Poniżej przedstawiamy pełny opis schematu oszustwa oraz dokument PDF, w którym umieściliśmy wybrane screenshoty dotyczące tego oszustwa.
PEŁNY SCHEMAT OSZUSTWA:
Pierwsze zidentyfikowane kampanie, wykorzystujące opisywany scenariusz, wykryto już w 2020 roku. W Polsce schemat pojawił się w listopadzie 2020 roku. Niestety, cały proces jest tak dobrze przygotowany przez zorganizowane grupy przestępcze, że trwa nieprzerwanie od kilkudziesięciu miesięcy zbierając żniwo w postaci pieniędzy klientów używających bankowość internetową i/lub posiadających karty płatnicze.
Scenariusz rozpoczyna się od wystawienia przez osobę (potencjalną ofiarę) przedmiotu/usługi na sprzedaż, na jednym z portali ogłoszeniowych.
[Krok; 1] Po wystawieniu oferty do sprzedającego/usługodawcy zgłasza się potencjalnie zainteresowana zakupem osoba (przestępca), która po krótkiej rozmowie deklaruje chęć zakupu towaru (rys. 1).
Rysunek 1 Komunikacja przestępca - ofiara
Kontakt odbywa się najczęściej poprzez komunikator WhatsApp, zdarzają się jednak również inne formy kontaktu przestępcy z ofiarą. Wystawiający ogłoszenie (ofiara) dostaje taką propozycję przeprowadzenia transakcji, w której będzie miał możliwość „odebrania zapłaty za przedmiot/usługę” (rys. 2).
Rysunek 2 Oferta kupna poprzez "OLX dostawa"
Następnie wystawiający ogłoszenie otrzymuje instrukcję dalszego postępowania (rys. 3) oraz link do strony phishingowej.
Rysunek 3 Przykład instrukcji przysyłanej przez przestępcę
[Krok; 2] Link przekazany zostaje jednym z trzech kanałów:
- w trakcie rozmowy przez komunikator,
- w wiadomości SMS,
- w wiadomości e-mail.
Przesłany na komunikatorze link przekierowuje do fałszywej strony podszywającej się pod serwis ogłoszeniowy/usługowy lub firmę kurierską. Drugi przypadek odbywa się pod pretekstem pośrednictwa w płatności firmy przewozowej. Po wejściu na stronę ofiara najczęściej widzi informacje ze swojego ogłoszenia, dane potencjalnego kupującego oraz proszona jest o wpisanie swoich danych osobowych oraz danych karty płatniczej, i/lub z kodem 3DSecure lub o podanie danych uwierzytelniających do bankowości elektronicznej, wraz z autoryzacją (SMS-Kod, podpis mobilny) (rys 4).
Rysunek 4 Przykład wyglądu stron wyłudzających dane kart płatniczych
Jeżeli link phishingowy dostarczony został przez wiadomość SMS (rys. 5) lub e-mail, to przed jego wysłaniem rzekomy kupujący (przestępca) prosi wystawiającego (ofiarę) o podanie odpowiednich danych, tłumacząc potrzebę uzyskania informacji, pod pretekstem rzekomego wypełniania formularza zakupu.
Rysunek 5 Przykładowe wiadomości SMS z linkami phishingowymi
[Krok; 3] W scenariuszu oszustwa mogą pojawić się dodatkowe elementy tj.:
- potrzeba wpisania obecnego salda rachunku ofiary, tłumaczona przez przestępcę koniecznym procesem weryfikacji, aby odebrać środki (rys. 7), to sposób na pozyskanie informacji ile pieniędzy znajduje się na koncie ofiary, w sytuacji, kiedy przestępcy wyłudzają tylko dane kart płatniczych i nie mają dostępu do bankowości internetowej,
- zachęta do kontaktu z supportem dostępnym na stronie phishingowej (w rzeczywistości to dalsza rozmowa ofiary z przestępcą, który chwile wcześniej wcielił się w rolę potencjalnego kupującego).
Wykorzystanie dodatkowych elementów scenariusza zależy od metod działania konkretnej grupy przestępczej.
Rysunek 6 Potrzeba wpisania salda
[Krok; 4] Jeżeli od ofiary wyłudzone zostały dane karty płatniczej to pieniądze mogą być wyprowadzone w następujący sposób:
- zakup w sklepach z elektroniką, w kolejnym kroku przestępcy rezygnują z zakupu, a zwrot zapłaconej kwoty odbywa się na wskazany rachunek (nie na kartę, z której wykonano operację),
- operacja „karta – karta” – to usługa pozwalająca na przekazywanie pieniędzy pomiędzy dwiema kartami, w tej metodzie przestępcy automatycznie jako odbiorcę, często podstawiają przygotowaną wcześniej kartę QIWI (rys. 6),
- dodanie karty do portfela elektronicznego i przeprowadzenie szeregu innych operacji, bez konieczność wyłudzenia od ofiary kodów autoryzacyjnych (autoryzacja odbywa się poprzez aplikację/portfel elektroniczny).
Rysunek 7 Przykład usługi transakcji "karta - karta"
Jeżeli na stronie phishingowej wyłudzone zostały od ofiary dane uwierzytelniające do bankowości elektronicznej, to pieniądze wyprowadzone mogą zostać w następujący sposób:
- przelew na rachunek słupa lub innej ofiary,
- przelew na giełdę kryptowalutową,
- przelew na zakłady bukmacherskie,
- doładowanie telefonu przestępcy,
- płatność kartą w internecie,
- płatność w POS (terminal w stacjonarnym sklepie),
- wypłata BLIK w bankomacie,
- przelew na przekaz Poczty Polskiej.
Zdarza się, że po wyprowadzeniu pierwszych środków z rachunku ofiary przestępcy nadal kontynuują oszustwo. Korzystając z tego, że ofiara nie zorientowała się jeszcze, że jest oszukiwana, przestępca dalej prowadzi z nią rozmowę i pod pretekstem pomocy w zwrocie środków oraz otrzymania zapłaty za produkt/usługę musi wejść ona na kolejną stronę. Na fałszywej stronie ofiara będzie poproszona o wpisanie danych karty, jeżeli w pierwszym etapie oszustwa przestępcy wyłudzili już dane karty, to tutaj informują, że musi być to karta wydana do innego rachunku, tym sposobem wyprowadzają kolejne pieniądze. Po tym przestępca kończy rozmowę z wystawiającym ogłoszenie, a ten orientuje się, że został oszukany.
Aby nie paść ofiarą oszustów grasujących w sieci wystarczy pamiętać o kilku podstawowych zasadach bezpieczeństwa:
- przede wszystkim kieruj się zasadą ograniczonego zaufania – nigdy nie masz pewności kto może znajdować się po "drugiej stronie",
- tam gdzie jest to możliwe stosuj uwierzytelnienie dwuskładnikowe – dzięki temu do zalogowania się na twoje konto oprócz hasła, niezbędne będzie wprowadzenie dodatkowych kodów autoryzacyjnych lub potwierdzenia w aplikacji na twoim telefonie, ta forma zabezpieczenia znacznie ograniczy możliwość działań cyberprzestępców,
- pamiętaj o dokładnym weryfikowaniu adresu strony, na której się znajdujesz oraz zwróć szczególną uwagę na mogące się pojawić literówki bądź litery pochodzące z innych alfabetów,
- zawsze dokładnie czytaj komunikaty i sprawdzaj transakcje, które potwierdzasz w aplikacji mobilnej lub za pośrednictwem kod-ów SMS, w szczególności zwróć uwagę na numer rachunku odbiorcy i kwotę realizowanej operacji.
Pobierz dokument:
Oszustwa na portalach sprzedażowych.pdf