6 września 2017

Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta. Jak to możliwe?

Sposobów na okradanie nas w internecie jest mnóstwo, ale stosunkowo najlepiej ostatnio działają te, które pozornie nie mają nic wspólnego z bankowością internetową. O tym, że nie wolno reagować na żadne prośby o zalogowanie się do konta bankowego, podanie numeru telefonu, hasła jednorazowego lub jakiegokolwiek identyfikatora do banku – wiadomo. Z phishingiem spotkała się już większość posiadaczy kont bankowych i generalnie już potrafimy „odstrzeliwać” cwaniaków podszywających się pod bank.

Wciąż natomiast brakuje nam czujności w sytuacjach, w których złodziej nie pojawia się w okolicach naszego konta bankowego, tylko pozornie w dość niegroźnych okolicach. Pamiętacie wirusa, który grasuje na Facebooku? Wystarczy, że ktoś przejmie facebookowe konto Twojego znajomego i już możesz mieć problem.

Złodziej w imieniu znajomego – i na jego „twarz” – poprosi o pożyczenie 2 zł na kawę (bo zabrakło) i poda link do serwisu z płatnościami. Kto by nie chciał pomóc koledze? Link oczywiście jest „lewy”, a wszystko co wpisujemy na ekranie trafia do złodziei. Zamiast pożyczyć koledze 2 zł dajemy złodziejowi całe saldo konta.

Czytaj: Publiczne wi-fi, czyli brama dla złodziei naszych pieniędzy. Podłączasz się czasem? Jak się ochronić?

Czytaj też: Jak nie dać się okraść z pieniędzy na koncie przez Facebooka metodą “na wnuczka”? Ostrzegam!

Ten złodziejski patent ma również inną wersję. Na portalach aukcyjnych lub ogłoszeniowych – OLX, Allegro czy nnych – pojawiają się fałszywi sprzedający, którzy oferują przedmioty po dość atrakcyjnych cenach. Często mają ustaloną renomę i pozytywne komentarze. Kupujesz u takiego delikwenta, a potem… posłuchajcie:

„Żona robiła zakup na OLX i jako sposób płatności ktoś wysłał jej linka do serwisu Dotpay. Żona dwa razy robiła niby-przelew, który nie dotarł do celu (taki w każdym razie pojawił się komunikat na ekranie), za to rano okazało się, że nasze konto bankowe jest puste i karta kredytowa przypięta do konta też wyczyszczona do dna. Straty w sumie przekroczyły 6500 zł. Bank umywa ręce, bo żona odebrała SMS autoryzacyjny i potwierdziła transakcję. Sprawa jest zgłoszona na policję, ale wątpię w jej skuteczność. Da się cokolwiek ugrać?”

– pyta pan Marcin. Sytuacja jest dość beznadziejna, bowiem żona mojego czytelnika popełniła kilka błędów, które pozwalają zepchnąć odpowiedzialność z banku. Po pierwsze kliknęła w podesłany przez kogoś link do systemu pośredniczącego w płatnościach. Tymczasem przy jakiejkolwiek płatności to my sami musimy inicjować proces – albo wpisując adres strony swojego banku „z ręki” (jeśli np. chcemy zapłacić za coś zwykłym przelewem bankowym) albo klikając „kupuję”.

Wtedy platforma aukcyjna lub portal ogłoszeniowy przenoszą nas stronę płatności, która jest częścią platformy aukcyjnej lub ogłoszeniowej. W tym przypadku złodziej skontaktował się z klientką i podesłał jej e-mailem (lub wiadomością wewnątrz platformy ogłoszeniowej) „swój” link „do płatności”. Trzeba mieć świadomość, że każdy podesłany nam e-mailem link może być fałszywy, kierować na stronę tylko podobną do systemu płatności.

Potem jednak nastąpił błąd jeszcze gorszy. Jak już żona pana Marcina kliknęła w link, który prowadził do fałszywej strony, to złodzieje mogli coś-tam sobie w tym koncie pogrzebać, ale na koniec każda transakcja wymaga potwierdzenia SMS-em autoryzacyjnym, który przyszedł na telefon żony czytelnika.

Złodziejom była potrzebna zgoda na zdefiniowanie ich konta jako zaufanego (żeby potem mogli przesłać sobie pieniądze z konta i z karty pechowej klientki). I o tym właśnie był SMS autoryzacyjny. Gdyby żona pana Marcina go przeczytała, to by powzięła podejrzenia i nie straciłaby pieniędzy.

Czytaj też: Wirus zaatakuje cię na smartfonie. Gdy będziesz chciał/a wejść do aplikacji bankowej…

Bank umywa ręce i ma pretekst, żeby tak się zachować. Gdyby klientka miała jakiś punkt zaczepienia w postaci niewystarczająco skutecznych zasad zabezpieczeń w banku (np. gdyby treść SMS-ów autoryzacyjnych była niepełna lub niejednoznaczna, gdyby bank nie oferował alternatywnego sposobu zabezpieczania transakcji poprzez aplikację mobilną), to byłby cień szansy. Ale klikanie w „lewe” linki i zatwierdzanie transakcji bez upewnienia się czy dotyczą tego, czego mają dotyczyć… tego się nie wybacza.

W nieco podobnej sytuacji oburzyłem się na nieczułość banku, gdy mowa była o starszej pani, która konto internetowe w banku ma, ale tylko dlatego, że już jej nie stać na „normalne”. W przypadku osób z ery analogowej, które nie zostały przez bank ani przygotowane, ani przeszkolone z zasad bezpieczeństwa, byłbym skłonny żądać od bankowców taryfy ulgowej. Ale nie możemy całkiem zdjąć odpowiedzialności za błędy z klientów. Warto mieć w głowie dwie ważne rzeczy: nie klikamy w żadne linki do płatności oraz czytamy uważnie SMSy autoryzacyjne.

Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku

Czytaj teżWyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi?

Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze

źródło obrazka tytułowego: Pixabay.com

 

79
Dodaj komentarz

avatar
69 Comment threads
10 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
73 Comment authors
see moreclick heresee moresee moreTRAP Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Lolca
Gość
Lolca

Nie da się nie klikać w „linki od płatności”. Chyba, że nie będziemy w ogóle kupować nic przez internet. W każdym sklepie internetowym, na Allegro, nawet w banku gdy poprzez niego chcemy kupić doładowanie do telefonu, każdy jeden guziczek „Zapłać” jest tak naprawdę „linkiem do płatności”. Rozumiem, że poprzez „link do płatności” miał Pan na myśli coś w formie tekstowej, podesłane nam przez oszusta i prowadzącego do podrobionej strony banku czy pośrednika płatności. Nic nie stoi jednak na przeszkodzie (ok, są zabezpieczenia, raz lepsze, raz gorsze) by oszust-haker podmienił pod guziczkami „Zapłać” liki na stronie jakiegoś sklepu czy portalu aukcyjnego.… Czytaj więcej »

Don Quijote de la Mancha
Gość
Don Quijote de la Mancha

O, ktoś mnie ubiegł, też miałem napisać, że czepianie się, że ktoś kliknął w pay-by-link jest absurdalne, bo z definicji tak właśnie się tym płaci. Inna rzecz, że nie wiem, jak to działa na OLX i nie wiem, skąd ten link się w tym przypadku wziął, bo jeśli z mejla (może jeszcze od nadawcy typu tanisprzedawca@gmail.com), to rzeczywiście klikanie w taki było głupie…

Tom36
Gość
Tom36

Z tego co pamiętam na Olx nigdy się nie wysyła komukolwiek pieniędzy. A towar do innego miasta tylko za pobraniem. Ale może mało wiem…Pozdrawiam.

Michał
Gość
Michał

Od dawna płacą mi przelew i wysyłam na OLX. Wszystko zależy od portalu i zgłoszenia na policję. Do OLX podaje się nr telefonu, który jest zarejestrowany.

Gie
Gość
Gie

Mam nadzieję że PayU na Allegro nie da się oszukać? Tam klikam Płacę i przenosi mnie na stronę banku. Wpisuję login, hasło. Rzucam okiem czy wszystko OK, przychodzi SMS, znowu rzucam okiem, przepisuję kod i po wylogowaniu wracam na Allegro. Przy takiej płatności chyba raczej nie ma ryzyka oszustwa? Chyba tylko gdybym miał jakiegoś trojana.

ml
Gość

Gie, PayU nie da się oszukać, PayU przeniesie Cię na stronę banku. Natomiast da się oszukać człowieka i napisać mu „masz tu link do PayU” który w rzeczywistości kieruje na stronę która tylko wygląda jak PayU

Don Quijote de la Mancha
Gość
Don Quijote de la Mancha

Oprócz czytania treści sms autoryzacyjnych zalecam także sprawdzanie certyfikatu EV – to jeden rzut okiem (czy w przeglądarce obok kłódki pojawia się zielona nazwa instytucji). Zarówno serwisy transakcyjne banków, jak i operatorów płatności typu PayU czy Dotpay powinny takie mieć, jeśli nie mają, to należy z ich usług zrezygnować. Piszę to z pełna świadomością i czekam na pozew od Inbank Polska… ?

dfff
Gość
dfff

A co z tym Inbankiem nie tak. Certyfikat jak w każdym innym banku.
natomiast kupowanie czegokolwiek na olx i przelwanie kasy to jakaś głupota. kiedyś tak tam kupowałem jeszcze przed inwazją oszustów na ten portal. teraz – nie ma mowy. jeśli chce cos tak sprzedać to najpierw przelew weryfikacyjny na moje konto z danymi posiadacza. I tak to nie zabezpieczy transakcji więc tak czysiak – nie kupuję na OLX

Don Quijote de la Mancha
Gość
Don Quijote de la Mancha

„A co z tym Inbankiem nie tak. Certyfikat jak w każdym innym banku.” — ŁŻESZ.

O co chodzi z certyfikatem EV opisałem w poprzednim komentarzu (czy w przeglądarce obok kłódki pojawia się zielona nazwa instytucji). Niebywałe, że Inbank zamiast kupić odpowiedni certyfikat woli w komentarzach bezczelnie kłamać, że ma „certyfikat jak w każdym innym banku” (bo na pewno powyższy komentarz wpisałeś na zlecenie tego banku, nie wierzę, by ktoś mógł być aż takim idiotą, żeby nie rozumieć pojęcia „zielona nazwa instytucji”).

Nerkofil
Gość
Nerkofil

Najbezpieczniejsza była by opcja WYŁĄCZENIA mozliwosci zdefiniowania przelewu zaufanego lub ograniczenia tej czynnosci tylko do oddzialu banku.

To kolejny raz kiedy banki pod pozorem naszej wygodny drastycznie obniżają poziom zabezpieczenia naszych pieniędzy!

Jak długo banki wzbraniały się przed możliwością WYŁĄCZENIA funkcji zbliżeniowej w kartach płatniczych?
A dziś 80% klientów placac kilka zl na komunikat „zbliż kartę” wklada ja do terminalu i wstukuje PIN.

Nerkofil
Gość
Nerkofil

BTW, do autoryzacji płatności używam wyłącznie tokena. Kosztuje to rocznie dokładnie tyle samo ile SMSy autoryzacyjne w mBanku.

Proszę podać sposób w jaki da się mnie okraść?

Przypominam, że hasło z tokena działa wyłącznie na oryginalnej stronie banku i służy do zalogowania się na koncie.

trackback

[…] Czytaj też: Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta bankowego! […]

Patryk
Gość

Ja ogólnie też na OLX się przejechałem bo zamówiłem telefon zapłaciłem przelewem i przyszło same pudełko nie szło tego wgl udowodnić nie polecam serwisu OLX jedynie odbiór osobisty bo tam dużo ludzi kradnie. Na allegro mamy POK który nas jeszcze może uratować.

Nerkofil
Gość
Nerkofil

@Patryk: jeśli znasz kogokolwiek komu skutecznie udało się skorzystać z POK Allegro, to jesteś szczęściarzem;-)

pajacyk_123
Gość
pajacyk_123

Ale w czym problem? POK działa(ł), a że skorzystanie z niego w przypadku małych kwot mija się z celem (przez konieczność zgłoszenia oszustwa na policji) to inna sprawa.

Pawel.jarczyk@gmail.com
Gość
Pawel.jarczyk@gmail.com

Działa pok. Korzystałem trzy razy w życiu zawsze pozytywnie. Piszesz jakbys nigdy nie korzystał z niego. Wizyta na policji, wypełnienie formularza, przesłanie informacji o rozpoczęciu śledztwa i kasa na koncie. Max 30-45dni

Michal
Gość
Michal

To po co POK? Ja zgłaszałem na policję i wystarczyło.

WC Complex
Gość

Dlatego najlepiej korzystać w weryfikacji dwuetapowej. Do autoryzacji płatności używam wyłącznie tokena. Kosztuje to rocznie dokładnie tyle samo ile SMSy autoryzacyjne w mBanku.

personal injury lawyer NJ
Gość

Can I just say what a reduction to seek out someone who really knows what theyre speaking about on the internet. You undoubtedly know learn how to convey a problem to mild and make it important. More people have to learn this and understand this side of the story. I cant consider youre not more common since you definitely have the gift.

den pha led
Gość

Your house is valueble for me. Thanks!…

bong nhoi goi
Gość

I used to be more than happy to search out this web-site.I wanted to thanks to your time for this glorious learn!! I definitely enjoying each little little bit of it and I’ve you bookmarked to take a look at new stuff you blog post.

gia dong ho sapphire
Gość

you have an amazing blog here! would you like to make some invite posts on my weblog?

mua ban nha dat
Gość

I found your weblog website on google and verify a number of of your early posts. Continue to keep up the superb operate. I simply extra up your RSS feed to my MSN News Reader. In search of ahead to studying extra from you in a while!…

tu vi
Gość

WONDERFUL Post.thanks for share..extra wait .. …

thung xop moi
Gość

After I originally commented I clicked the -Notify me when new comments are added- checkbox and now every time a comment is added I get four emails with the identical comment. Is there any means you may take away me from that service? Thanks!

otomatis like 24 jam
Gość

A formidable share, I simply given this onto a colleague who was doing slightly analysis on this. And he in fact purchased me breakfast as a result of I discovered it for him.. smile. So let me reword that: Thnx for the deal with! However yeah Thnkx for spending the time to discuss this, I really feel strongly about it and love reading extra on this topic. If possible, as you grow to be experience, would you mind updating your blog with extra details? It’s extremely useful for me. Big thumb up for this blog put up!

curso de maquiagem profissional online
Gość

Aw, this was a very nice post. In idea I wish to put in writing like this moreover – taking time and actual effort to make a very good article… however what can I say… I procrastinate alot and in no way appear to get one thing done.

Adam
Gość

Bardzo dobry wpis i pouczający, moim zdaniem ludzie nie zdają sobie sprawy z tego jak łatwo idzie włamać się komuś na konto tym bardzie jak większość po wyskoczeniu okienka z informacją go nie czytają

check this out
Gość

This is the proper blog for anybody who needs to find out about this topic. You notice so much its virtually laborious to argue with you (not that I truly would need…HaHa). You positively put a new spin on a subject thats been written about for years. Nice stuff, simply great!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany