Zakupy w Internecie nikogo dziś już nie dziwią. Według danych Eurostatu sieciowe zakupy robi 45 procent Polaków (dane z 2018 roku), i jest to o 2 punkty procentowe więcej, niż w roku poprzednim. Wartość wszystkich zakupów w sieci w ubiegłym roku zbliżyła się do poziomu 50 miliardów złotych. Nic więc dziwnego, że zjawisko to przyciągało i przyciąga także coraz większą rzeszę wszelakich oszustów.

Kiedy w 1966 roku Paul Baran - jeden z głównych twórców Arpanet, sieci poprzedzającej Internet - przygotował i przedstawił raport pt. Marketing w roku 2000 w którym wieszczył zakupy przyszłości, jako takie odbywające się całkowicie w sieci, wielu pukało się w czoło i szydziło z amerykańskiego inżyniera polskiego pochodzenia. Dziś słowa nagrodzonego amerykańskim Narodowym Medalem Technologii i Innowacji nikogo już nie dziwią. Mało tego, nikt nie wyobraża sobie już sieci bez możliwości robienia w niej szybkich i łatwych zakupów. Zarówno tych specjalistycznych, jak i tych zupełnie przyziemnych, codziennych zakupów żywnościowych czy ubraniowych. Rynek zakupów w sieci rośnie z każdym kolejnym rokiem. A tam, gdzie pojawiają się coraz większe pieniądze, pojawiają się także ludzie, którzy w sposób niezbyt legalny i etycznie naganny, pragną szybko i bezproblemowo osiągnąć zysk.

Obecnie na rynku polskiego handlu rządzą dwie platformy. Są to za Allegro i OLX. Allegro.pl, które swego czasu było właścicielem serwisu Tablica.pl (poprzednika OLX) zrobiło dużo, żeby oszustwa za pośrednictwem swojego serwisu wyeliminować do minimum. Programy ochrony kupujących, dwu etapowa weryfikacja, wdrożenie zintegrowanych płatności, to tylko niektóre przykłady. Na drugim biegunie jest OLX, serwis, który nosi taką nazwę od 2014 roku, należy do grupy medialno - technologicznej Naspers z siedzibą w Kapsztadzie. OLX jest jednocześnie jedną z najchętniej odwiedzanych stron w polskim Internecie. W styczniu 2019 roku z serwisu skorzystało 14,4 miliona użytkowników, którzy wygenerowali 1 774 661 655 odsłon (dane PBI/Gemius). Zasady działania OLX są nieco inne, niż te znane z Allegro, co daje pole do popisu wspominanym już dwukrotnie w tym tekście, oszustom. Postaram się przedstawić najpopularniejsze mechanizmy tych oszustw.

Mechanizmy oszustw

Żeby poznać mechanizmy oszustw na OLX, trzeba najpierw wiedzieć, jak działa ten serwis. W zamyśle jest to serwis skupiających osoby prywatne, sprzedających i kupujących. Lokalnie. Znajdujesz osobę posiadającą poszukiwany przez ciebie przedmiot, kontaktujesz się z nią, odbierasz przedmiot osobiście i za niego płacisz. Tyle teoria, a praktyka oczywiście idzie swoją własną ścieżką. Serwis jest już tak duży, że normalnością stały się zakupy za pobraniem, czy wysyłaniem pieniędzy z góry na konto - mechanizm rodem z Allegro, czy innych wiarygodnych sklepów internetowych. Żeby się nie powtarzać, to znowu ogromne pole do popisu dla przestępców.
Za pobraniem

Otrzymujesz przedmiot kurierem lub pocztą, płacisz za niego, czujesz się dobrze, bo wynegocjowałeś przesyłkę za pobraniem, żeby było "bezpieczniej". Otwierasz przesyłkę, a tam, zamiast smartfona z ogłoszenia znajdujesz dwie tabliczki czekolady. Sprzedający na swoją obronę ma dowód nadania przesyłki. Ty telefonu nie dostałeś, ale to tylko słowo przeciw słowu. Zresztą, wpłata poszła i tak na konto słupa lub rachunek założony na osiedlowego pijaczka lub taki kupiony z ogłoszenia...

Spotkałeś się kiedyś w sieci na ogłoszenia typu zatrudnimy osoby do wystawiania przedmiotów w serwisach aukcyjnych lub o innej treści, ale polegające na przyjmowaniu przelewów na własne konto, otrzymywaniu prowizji z każdego przelewu i odsyłaniu go na inne konta? To właśnie na takie konta trafiają przelewy oszukanych osób. Można by powiedzieć, że przelewy od oszukanych osób trafiają na konta innych oszukanych osób. Prawdziwy przestępca pozostaje w ukryciu, rozbija pieniądze uzyskane z oszustw na inne konta do których ma dostęp lub pobiera pieniądze z bankomatów za pomocą kodów Blik, przesłanych mu od swoich słupów. Oszust może także zakładać konta bankowe bez wychodzenia z domu (ukrycia?) na dane niczego nie świadomych osób, np. wcześniej przejmumąc ich tożsamość - a ty ile swoich danych udostępniasz?

W szczególnym przypadku tego oszustwa towar dostarcza ci fałszywy kurier. Pobiera od ciebie pieniądze, po czym nie ma nawet śladu po tej transakcji w żadnej firmie kurierskiej.

Wpłata na konto

W przypadku tak skonstruowanego oszustwa pozamiatane jest już, zanim jeszcze wszystko na dobre się rozpoczęło. Wpłacasz pieniądze na konto słupa (w ekstremalnym przypadku, jeśli oszust jest tak głupi, przyjmuje pieniądze na swoje konto, to też się zdarza). Towaru nigdy nie otrzymujesz. Sprawę oczywiście zgłaszasz policji. Ty się denerwujesz, słup jeszcze bardziej, ostatecznie sprawa zostaje umorzona. Nie masz ani towaru, ani pieniędzy.

Warto wiedzieć, że w przypadku takiego oszustwa przestępca może nawet wyraźnie zaznaczyć w ogłoszeniu, że odbiór jedynie osobisty (jednocześnie cena przedmiotu jest bardzo atrakcyjna). W przypadku, kiedy klient jest wyraźnie zainteresowany takim rodzajem odbioru wiadomość jest ignorowana. Mocno zainteresowany klient sam proponuje wpłatę i wysyłkę. Niejednokrotnie nawet, żeby wzbudzić jeszcze większe zaufanie ofiary, oszust początkowo nie jest zainteresowany takim rozwiązaniem, ale ostatecznie ulega. Taki sposób prowadzenia rozmowy, i tak sformułowane ogłoszenie, ma na celu maksymalne uwiarygodnienie oszusta w oczach potencjalnego klienta. Żaden oszust przecież nie wystawi niczego z odbiorem osobistym... (myśli ofiara).

Oszuści zazwyczaj, przeprowadzając wymianę wiadomości w serwisie, bardzo dobrze wyczuwają wszelkie obawy i wątpliwości ofiary. W niektórych przypadkach mogą proponować nawet, aby maksymalnie uwiarygodnić swoje oszustwo, przesłanie skanu dowodu osobistego - przesyłam skan dowodu osobistego, może będzie pani/pan spokojniejsza. To zazwyczaj rozwiewa wszelkie wątpliwości potencjalnej ofiary. Który oszust przesyła skan swojego dowodu? To musi być prawdziwe ogłoszenie! Tak naprawdę w takim przypadku nasze myślenie, jako kupującego, powinno iść w całkowicie odwrotnym kierunku. Kto normalny przesyła skan własnego dowodu osobistego na OLX? Nikt. Dlatego właśnie są to skany dowodów osób, których tożsamość udało się pozyskać oszustowi, albo skany dokumentów kolekcjonerskich, których odróżnienie od prawdziwych jest niemal niemożliwe (nawet mając je w ręku). Taki dokument kolekcjonerski za kilkaset złotych, na dowolne dane, można bez problemu zamówić w sieci.

Na Allegro

Jak wspominałem na początku tego wpisu, zakupy na Allegro w oczach kupujących jawią się jako bezpieczne. I takie w zasadzie są, choć oczywiście zdarzają się przejęcia słabo zabezpieczonych kont, czy aukcje oszustów wystawione (podobnie jak opisywane konta bankowe) na tzw. słupów. Pozorne bezpieczeństwo aukcji na Allegro wykorzystywane jest także przez oszustów działających na OLX. Proponują oni potencjalnej ofierze wystawienie interesującego ją przedmiot właśnie w tym serwisie aukcyjnym. Kiedy ofiara przystaje na taką opcję dochodzi do klasycznego ataku phishingowego.

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) albo nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.

Atakujący przesyła ofierze link do rzekomej aukcji przedmiotu, która do złudzenia przypomina panel logowania Allegro. Ofiara loguje się na swoje dane (tracąc je przy okazji na rzecz atakującego), kupuje przedmiot i przechodzi do płatności, gdzie opcja płatności kartą jest zablokowana (zazwyczaj podany jest komunikat o chwilowej niedostępności tej opcji). Ofiara wybiera więc płatność przelewem i loguje się na swoje konto bankowe (dane logowania do bankowości internetowej ponownie lądują bezpośrednio u atakującego, wszystko bowiem nadal odbywa się na spreparowanej stronie). W tym momencie oszust musi działać na żywo. W momencie uzyskania danych logowania na konto ofiary loguje się tam. Ofiara wybiera na spreparowanej stronie przelew i oczekuje na kod sms w celu jego autoryzacji. Atakujący dodaje dane swojego konta do puli odbiorców zaufanych, czyli takich do których przelew nie będzie wymagał każdorazowo kodu sms. Ofiara oczekuje kodu sms i go otrzymuje. Tyle tylko, że kod dotyczy autoryzacji dodania nowego odbiorcy zaufanego, a nie potwierdzenia danej transakcji. Ten jednak, kto czyta całego sms-a z systemu bankowego czekając na kod, niech pierwszy rzuci kamieniem. W tym ataku oszust uzyskuje dane do logowania do naszego konta Allegro, dane logowania do konta bankowego, a na koniec ma możliwość wytransferowania środków z konta ofiary na kontrolowany przez siebie rachunek.

W niektórych odmianach tego ataku oszust korzysta z spreparowanej strony płatności, która za pierwszym razem na ekranie ofiary generuje informację o nieprawidłowym kodzie sms. Atakujący generuje na koncie kolejny kod, który ofiara także mu podaje.

Za darmo

Ten rodzaj oszustwa działa także na zasadzie phishingu. Oszust publikuje ogłoszenie oddania za darmo jakiejś rzeczy, w większości przypadków są to zabawki, klocki lego lub jakiś sprzęt elektroniczny. Zainteresowana ofiara dopytuje o możliwość wysyłki. Przestępca chętnie odpowiada i prosi jedynie o opłacenie kuriera bądź paczki pocztowej w kwocie kilkunastu złotych. Dla ofiary ewentualna strata kilkunastu złotych nie jest problemem. Atakujący zazwyczaj twierdzi, że prowadzi działalność gospodarczą i ma umowę z konkretną firmą kurierską, wobec czego przesyłka wyniesie jeszcze taniej. Następnie działa zgodnie z tym samym schematem opisanym powyżej przy okazji szwindlu związanego z serwisem Allegro. Niektórzy oszuści przygotowani są do tego stopnia, że po transakcji podsyłają ofiarom spreparowane strony do śledzenia rzekomej przesyłki. W jednym z ataków oszust podawał się za obcokrajowca, który w dobre ręce chciał oddać rasowego szczeniaka. Oszustwo było przygotowane do tego stopnia, że podsyłał on ofierze strony rzekomych przewoźników, podrobione listy przewozowe, wykonywał nawet telefony z nieistniejącej firmy. Wszystko, aby uwierzytelnić się w oczach ofiary.

Na kupującego

W tej odmianie oszustwa dochodzi do zamiany ról. To oszust jest potencjalnym kupującym i wyszukuje interesujące go, cenne przedmioty. Do oszustw dochodzi zazwyczaj w dni wolne od pracy. Przestępca zgłasza się jako zainteresowany na ogłoszenie sprzedającego. W wiadomościach do ofiary twierdzi, że pilnie potrzebuje wystawionego przez nią przedmiotu, że wysyła całą kwotę na konto i prosi o natychmiastową wysyłkę paczkomatem. Aby uwiarygodnić się wysyła potwierdzenie przelewu na konto w załączniku do wiadomości. Wszystko odbywa się oczywiście w niezwykle miłej i kulturalnej atmosferze. Naiwny sprzedający cieszy się, że udało mu się sprzedać przedmiot, pakuje go i wysyła. Otrzymał przecież potwierdzenie przelewu - problem w tym, że potwierdzenie przelewu było spreparowane i nigdy tych pieniędzy nie otrzyma. Przesyłka natomiast powędrowała już w drogę.

Nie daj się okraść

OLX-owi trzeba oddać to, że ostrzega swoich użytkowników dość często, np. kiedy w trakcie wymiany wiadomości ze sprzedającym znajdzie się numer konta bankowego lub też słowo Blik (dlatego też część oszustów stosuje różne sztuczki, np. oddziela sylaby pisząc Bl ik, a numer konta podaje wklejając plik graficzny). OLX stoi także na stanowisku, że najlepszą metodą dokończenia transakcji jest odbiór osobisty. Serwis ostrzega, żeby nie opłacać darmowego przedmiotu poprzez płatności z linku podanego przez sprzedającego oraz nie opłacać przedmiotów z góry. Ze swojej strony mogę dodać, aby szczególną ostrożność zachować w przypadku kont z bardzo krótkim stażem na OLX, choć to oczywiście także nie jest regułą. Zwracajcie uwagę na brzmienie linku w pasku adresu przeglądarki i nie ufajcie okazjom. Jeśli jednak padniecie ofiarom oszusta to każdą, nawet najmniejszą sprawę, zgłaszajcie policji. Oszustwo jest bowiem każdorazowo przestępstwem i, inaczej jak w przypadku kradzieży, nie ma tutaj progu kwoty do którego czyn ten pozostaje jedynie wykroczeniem. Jeśli zdecydowałeś się przesłać pieniądze na czyjeś konto, jego numer możesz sprawdzić w jednym z serwisów, takich jak numerkonta.com czy jakitobank.pl, gdzie użytkownicy dzielą się numerami kont wykorzystywanymi przez oszustów.

Follow me for more: @geekweb
Wpis pochodzi z mojego bloga geekweb.pl.