Jesień i zima to czas, gdy jesteśmy najbardziej podatni na choroby. A gdy zachorujemy – zdarza się zajrzeć do apteki, np. DOZ. CERT Orange Polska trafił na fałszywą aptekę, okazującą się być… fałszywym sklepem.
Oszustwo zaczyna się – jak niemal w każdym przypadku w ostatnim czasie – od reklamy na Facebooku.
Kim jest Kari Oliver? To konto akurat zniknęło z Facebooka, a prezentowana przez nie wcześniej reklama opatrzona jest komentarzem:
Ta reklama był wyświetlana przez konto lub stronę, które później wyłączyliśmy za naruszenie naszych Standardów dotyczących reklam.
Zaskakujące, biorąc pod uwagę jak „niespiesznie” Facebook zajmuje się takim zgłoszeniami. Co ciekawe, wciąż istnieje inne konto powiązane z tą reklamą – Vera Jordan. Określane jest jako lokalna firma z Karoliny Północnej, z jednym obserwującym. Wracając jednak do samej reklamy. Gdzie trafiamy po kliknięciu w link?
Prawie jak DOZ
Reklama kieruje nas na stronę do-z[.]top. adekwatna witryna sieci aptek to doz[.]pl. Dla jednych – na pierwszy rzut oka widać różnicę. Jesteśmy sobie jednak w stanie wyobrazić internautów, którzy nie zauważą różnicy, tym bardziej otwierając witrynę w przeglądarce mobilnej. Oni przede wszystkim zwrócą uwagę na typografię skopiowaną 1:1 z prawdziwej strony. I ceny, które robią wrażenie.
Pójdźmy zatem dalej tym tropem – warto sprawdzić, na czym docelowo polega oszustwo. Kupiliśmy zatem pierwszy z brzegu preparat. Cena 6 złotych za ten konkretny lek wydaje się kusząca. W prawdziwej aptece DOZ zapłacimy zań 20,69 zł. Jasne – to tylko niecałe 15 złotych, ale dla osób, które używają więcej leków i suplementów docelowa kwota może przekładać się na sporą oszczędność w portfelu. A jak wygląda „płatność”?
Czerwone flagi? Dwie niewielkie i jedna spora. Dlaczego z prawej strony jest tekst „Gwarantowane bezpieczne wypłaty” skoro strona ma dotyczyć wpłaty? Co przy logotypach firm płatniczych robi „100% satisfaction guarantee” i… loga dwóch dostawców antywirusa? No i na koniec – czemu metoda płatności z logo BLIK nosi nazwę… PATRZEĆ?
Swoją drogą, to nie jedyny lapsus językowy oszustów, odpowiedzialnych za tę stronę. Przy dodawaniu pozycji do koszyka dowiadujemy się, iż w następnym kroku mamy – uwaga – „Ponieść porażkę”. Ciężko sobie wyobrazić, by ktoś mimo takiego monitu próbował dokonać zakupu? Niestety – zdarzało się.
Zaczynamy od DOZ, ale trafiamy na… inny sklep oszustów
W przypadku wyboru płatności kartą – oszuści po prostu wyczyszczą nam kartę bądź konto do poziomu limitów. My zdecydowaliśmy się na płatność BLIK, by sprawdzić, do kogo docelowo mają dotrzeć nasze pieniądze (i ile ich będzie). Po kliknięciu „Przejdź do płatności” trafiamy na nową witrynę:
Firma Supaytech wydaje się być operatorem/agregatorem płatności, jednak w jej dokumentach i na stronie brakuje jasnych informacji o adresie rejestrowym w UE, numerze licencji, czy nadzorze. To znacznie obniża wiarygodność z punktu widzenia prawa UE/PSD2/RODO. Niezależnie od tego, wpisanie kodu BLIK nie jest niebezpieczne, bowiem charakterystyka Polskiego Standardu Płatności wymaga potwierdzenia transakcji w aplikacji bankowej płacącego. Komu (i ile?) zatem płacimy?
Pewnym zaskoczeniem może być fakt, iż kwota płatności faktycznie równa jest kwocie rachunku w rzekomej aptece DOZ. Odbiorcą naszych pieniędzy nie będzie jednak apteka, czego niektórzy mogliby się spodziewać. Czym jest zatem firma MSW Montage GmbH?
Z fałszywego sklepu z lekami do fałszywego sklepu z… ubraniami. A co ma z tym wspólnego niemiecka spółka MSW Montage? Ona tylko nieświadomie użyczyła nazwy oszustom. Powyższa witryna jest w domenie .top, a ten sam adres kończący się na .de prowadzi do firmy montującej ogrodzenia.
Na czym zarabiają oszuści?
W przypadku kart kredytowych odpowiedź jest prosta – czyszczą kartę prawdopodobnie do poziomu ustawionych limitów. A BLIK? Być może przestępcy po prostu umieścili go na stronie po to, by witryna wyglądała bardziej wiarygodnie, a głównym kanałem jest kradzież danych karty płatniczej? A może oszuści liczą na efekt skali, gdy każdy z setek/tysięcy internautów „kupi” lekarstwa w rzekomym DOZ za kilkaset złotych?
Czy jako użytkownik BLIK jesteśmy w stanie rozpoznać, czy mamy do czynienia z oszustwem? Zapytaliśmy o to u źródła – w Biurze Prasowym BLIK:
W takiej sytuacji najlepiej oprzeć się na dwóch prostych krokach: upewnić się, iż strona, na której finalizujemy zakup, jest oficjalną witryną marki, oraz sprawdzić w aplikacji bankowej, kto ma otrzymać płatność przed jej potwierdzeniem. jeżeli dane odbiorcy nie pasują do miejsca zakupu albo coś w procesie wygląda nietypowo, warto przerwać taką płatność. Fałszywe serwisy można też zgłaszać do instytucji, które zajmują się blokowaniem takich stron, żeby zostały szybciej wyłączone.
– odpowiedziała Klaudia Rombalska z Biura Prasowego BLIK.
A jak Polski Standard Płatności reaguje na sytuacje tego typu jak opisana?
Jesteśmy operatorem schematu płatniczego i systemu BLIK, ale nie usług płatniczych. Nie monitoruje my bezpośrednio działalności merchantów ani zewnętrznych dostawców usług płatniczych. Udostępnianie płatności BLIK serwisom internetowym oraz ich weryfikacja leżą po stronie agentów rozliczeniowych.
Dostawcy usług płatniczych, z którymi współpracujemy, uprawnieni są do udostępniania płatności BLIK wyłącznie takim podmiotom, których działalność jest zgodna z prawem. W przypadku otrzymania informacji wskazujących na nieprawidłowości, występujemy do uczestnika systemu BLIK o złożenie o wyjaśnień. W zależności od otrzymanej odpowiedzi, decydujemy o dalszym toku postępowania.
Za każdym razem, kiedy dowiadujemy się o przypadkach wykorzystania BLIK-a w sposób bezprawny, podejmujemy odpowiednie kroki mające na celu zablokowanie takich działań. Jesteśmy zdeterminowani, aby eliminować wszelkie przypadki nielegalnego wykorzystania naszej usługi. Współpracujemy z odpowiednimi organami, aby zapobiegać takim incydentom w przyszłości i chronić zarówno naszych użytkowników, jak i reputację marki BLIK. Fałszywe serwisy można też zgłaszać do instytucji, które zajmują się blokowaniem takich stron, żeby zostały szybciej wyłączone.
Jak nie dać się oszukać?
Podsumujmy zatem na koniec i zgromadźmy te informacje w jednym miejscu. Co możesz zrobić, by nie paść ofiarą oszustwa?
- zawsze sprawdzaj adres strony, na której wpisujesz dane karty
- wyrób w sobie nawyk szczegółowego sprawdzania przesadnie atrakcyjnych promocji
- jeśli płacisz BLIK-iem, sprawdź:
- kwotę (czy jest zgodna z faktyczną kwotą zakupu)
- rodzaj akcji (czy przypadkiem nie potwierdzasz wypłaty w bankomacie)
- nazwę nabywcy (w opisywanym przypadku miał być DOZ – było MSW Montage
