Okres przedświąteczny to idealny czas dla oszustów, którzy wyczyszczą ci konto pod pretekstem problemów z przesyłką
„Twoja paczka została wstrzymana z tytułu niedopłaty 2,50 zł. Przepraszamy za utrudnienia. Prosimy uregulować należność pod adresem: https:…”. Takie SMS-y znają już prawie wszyscy, którzy np. kupili coś przez internet z dostawą do domu lub paczkomatu. Jest to tzw. oszustwo na kuriera. Kiedy czekamy na paczkę, oprócz prawdziwej informacji o stanie przesyłki przychodzi wiadomość, iż dostawca napotkał jakiś kłopot, który można rozwiązać, klikając w przesłany link.
– Zauważyłem, iż coś jest nie tak, już w wakacje. Prowadzę niewielki biznes, przychodzi do nas w tygodniu sporo paczek. A tutaj nagle przy prawie każdej informacja SMS, iż trzeba dopłacić. Pomyślałem: hola, hola! Jak ktoś parę razy nadawał coś przez kuriera, to wie, iż płaci się za wysyłkę z góry i nie ma dodatkowych opłat. Nigdy się nie nabrałem na ten przekręt, ale jest to coraz trudniejsze – opowiada Rafał z Wrocławia. Niestety, nie wszyscy mają tyle szczęścia. Wiele osób przez nieuwagę skończyło z kontami wyczyszczonymi do zera.
Na początku większość fałszywych SMS-ów od kuriera dotyczyła niewielkiej dopłaty do paczki, 2-10 zł. Z czasem jednak oszuści zaczęli wymyślać nowe, coraz bardziej wiarygodne bajeczki, aby dobrać się do danych i kont użytkowników. Serwis Niebezpiecznik.pl zajmujący się cyberbezpieczeństwem informował już w 2021 r. o różnych wersjach kradzieży na kuriera. Bywają one niezwykle dopracowane – wysłane w wiadomościach SMS linki często prowadzą do stron lub aplikacji perfekcyjnie imitujących te prawdziwe. Warto jednak zwrócić uwagę, iż na części stron zachęca się nas do pobrania pliku o rozszerzeniu .apk, co nie jest standardowym rozwiązaniem. Pobranie i zainstalowanie takiej aplikacji ma zainfekować telefon ofiary złośliwym oprogramowaniem, które pomaga wyczyścić jej konto bankowe. W innej wersji tego przekrętu dostajemy link z formularzem – wypełniając go, oddajemy do dyspozycji złodziei wszystkie dane, które pozwolą im w najlepszym wypadku wypłacić pieniądze z naszej karty, a w najgorszym wziąć pożyczkę na dziesiątki tysięcy złotych.
Niech przestrogą będzie historia 35-latka z gminy Leśnica, który, chcąc wyrównać niedopłatę w wysokości niecałych 2 zł, kliknął w link z otrzymanej wiadomości. Ten przekierował mężczyznę na stronę, która przypominała portal jego banku. Oszukany podał login i hasło, a następnie, co było jego największym błędem, zgodził się na dodanie nowego urządzenia. Nie trzeba podkreślać, iż nie była to komórka, z której korzystał, tylko telefon należący do oszustów. Nie minęło kilka minut, a z konta ofiary zaczęły znikać pieniądze. Złodzieje zagarnęli 64 tys. zł.
Według statystyk dziennikarzy portalu Niebezpiecznik.pl „SMS-y na dopłatę” były najpopularniejszym typem ataku, jaki dotykał Polaków w 2021 r. Specjaliści wyjaśniają też coś, co nurtuje wiele osób – kto sprzedał moje dane, iż dostaję takie wiadomości? Otóż nie było żadnego wycieku. SMS-y wysyłane są przez oszustów losowo, a iż wiele osób korzysta dziś z usług kurierów, to złodzieje mają bardzo duże szanse trafić na kogoś, kto akurat oczekuje na paczkę.
Oszustwo niejedno ma imię
Dla cyberoszustów wyłudzanie danych to świetny model biznesowy. Dowodem są choćby rodzaje oszustw związanych z internetowymi zakupami. Mamy oszustwa biorące nazwy od adekwatnie każdego popularnego serwisu handlującego na większą skalę. Są więc oszustwa na: Allegro, OLX, Vinted, na kurierów DPD, DHL czy InPost, aż po dostawców usług i banki: PGE Obrót, ING, PKO BP. A to tylko niewielka część stale wydłużającej się listy.
Oszustwa są zaś coraz bardziej złożone i dopracowane. To nie tylko SMS-y, ale też mejle, które wyglądają dokładnie tak, jakby przyszły od firmy kurierskiej. Jedna z naszych redakcyjnych koleżanek dostała mejl niby od kuriera DPD, łudząco podobny do oryginalnego. Kanciarze korzystają z elementów graficznych, takich jak logotyp czy skopiowana stopka z prawdziwym adresem firmy. Jedyna rzecz, która może wzbudzić wątpliwości, to sam adres, z którego wysłano mejl. Jednak choćby on wyświetla się jako „Centrum dystrybucji”, adres typu jghytdf485729@mail.pl pokazuje się dopiero w nawiasie obok nazwy, o której brzmieniu i tak decyduje złodziej. W tym wszystkim zawsze chodzi jednak o to samo. O kliknięcie w link.
Oszuści czyhają nie tylko na klientów, ale również na sprzedawców. W 2021 r. pojawiła się nowa grupa przestępców, która zaczęła udawać osoby zainteresowane kupnem przedmiotów wystawionych w serwisie OLX. To oszustwo nazywane jest „na WhatsAppa”, od aplikacji, przez którą najczęściej kontaktują się złodzieje. Choć zdarza się, iż korzystają z mejli wyglądających jak te oryginalne z OLX. A na czym polega sam trik? Kiedy użytkownik wystawia na sprzedaż jakiś przedmiot i zostawia swój numer telefonu, złodziej wysyła wiadomość przez komunikator WhatsApp, udając kupującego. Jego zadaniem jest wyciągnąć od sprzedającego numer karty płatniczej oraz inne wrażliwe dane, takie jak PESEL, numer konta bankowego, numer dowodu, nazwisko panieńskie matki i adres. Wszystko to dzięki wysłanego formularza, który niby służy do szybkich płatności.
– Chcieliśmy pozbyć się mebli po dziadkach. Po wystawieniu meblościanki, która, umówmy się, nie kusiła walorami estetycznymi, natychmiast odezwała się jakaś kobieta. Na zdjęciu kontaktu miała ustawioną fotkę z małym synkiem. Napisała, iż bierze i chce zapłacić przez „płatności OLX”, gdzie już miały czekać na mnie pieniądze. Nie pasował mi ten link, który tylko pozornie wyglądał na taki z OLX, miał kropkę po L w nazwie portalu – to było dziwne. Ale kliknąłem zaintrygowany i wtedy już wiedziałem, iż to oszuści, bo, jak żyję, nikt mnie w internecie nigdy nie pytał o nazwisko panieńskie matki – relacjonuje Hubert, pielęgniarz mieszkający w Gdyni.
Zjawisko, o którym mówimy, nazywa się phishingiem. To próba wyłudzenia danych przez oszustów, którzy podszywają się najczęściej pod instytucję lub markę cieszącą się zaufaniem. Phishing to jedna z najpopularniejszych w tej chwili technik wyłudzania danych przez przestępców. Podczas akcji phishingowych złodzieje starają się oddziaływać na emocje ofiary – w wypadku Huberta ktoś chciał skorzystać z euforii związanej z szybkim pozbyciem się kłopotu i chęcią wzbogacenia się. Nierozwaga mężczyzny kosztowała go trochę nerwów. – Zdałem sobie sprawę, iż choć nie wpisałem nic do formularza, który mi wyskoczył, nie mogę mieć pewności, czy nie zainstalowałem jakiegoś systemu w telefonie, klikając w sam link. A iż mam w komórce aplikacje do płatności online, natychmiast zadzwoniłem do banku i zablokowałem wszystkie karty. Na szczęście było to dmuchanie na zimne – podsumowuje z ulgą Hubert.
Jak się chronić?
Latem mieliśmy podobną plagę wyłudzeń, tylko były one związane z dopłatami do rachunku za prąd. „PGE: Na dzień 21.06 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności: https:…”. – Rachunki za energię płacę w połowie miesiąca. Dzień lub dwa później przychodzi do mnie to samo powiadomienie, iż muszę dopłacić, bo przelew był za mały. Wiem, iż to oszuści, ale strasznie mnie wkurzają te SMS-y. A co zablokuję numer, to przychodzą wiadomości z innych numerów – denerwuje się Helena, dentystka z Płocka, która pierwsze wiadomości zaczęła dostawać w marcu 2022 r.
Inną historię z oszustwem „na rachunek za prąd” ma Julia: – Jechałam na wakacje. Wtem przyszedł SMS, iż mam dopłacić do rachunku z PGE. I tutaj pierwsze zdziwienie: owszem, w rodzinnym mieście mam swoje mieszkanie, które wynajęłam studentom, ale tam jest inny dostawca energii. Dwa: mieszkamy w innym mieście i rachunki przychodzą na męża – wspomina kobieta. Jak widać, oszuści dostosowują się do pory roku i latem korzystali z zamieszania wokół wakacyjnych wyjazdów, podczas którego zapomina się o wielu rzeczach. Czasem również o rachunku za prąd. Złodzieje wykazują się świetną znajomością psychologii. Wiedzą, iż w zamęcie najłatwiej coś ugrać. Czy ratujący przed rychłym odłączeniem prądu i rozmrożoną lodówką link do uregulowania płatności nie wydaje się kuszącą opcją?
Podobnie jest z paczkami w okresie świątecznym. Właśnie teraz uaktywniają się szalbierze, którzy skorzystają ze świątecznego szału zakupów i napiszą wszystkim, iż upragnione prezenty utknęły. Dlatego pierwszą zasadą, jakiej powinniśmy się trzymać, jest sprawdzanie, kto w ogóle do nas pisze. Wspomniany wcześniej phishing nie bez przyczyny brzmi podobnie do angielskiego fishing, czyli łowienie ryb. Informacja o wygranej w konkursie czy groźba związana z egzekucją komorniczą wywołuje skrajne emocje i może spowodować, iż ktoś kliknie w link bez zastanowienia. Niestety, taki jest cel zarzucających przynętę oszustów. Dlatego nie można dać się ponieść emocjom i lepiej wszystko spokojnie przeczytać jeszcze raz, zanim podejmiemy jakąkolwiek akcję i wpakujemy się w prawdziwe kłopoty.
Warto wiedzieć, iż oszuści najczęściej chcą pozyskać loginy, hasła, numery PESEL i PIN, datę urodzenia, dane kart kredytowych oraz informacje teleadresowe. Dlatego kolejną, żelazną wręcz zasadą jest niepodawanie żadnych wrażliwych danych. choćby banki na swoich stronach informują, iż nie wymagają w sieci pełnych numerów PESEL, a tym bardziej nazwiska panieńskiego matki! Kiedy więc widzimy, iż formularz ma wyjątkowo dużo pól z pytaniami o dane, trzeba podejrzewać najgorsze. Należy też pamiętać, iż jeżeli weszliśmy na taką stronę internetową i dopiero w trakcie spostrzegliśmy, iż coś jest nie tak, to zaniechanie kliknięcia w „przejdź dalej” nie ratuje nas przed wykradzeniem wprowadzonych informacji. Oszuści już podczas wypełniania przez nas kolejnych pól mogli zobaczyć, co tam wpisywaliśmy, zupełnie jakby zaglądali nam przez ramię. W takim przypadku zawsze lepiej się zabezpieczyć i od razu skontaktować z infolinią swojego banku w celu zablokowania konta. Ofiarą oszustów może dzisiaj paść każdy. Nie ma tutaj znaczenia ani wiek, ani stopień zaawansowania w obsłudze komputera czy internetu, ponieważ przestępcy mają coraz doskonalsze metody wyłudzania danych.
Firma kurierska DPD, która ma wyjątkowe „szczęście” do tego, iż ktoś się pod nią podszywa, informuje teraz na swojej stronie, żeby uważać na oszustów proponujących „dostawy DPD” na OLX. Kiedy patrzy się na screeny dokumentujące ten przekręt, adekwatnie trudno się dziwić, iż ktoś dał się zwieść. Fałszywa strona jest tak dopracowana, iż znajdziemy tam choćby grafiki mające reprezentować certyfikaty bezpieczeństwa dla kart płatniczych VISA i MasterCard. Oczywiście taka opcja jak „dostawy z DPD” nie istnieje. Ten przykład pokazuje jednak, iż skończyły się niestety czasy, kiedy oszustwa były dość oczywiste, bo wiadomości zostały napisane z błędami i literówkami, a w oprawie graficznej podstawionej strony nie zgadzały się kolory. Teraz podróbki wyglądają równie autentycznie jak oryginały. Dlatego trzeba dokładnie studiować adresy mejlowe i przesyłane linki, ale przede wszystkim nigdy nie wierzyć w superokazje i niespodziewane wygrane. Warto też się zastanowić, jeżeli dostaliśmy jakiś dziwny newsletter, czy w ogóle do niego się zapisywaliśmy. jeżeli nie, to już wiemy, iż nie mamy choćby po co otwierać tej wiadomości. Niech od razu wyląduje w koszu.
Oszukali mnie. Co dalej?
Jest kilka rzeczy, które warto zrobić, kiedy zorientujemy się, iż padliśmy ofiarą oszustwa. Po pierwsze, należy natychmiast (jeśli posiadamy) zmienić dane logowania do aplikacji bankowej. Następnie w najbliższej jednostce policji lub prokuratury zgłaszamy zawiadomienie o możliwości popełnienia przestępstwa. Trzeba jednak pamiętać, iż internetowi oszuści świetnie rozpraszają swoje ślady, dlatego nie ma co liczyć, iż sprawca zostanie rychło, o ile w ogóle kiedykolwiek, ujęty. Natomiast w dalszej perspektywie może się przydać potwierdzenie, iż padliśmy ofiarą takiego przestępstwa. Szczególnie gdy ktoś weźmie na nasze konto pożyczkę. Wtedy zaświadczenie z policji pozwala stwierdzić nieważność takiej umowy. jeżeli w wyniku wyłudzenia zniknęły nam z konta pieniądze, to po wizycie na policji należy skontaktować się z bankiem, w którym mamy rachunek, w celu zablokowania konta i kart kredytowych. Można też złożyć reklamację, ale, jak twierdzą specjaliści, w większości przypadków są one rozpatrywane negatywnie. Wtedy, dla najbardziej zdeterminowanych, pozostaje droga sądowa, w której skarży się bank, bo zgodnie z przepisami prawa bankowego to na nim spoczywa odpowiedzialność za to, by czuwać nad bezpieczeństwem środków zgromadzonych na prowadzonym rachunku. Sprawy jednak potrafią trwać latami.
Niektórzy polecają jeszcze zarejestrować się w Biurze Informacji Kredytowej, gdzie możemy sprawdzić, czy złodzieje nie użyli naszych danych do wyłudzenia kredytów lub pożyczek. Warto wreszcie pamiętać, iż powinniśmy się zgłosić również do firmy lub portalu, za który podawali się oszuści. Najefektywniejszym zaś sposobem na oszustwo jest zachowywanie zimnej krwi. Skoro oszuści zawsze będą o krok przed przedsiębiorcami i konsumentami, najlepszą samoobroną pozostaje nasz zdrowy rozsądek, bo jak zwykle jako konsumenci jesteśmy zdani tylko na siebie.
k.wawrzyniak@tygodnikprzeglad.pl
Fot. Shutterstock