Oszustwa internetowe, z psychologicznego punktu widzenia, rozpoczynają się wcześniej, niż mogłoby się nam wydawać. Nasze mózgi są już tak wytrenowane przez technologię, iż gdy tylko usłyszymy dźwięk lub zobaczymy powiadomienie o nowej wiadomości, rozpoczyna się proces związany z hormonami zalewającymi nasz mózg. Dopamina sprawia, iż spodziewamy się czegoś pozytywnego, ekscytującego i w związku z tym często jak w amoku nie zwracamy uwagi na oczywiste symptomy oszustwa.
Ku przestrodze – chciałbym przedstawić w tej chwili aktywnie wykorzystywany scenariusz oszustwa na portalu OLX, oparty na przesłaniu kodu QR z linkiem do fałszywej strony.
Wystawiam przedmiot na OLX. Po kilku minutach dostaję prywatną wiadomość jak poniżej:
Po wejściu na adres z wiadomości pojawia się prośba o przepisanie cyferek. Jest to zabezpieczenie przed automatycznymi skanerami, które nie zarejestrują niczego podejrzanego. Zwróć uwagę na adres strony – nie jest to domena należąca do OLX, a nazwa „oix” przed domeną oszustów 354812542.xyz ma wprowadzić ofiarę w błąd.
Po przepisaniu cyferek otwiera się strona udająca OLX z dynamicznie wygenerowanym zdjęciem sprzedawanego przedmiotu. Dynamicznie generowane strony wraz z realnym zdjęciem i opisem aktualnie wystawionego przedmiotu w znaczący sposób uwiarygadniają oszustwo. Cały wygląd strony łudząco przypomina portal OLX.
Dalej oszuści pod pretekstem otrzymania pieniędzy starają się wyłudzić dane dostępowe do banku oraz dane karty płatniczej:
Po wpisaniu danych dostępowych do banku przestępcy wyświetlają ofierze licznik, który daje im czas na użycie podanych danych do wytransferowania środków z konta.
Kolejny przykład oszustwa
Kolejny przykład oszustwa opiera się na prośbie o podanie adresu email, który rzekomo jest potrzebny do złożenia zamówienia. OLX wyraźnie ostrzega przed prowadzeniem konwersacji poza czatem w aplikacji.
Następnie oszust przesyła fałszywą wiadomość o złożeniu zamówienia i informuje, żeby sprawdzić skrzynkę mailową:
W mailu znajduje się informacja o rzekomej zapłacie przez kupującego, która oczekuje na potwierdzenie:
Ponownie trafiamy na fałszywą domenę z zabezpieczeniem przed automatycznym skanowaniem:
Oszuści uwiarygadniają przekręt poprzez pobranie autentycznych danych z ogłoszenia i wstawienie ich na swoją stronę:
Pokazuje się ekran z wyborem banku z listy oraz okno do wpisania danych dostępowych:
Po wpisaniu danych pojawia się ekran informujący o przetwarzaniu transakcji dający czas przestępcom na wytransferowanie środków z konta bankowego:
Operatorzy oszustwa chętnie pomagają ofiarom odpowiadając na czacie dostępnym na stronie:
Ofiary oszustów nazywane są w ich slangu „mamutami”, a cały proces „dojeniem mamutów”. Spoglądając na żądania generowane przez fałszywą stronę można zauważyć, iż tak właśnie oznaczane są pola odpowiedzialne za dane ofiary:
Domeny zostały zgłoszone do CERT w celu ich zablokowania, co zostało gwałtownie zrealizowane.
Portal ogłoszeniowe ciągle walczą
Działy bezpieczeństwa portali ogłoszeniowych nieustannie walczą z oszustami. Gdy jeden schemat działania zostaje skutecznie zablokowany przestępcy znajdują kolejne sposoby na wykorzystanie funkcjonalności portalu do oszukiwania swoich ofiar. Wszystko to jest wynikiem kompromisu między wygodą użytkownika a bezpieczeństwem transakcji. Firmy operujące na dużą skalę mają zwykle oddzielne komórki współpracujące z organami ścigania ze względu na ogromną skalę oszustw. Działania CBZC z reguły są skuteczne, chyba iż przestępcy operują zza wschodniej granicy, gdzie działają całe farmy kryminalistów specjalizujących się w oszustwach na portalach ogłoszeniowych.
Rejestr ofiar
Okazuje się, iż raz „złowiona” ofiara trafia do rejestru oszustów jako osoba podatna na manipulacje. Ola podzieliła się ze mną przejmującą historią, która ukazała jak można będąc w żałobie stracić oszczędności życia. Ta historia jest przestrogą dla nas wszystkich.
Pół roku temu Aleksandra, zmagając się z żałobą po stracie bliskiego członka rodziny, postanowiła wystawić na sprzedaż rzeczy po zmarłym na popularnej platformie ogłoszeniowej OLX. To, co miało być prostym procesem zakończyło się tragedią finansową. Oszuści wykorzystali jej sytuację przesyłając wiadomość z fałszywą stroną do odebrania płatności o udanej sprzedaży. Nieświadoma przekrętu podała dane dostępowe do swojego konta bankowe na skutek czego straciła około 10 tysięcy złotych.
To jednak nie koniec jej kłopotów. Jak się później okazało, przestępcy oznaczyli ją jako osobę podatną na manipulację i stali się jeszcze bardziej bezwzględni. W zeszłym tygodniu padła ofiarą kolejnego oszustwa – tym razem bardziej skomplikowanego i wyrafinowanego.
Scenariusz oszustwa był dobrze przemyślany. Najpierw do znajomej zadzwonił mężczyzna podający się za policjanta. Ostrzegł ją, iż jej pieniądze w banku są zagrożone. Dla zwiększenia wiarygodności historii niedługo zadzwonił kolejny oszust podszywający się pod pracownika banku, który potwierdził słowa rzekomego policjanta.
Zmanipulowana i zdezorientowana znajoma uwierzyła, iż jej oszczędności są rzeczywiście zagrożone. Przestępcy tak skutecznie wpłynęli na jej decyzje, iż namówili ją do wzięcia kredytu bankowego. Przekonywali, iż jeżeli kredyt zostanie jej udzielony oznacza to, iż pracownica banku również jest zamieszana w spisek. Pod wpływem ich instrukcji udała się do banku, a następnie wpłaciła otrzymane pieniądze przez wpłatomat przekonana, iż postępuje adekwatnie.
Już po pierwszym oszustwie, gdy straciła 10 tysięcy złotych, była przestrzegana przez otoczenie i informowana o metodach działania przestępców. Mimo to, stres i presja, pod którą się znalazła sprawiły, iż po raz kolejny padła ofiarą.
Historia ta jest przestrogą dla nas wszystkich. Przestępcy internetowi i telefoniczni stają się coraz bardziej wyrafinowani w swoich działaniach. Ważne jest, aby być czujnym i nie ufać ślepo nieznajomym kontaktom, zwłaszcza gdy chodzi o nasze finanse. Edukacja i świadomość w zakresie metod działania oszustów są kluczowe, aby uniknąć podobnych tragedii.
Co zrobić, jak żyć?
OLX na swoim blogu (https://blog.olx.pl/2020/06/18/uwaga-na-phishing/) instruuje użytkowników w następujący sposób:
„Zacznijmy od tego, czym charakteryzuje się podejrzana wiadomość:
- Otrzymałeś/łaś ją poza czatem OLX, np. poprzez WhatsApp.
- Do wiadomości dołączony jest link, w którym musisz podać swoje dane, aby np. otrzymać produkt lub pieniądze.
- Do wiadomości dołączony jest plik z instrukcją jak odebrać pieniądze/przedmiot.
- Z wiadomości dowiadujesz się o rzekomych problemach technicznych OLX.
- Już w pierwszych wiadomościach dostajesz prośbę o podanie adresu mailowego lub numeru telefonu, aby przekierować rozmowę poza czat OLX.
Po pierwsze – nie panikuj, po drugie – nie podawaj danych. Dopóki sam/a nie przekażesz nikomu swoich danych, są one bezpieczne.
Otrzymałeś/łaś link? Nie klikaj w niego. Powiadomienie o kupnie przez kogoś Twojego przedmiotu na OLX otrzymasz w wiadomościach na OLX. Możesz także wejść w Twoje konto → Twoje przesyłki → Sprzedajesz i sprawdzić, czy pojawiła się tam nowa transakcja.
Jeśli ktoś w wiadomości zaraz po rozpoczęciu rozmowy poprosił Cię o adres email lub numer telefonu – nie zgadzaj się na to. Utrzymuj rozmowę w ramach czatu OLX – tylko tutaj możemy Ci pomóc.
A może otrzymałeś/łaś fałszywą instrukcję, fałszywą informację o problemach technicznych lub zawieszeniu konta? Zawsze konsultuj takie sytuacje z naszą Obsługą Użytkownika. Pamiętaj, aby wybrać adekwatny powód zgłoszenia:
Chcę zgłosić oszustwo lub nieprawidłowe zachowanie innego Użytkownika – Phishing (ktoś podszywa się pod OLX) – Zgłaszam próbę oszustwa, choć nie dałem/-am się oszukać.
Co zrobić, gdy podałem/łam dane na fałszywej stronie?
Jeśli podałeś/łaś swoje dane na fałszywej stronie lub bezpośrednio innemu użytkownikowi i były to dane do logowania do banku lub dane karty bankowej, natychmiast skontaktuj się ze swoim bankiem. Wyjaśnij sytuację i poproś o zablokowanie środków oraz karty. Zmień również dane do logowania. Następnie możesz skontaktować się z policją i/lub zgłosić sprawę bezpośrednio do nas, a my przekażemy ją dalej do zablokowania.”
Do tej instrukcji dodałbym jeszcze informację o zgłoszeniu fałszywej domeny do zespołu CERT Polska (https://incydent.cert.pl/domena#!/lang=pl). Mają oni techniczne możliwości na usunięcie/zablokowanie fałszywej domeny, co może uchronić potencjalne inne ofiary przed oszustwem.
