Coraz więcej osób decyduje się na zakupy online, rezygnując z wizyt w sklepach stacjonarnych. Przemawia za tym przede wszystkim szeroka dostępność produktów, atrakcyjne ceny oraz różnorodne opcje płatności i dostawy. Dodatkowo wielu internautów korzysta z programów lojalnościowych, które oferują usługę cashback – czyli zwrot części wydanych pieniędzy – co pozwala im realnie oszczędzać robiąc zakupy w sieci.
A co, jeżeli to rząd zaproponuje taki program zwrotu pieniędzy za zakupy online? Czy można zaufać takiej ofercie?
Fałszywa reklama w serwisie społecznościowym Facebook
Informacje o rzekomym rządowym programie zwrotu pieniędzy za zakupy online były rozpowszechniane za pośrednictwem reklam w mediach społecznościowych. Z przekazu wynikało, iż w ramach tego programu każdy obywatel Polski może otrzymać zwrot w wysokości od 5 000 do 18 700 zł.
Po kliknięciu w reklamę następowało przejście do fałszywej strony podszywającej się pod serwis rządowy.
Fałszywa strona rządowa
Hakerzy tworzą witryny imitujące oficjalne strony administracji publicznej, licząc na zaufanie obywateli do instytucji państwowych. W swoich działaniach wykorzystują symbole państwowe, powagę urzędów i bieżące tematy społeczne, by zdobyć dane użytkowników internetu. W opisywanym przypadku, oszuści w imieniu rządu, obiecywali rekompensatę pieniężną za poniesione koszty w związku z zakupem towarów wyprodukowanych za granicą. Po przejściu na fałszywą stronę, użytkownik już w pierwszym kroku proszony jest o podanie imienia i nazwiska oraz ostatnich ośmiu cyfr swojej karty płatniczej.
Po kliknięciu w przycisk „SPRAWDŹ SWOJE WYNAGRODZENIE” rozpoczyna się pozorna weryfikacja, polegająca na przeszukiwaniu baz danych VAT gov.pl, w celu rzekomego ustalenia wysokości należnego odszkodowania.
Po zakończeniu tego fikcyjnego procesu, który trwa kilkanaście sekund, a wyliczana w tym czasie kwota rośnie, użytkownikowi ukazuje się ostateczna kwota odszkodowania. W tym przypadku (jak i prawdopodobnie w każdym innym), wynosi ona aż ponad 12 tysięcy złotych. Dodatkowo, wyświetlany jest komunikat, iż aby uzyskać wypłatę, należy skontaktować się z prawnikiem, dostępnym poprzez czat na wskazanej fałszywej stronie.
Kliknięcie w przycisk „Kontakt z prawnikiem w celu uzyskania zapłaty” uruchamia wewnętrzny czat, na którym po chwili pojawia się rzekomy prawnik reprezentujący „Centrum Odszkodowań gov.pl”. To fikcyjna jednostka stworzona na potrzeby oszustwa. W aktywnej korespondencji z prawnikiem pojawia się pytanie, czy użytkownik kiedykolwiek wcześniej otrzymał odszkodowanie za pośrednictwem tej strony, czy to jego pierwsza próba.
Niezależnie od udzielonej odpowiedzi, rozpoczyna się tzw. „weryfikacja profilu”. Po krótkiej chwili użytkownik otrzymuje potwierdzenie, iż jest uprawniony do otrzymania wcześniej rzekomo wyliczonej kwoty odszkodowania w wysokości ponad 12 tysięcy złotych.
W aktywnym oknie czatu, po kliknięciu w przycisk „Przejdź do wypełniania kwestionariusza” wyświetla się formularz, w którym należy podać takie dane jak: imię i nazwisko, data urodzenia, płeć oraz numer karty płatniczej.
Po jego wypełnieniu i kliknięciu przycisku „Zapisz i wyślij kwestionariusz do prawnika”, pojawia się podsumowanie. Użytkownik zostaje poinformowany, iż aby otrzymać rekompensatę, wymagane jest potwierdzenie posiadania karty płatniczej. W tym celu należy dokonać tzw. wpłaty autoryzacyjnej w wysokości 1 zł, pod pretekstem umożliwienia przekazania odszkodowania w kwocie 12 116 zł.
Kliknięcie w przycisk „Autoryzuj 1 zł i otrzymaj płatność” przekierowuje użytkownika na fałszywą stronę podszywającą się pod system płatniczy Stripe. Warto podkreślić, iż autoryzacja płatności na symboliczną kwotę (np. 1 zł) to legalna i powszechnie stosowana praktyka wykorzystywana przez banki, instytucje finansowe oraz operatorów płatności. Służy ona do weryfikacji tożsamości użytkownika i potwierdzenia, iż jest on właścicielem danej karty lub konta bankowego. Oszuści celowo wykorzystują ten znany mechanizm, aby uwiarygodnić swój przekaz i zyskać zaufanie użytkowników.
Na fałszywej stronie dochodzi do wyłudzania danych karty płatniczej, które mogą zostać wykorzystane do zakupów online, opłacania subskrypcji lub wynajmu sprzętu elektronicznego bądź samochodów – często bez wiedzy i zgody właściciela karty.
Jak zachować ostrożność w podobnych sytuacjach?
- Zawsze weryfikuj adres URL strony. Obecność frazy „gov.pl” w nazwie lub wygląd przypominający stronę rządową (np. godło, oficjalne nazwy) nie gwarantują, iż strona jest autentyczna.
- Zachowaj spokój i nie działaj pod presją. Dokładnie czytaj komunikaty wyświetlane na stronie i nie podejmuj decyzji pod wpływem emocji. Zaufanie do instytucji to dobra rzecz, ale w internecie nie może zastąpić ostrożności.
- Nie daj się zwieść pozorom profesjonalizmu. Fałszywa strona może zawierać szczegółowe informacje, takie jak kwoty odszkodowań, informacje o weryfikacji w bazach danych czy obecność „prawnika” dostępnego na czacie. Wszystko po to, aby sprawiać wrażenie wiarygodnego, oficjalnego serwisu.
- Pamiętaj – rząd nie wypłaca odszkodowań za zakupy online. Tego rodzaju oferty to próba wyłudzenia danych finansowych lub osobowych.
Podsumowanie
Każdego dnia możesz zetknąć się z kilkunastoma próbami oszustwa – część wygląda jak powyższy przykład, inne jak wiadomość od banku, ogłoszenie o pracę czy inwestycja życia.
To stale rozwijane kampanie, tworzone i udoskonalane dosłownie z godziny na godzinę. I nie będą się powtarzać. jeżeli coś przestaje działać, przestępcy nie tracą czasu, gwałtownie wdrażają nowe, bardziej przekonujące metody.
Dlatego dziś najważniejszą formą ochrony jest świadomość. To ona pozwala rozpoznać zagrożenie.
Właśnie tego uczymy w PREBYTES ACADEMY. To szkolenie online i skondensowana dawka wiedzy o aktualnych cyberzagrożeniach oraz praktyczne wskazówki, które mogą uchronić Ciebie lub Twoich pracowników przed utratą danych i życiowych oszczędności.
Klikasz codziennie. Naucz się rozpoznawać, w co nie warto. Praktyczna wiedza dostępna od ręki: PREBYTES ACADEMY.
