Serwisy takie jak Allegro Lokalnie, Facebook Marketplace czy OLX codziennie odwiedza duża liczba internautów szukających atrakcyjnych okazji z różnorodnego asortymentu produktów i usług. Nie umyka to uwadze cyberprzestępców, którzy już od przeszło dwóch lat (prekursorem w tym niechlubnym zestawieniu był OLX) z powodzeniem wyłudzają dane logowania do bankowości oraz kart płatniczych użytkowników wspomnianych serwisów. Oszustwo na OLX jest opisywane na naszym blogu już po raz kolejny. W dalszym ciągu mamy z nim do czynienia każdego dnia. Serwis ten przez cały czas jest na celowniku oszustów, bo wciąż duża liczba użytkowników nieświadomie daje się okraść. Z tego artykułu dowiesz się, czym jest to oszustwo, jak przebiega oraz co najważniejsze, jak się przed nim ustrzec.
Wykorzystanie Whatsapp w oszustwie na OLX
Za początek oszustw na wspomnianym już serwisie ogłoszeniowym można uznać moment, w którym to na OLX pojawiły się nowe usługi, a mianowicie przesyłki oraz płatności OLX. Dawały gwarancję, iż kupujący po opłaceniu towaru z góry na pewno go otrzyma, a sprzedający otrzyma zapłatę po odebraniu towaru przez zamawiającego. W przypadku gdy zamówienie było niezgodne z opisem, kupujący w prosty sposób mógł odzyskać wpłacone pieniądze. Do momentu uruchomienia wspomnianych usług kupujący i sprzedający musieli porozumieć się we własnym zakresie co do kwestii zapłaty i wysyłki towaru będącego przedmiotem transakcji. Jak widać, jest to bardzo przydatne rozwiązanie i pomaga w transakcjach w serwisie OLX.
Niestety usługa ta jest wykorzystywana także przez internetowych oszustów. Po pojawieniu się nowego ogłoszenia na portalu korzystając z zewnętrznych komunikatorów (przede wszystkim Whatsapp) kontaktują się ze sprzedającym składając mu fałszywą propozycję zakupu wystawionego przedmiotu. Oszust zadaje pytania dotyczące oferowanego przedmiotu, jednak od razu stwierdza, iż jest zainteresowany ofertą. Na poniższych zrzutach ekranu zamieszczone zostały fragmenty rozmowy sprzedającego z przestępcą.
W pierwszej kolejności oszust przesyła adres prawdziwego ogłoszenia w serwisie OLX z zapytaniem czy oferta jest aktualna oraz wyraża zainteresowanie zakupem.
OLX - oszustwo wykorzystujące marki Inpost, DPD, Poczta Polska
Zarówno za zakupiony towar, jak i za dostawę oszust deklaruje, iż zapłaci z góry za pośrednictwem OLX, ponadto nie negocjuje ostatecznej ceny. jeżeli sprzedający zgodzi się na te warunki, przestępca przesyła link do fałszywej strony operatora usług kurierskich. Najczęściej wykorzystywana jest marka InPost, ale także DPD, czy Poczta Polska (Pocztex).
Następnie oszust deklaruje, iż opłacił zamówienie i wystarczy przejść na przesłany adres strony. Podszywający się pod kupującego jest bardzo pomocny, podsyła link do strony (czasami innym kanałem niż WhatsApp, np. SMS'em bądź mailem), gdzie sprzedający może odebrać środki pieniężne oraz instruuje co należy wykonać.
Fałszywy link prowadzi do strony, która podszywa się pod markę InPost. Informacje na niej zawarte sugerują, iż sprzedawany przedmiot w serwisie OLX wraz z dostawą został opłacony przez kupującego (oszusta).
Jedyne co kupujący powinien wykonać, to odebrać środki za wystawiony przedmiot. Wszelkie potrzebne dane do wysyłki towaru cyberprzestępca podał na fałszywej stronie. Na pierwszy rzut oka są one bardzo wiarygodne.
Równie często oszuści wysyłają linki do fałszywych stron, które podszywają się pod serwis ogłoszeniowy OLX. Informacje znajdujące się na nich są zbliżone. W obydwóch przypadkach sprzedający jest proszony jedynie o odbiór środków za przedmiot.
Wyłudzenie pieniędzy na OLX
Adres strony oszust przesyła do sprzedającego pod pretekstem, iż w ten sposób może on odebrać pieniądze ze sprzedaży towaru. To pieniądze, które rzekomo oszust zapłacił poprzez usługę płatności OLX. Po kliknięciu w przycisk "Dalej" znajdujący się na fałszywych stronach użytkownik jest przekierowywany do panelu wyboru banku, gdzie może wskazać konto bankowe, na które chce otrzymać środki. Oczywiście jest to strona phishing, wybór określonej bankowości interentowej wiąże się z przejściem do fałszywego panelu logowania, gdzie wyłudzane są dane logowania. Poniżej przykładowe strony phishing kilku bankowości.
Po wprowadzeniu wskazanych danych i ich zatwierdzeniu wyświetlony zostaje komunikat, iż dana transakcja jest weryfikowana, a przecież użytkownik chciał się jedynie zalogować na konto, żeby odebrać środki.
Nieostrożnego sprzedającego chroni jeszcze wymóg autoryzacji transakcji. Po chwili wyświetla się okno do wprowadzenia jednorazowego kodu autoryzującego, który zostanie przesłany w wiadomości SMS. Oszust w tym momencie może potrzebować kodu np. do zalogowania się na konto bankowe sprzedawcy, jeżeli taka opcja weryfikacji jest aktywna.
W przypadku gdy weryfikacja odbywa się np. poprzez aplikację mobilną, kody autoryzujące SMS nie będą miały znaczenia. Oszust ostatecznie nie będzie mógł zautoryzować żadnej czynności dokonywanej na przechwyconym koncie bankowym. Cyberprzestępcy model działania opierają głównie na socjotechnice, licząc na chwilową nieostrożność i naiwność sprzedającego. Metoda jest na tyle skuteczna, iż chociaż oszustwa na OLX są znane już od dłuższego czasu to w dalszym ciągu znajdują się użytkownicy serwisu, którzy dają się oszukać.
Podejrzane strony internetowe, na których ujawniamy aktywne ataki phishing wykorzystywane w oszustwach na OLX są blokowane w BrowserWall DNS. To skuteczne zabezpieczenie sieci i ochrona przed phishingiem, które pomaga unikać zagrożeń w internecie.
Informacje o zagrożeniach w sieci dostępne są w CTI Feed. Baza danych o cyberatakach i zagrożeniach w sieci jest aktualizowana na bieżąco.
Zgłoszenie oszustwa OLX można dokonać poprzez formularz ZGŁOŚ INCYDENT. W przypadku, gdy poprzez serwis OLX zostały wyłudzone pieniądze najlepiej skontaktować się ze swoim bankiem oraz powiadomić odpowiednie służby.
Poniżej zamieszczamy zbiór porad i wytycznych, których należy przestrzegać, aby zapobiec wyłudzeniu pieniędzy z OLX.
Jak nie dać się oszukać wystawiając produkty w serwisie OLX
- Czytaj wiadomości SMS-y od swojego banku ze zrozumieniem. Zwróć uwagę na to, jaką operację autoryzujesz.
- Zapoznaj się z zasadami bezpieczeństwa swojego banku i stosuj się do nich podczas korzystania z portali ogłoszeniowych i aukcyjnych.
- Unikaj korespondowania z nieznanymi osobami (niedoszłymi klientami) poza platformą ogłoszeniową. Miej ograniczone zaufanie do potencjalnych kontrahentów.
- Dokonuj rozliczeń bezpośrednio przez dany portal. Unikaj pośrednich transakcji, szczególnie na nieznanych stronach, do których adresy są przesyłane poprzez wiadomości SMS, czy komunikatory, jak Whatsapp.
- Oszuści bez problemu mogą podrobić stronę portalu ogłoszeniowego – tak samo jak i każdą stronę dostawcy usług kurierskich. Zwracaj uwagę na adres widoczny w przeglądarce, czy jest on oryginalny.
- Zwróć uwagę na poprawność językową zawartości strony, na której przekazujesz dane logowania do bankowości internetowej bądź karty płatniczej. Fałszywe strony mogą zawierać błędy, są napisane niegramatycznie.
- Jeśli nie masz pewności co do oryginalności strony, na którą przechodzisz, szczególnie takiej gdzie jesteś proszony o newralgiczne dane, opuść ją natychmiast.
Co zrobić, gdy już zostaniesz oszukany?
- Należy bezzwłocznie skontaktować się ze swoim Bankiem poprzez oficjalną infolinię.
- Należy zastrzec kartę płatniczą w bankowości lub aplikacji swojego banku. Karta w ten sposób przestanie działać we wszelkich usługach płatniczych, do których została podpięta, jak np. Google Pay i Apple Pay.
- Zgłosić oszustwo OLX na policje.