysyła tradycyjny przelew. Naciskanie na błyskawiczną realizację transakcji to często wstęp do oszustwa internetowego. Jeśli chcemy wejść na stronę naszego banku, to też samodzielnie wpisujemy adres w okienku przeglądarki, nigdy nie wchodzimy przez żaden link!
BIK ostrzega: może się zbliżać fala wyłudzeń
Ostatnio z badań BIK wyszło, że trzy czwarte Polaków nie potrafi rozpoznać linku, który powinien wzbudzić podejrzenia. Analitycy BIK ostrzegają, że kryzys gospodarczy zwykle pociąga za sobą duży skok liczby wyłudzeń i innego rodzaju oszustw. I że właśnie to zaczyna się dziać w Polsce.
Oszuści podsuwają ofiarom aplikacje. Nie wolno ich pobierać i instalować. Pojawiają się przekierowania na fałszywą stronę internetową banku, wysyłają e-maile i SMS-y o rzekomej wygranej czy niezapłaconej fakturze – to działania, których celem jest zwykle skłonienie ofiary do kliknięcia w link umożliwiający kradzież pieniędzy lub danych.
Eksperci BIK zwracają uwagę, że coraz popularniejszy wśród cyberprzestępców staje się tzw. vishing. To wszelkiego rodzaju próby manipulacji, podczas których oszuści np. podczas rozmowy telefonicznej podszywają się zarówno pod numer infolinii danej firmy, jak również pod pracownika banku, przedstawiciela firmy inwestycyjnej czy policjanta.
„Cyberprzestępcy odchodzą̨ od typowych ataków hakerskich, które były ich domeną jeszcze kilka lat temu. Dziś stawiają̨ na manipulację, by ofiara sama udostępniła im dane, które następnie umożliwią kradzież oszczędności czy zaciągnięcie zobowiązania na cudzą tożsamość”
– ostrzegł ostatnio Bartosz Wójcicki z BIK. I opowiedział, że jednym ze sposobów na oszustwo jest np. skłonienie ofiary do samodzielnego uruchomienia na komputerze bądź smartfonie aplikacji, za pomocą której można obserwować pulpit urządzenia ofiary i z łatwością odczytać loginy i hasła, a nawet przejąć kontrolę nad urządzeniem.
BIK zwraca uwagę na niewielką wiedzę Polaków na temat skutków kradzieży danych jako wrót do oszustwa internetowego i utraty pieniędzy. Na pytanie o możliwe konsekwencje takiego zdarzenia 18% respondentów odpowiedziało: „nie wiem”, a 16% posługiwało się ogólnymi stwierdzeniami, jak np. „dużo złego”. W quizie o cyberbezpieczeństwie aż 75% ankietowanych nie potrafiło wskazać linku, który powinien wzbudzić niepokój i którego nie należy otwierać. A takie linki to dziś najważniejszy instrument oszustwa internetowego!
Poniżej rady BIK dotyczące bezpiecznego funkcjonowania w interencie. Zgadzam się z tym w całej rozciągłości, więc cytuję:
>>> Nie instaluj oprogramowania lub aplikacji pod wpływem rozmowy z rzekomym pracownikiem banku czy policjantem,
>>> Używaj programów antywirusowych i nie wyłączaj ich na prośbę nieznanych ci osób,
>>> Nie otwieraj linków z niezweryfikowanego źródła,
>>> Nie ufaj prośbom od znajomego, który za pośrednictwem mediów społecznościowych prosi Cię o pieniądze lub kod BLIK. Najpewniej doszło do włamania na jego profil,
>>> Stosuj mocne hasła do logowania,
>>> Jeśli nie możesz zapamiętać haseł, używaj programów-managerów haseł,
>>> Korzystaj z 2FA (weryfikacji dwuskładnikowej przy logowaniu do skrzynki e-mail i innych cenny miejsc np. za pomocą SMS),
>>> Miej aktywne Alerty BIK. Przez SMS lub e-mail szybko dowiesz się o możliwej próbie wyłudzenia kredytu na Twoje dane.
zdjęcie tytułowe: Sammy Sander/Pixabay
