Poniżej przedstawiamy pełny opis schematu oszustwa oraz dokument PDF, w którym umieściliśmy wybrane screenshoty dotyczące tego oszustwa.

PEŁNY SCHEMAT OSZUSTWA:

Pierwsze zidentyfikowane kampanie, wykorzystujące opisywany scenariusz, wykryto już w 2020 roku. W Polsce schemat pojawił się w listopadzie 2020 roku. Niestety, cały proces jest tak dobrze przygotowany przez zorganizowane grupy przestępcze, że trwa nieprzerwanie od kilkudziesięciu miesięcy zbierając żniwo w postaci pieniędzy klientów używających bankowość internetową i/lub posiadających karty płatnicze. 

Scenariusz rozpoczyna się od wystawienia przez osobę (potencjalną ofiarę) przedmiotu/usługi na sprzedaż, na jednym z portali ogłoszeniowych.

[Krok; 1] Po wystawieniu oferty do sprzedającego/usługodawcy zgłasza się potencjalnie zainteresowana zakupem osoba (przestępca), która po krótkiej rozmowie deklaruje chęć zakupu towaru (rys. 1).

Rysunek 1 Komunikacja przestępca - ofiara

 

Kontakt odbywa się najczęściej poprzez komunikator WhatsApp, zdarzają się jednak również inne formy kontaktu przestępcy z ofiarą. Wystawiający ogłoszenie (ofiara) dostaje taką propozycję przeprowadzenia transakcji, w której będzie miał możliwość „odebrania zapłaty za przedmiot/usługę” (rys. 2). 

Rysunek 2 Oferta kupna poprzez "OLX dostawa"

 

Następnie wystawiający ogłoszenie otrzymuje instrukcję dalszego postępowania (rys. 3) oraz link do strony phishingowej.

 

Rysunek 3 Przykład instrukcji przysyłanej przez przestępcę

 

[Krok; 2] Link przekazany zostaje jednym z trzech kanałów:

  • w trakcie rozmowy przez komunikator,
  • w wiadomości SMS,
  • w wiadomości e-mail.

Przesłany na komunikatorze link przekierowuje do fałszywej strony podszywającej się pod serwis ogłoszeniowy/usługowy lub firmę kurierską. Drugi przypadek odbywa się pod pretekstem pośrednictwa w płatności firmy przewozowej. Po wejściu na stronę ofiara najczęściej widzi informacje ze swojego ogłoszenia, dane potencjalnego kupującego oraz proszona jest o wpisanie swoich danych osobowych oraz danych karty płatniczej, i/lub z kodem 3DSecure lub o podanie danych uwierzytelniających do bankowości elektronicznej, wraz z autoryzacją (SMS-Kod, podpis mobilny) (rys 4).

 

Rysunek 4 Przykład wyglądu stron wyłudzających dane kart płatniczych

 

Jeżeli link phishingowy dostarczony został przez wiadomość SMS (rys. 5) lub e-mail, to przed jego wysłaniem rzekomy kupujący (przestępca) prosi wystawiającego (ofiarę) o podanie odpowiednich danych, tłumacząc potrzebę uzyskania informacji, pod pretekstem rzekomego wypełniania formularza zakupu.

Rysunek 5 Przykładowe wiadomości SMS z linkami phishingowymi

 

[Krok; 3] W scenariuszu oszustwa mogą pojawić się dodatkowe elementy tj.:

  • potrzeba wpisania obecnego salda rachunku ofiary, tłumaczona przez przestępcę koniecznym procesem weryfikacji, aby odebrać środki (rys. 7), to sposób na pozyskanie informacji ile pieniędzy znajduje się na koncie ofiary, w sytuacji, kiedy przestępcy wyłudzają tylko dane kart płatniczych i nie mają dostępu do bankowości internetowej,
  • zachęta do kontaktu z supportem dostępnym na stronie phishingowej (w rzeczywistości to dalsza rozmowa ofiary z przestępcą, który chwile wcześniej wcielił się w rolę potencjalnego kupującego).

 

Wykorzystanie dodatkowych elementów scenariusza zależy od metod działania konkretnej grupy przestępczej.

Rysunek 6 Potrzeba wpisania salda

 

[Krok; 4] Jeżeli od ofiary wyłudzone zostały dane karty płatniczej to pieniądze mogą być wyprowadzone w następujący sposób:

  • zakup w sklepach z elektroniką, w kolejnym kroku przestępcy rezygnują z zakupu, a zwrot zapłaconej kwoty odbywa się na wskazany rachunek (nie na kartę, z której wykonano operację),
  • operacja „karta – karta” – to usługa pozwalająca na przekazywanie pieniędzy pomiędzy dwiema kartami, w tej metodzie przestępcy automatycznie jako odbiorcę, często podstawiają przygotowaną wcześniej kartę QIWI (rys. 6),
  • dodanie karty do portfela elektronicznego i przeprowadzenie szeregu innych operacji, bez konieczność wyłudzenia od ofiary kodów autoryzacyjnych (autoryzacja odbywa się poprzez aplikację/portfel elektroniczny).

Rysunek 7 Przykład usługi transakcji "karta - karta"

 

Jeżeli na stronie phishingowej wyłudzone zostały od ofiary dane uwierzytelniające do bankowości elektronicznej, to pieniądze wyprowadzone mogą zostać w następujący sposób:

  • przelew na rachunek słupa lub innej ofiary,
  • przelew na giełdę kryptowalutową,
  • przelew na zakłady bukmacherskie,
  • doładowanie telefonu przestępcy,
  • płatność kartą w internecie,
  • płatność w POS (terminal w stacjonarnym sklepie),
  • wypłata BLIK w bankomacie,
  • przelew na przekaz Poczty Polskiej.

Zdarza się, że po wyprowadzeniu pierwszych środków z rachunku ofiary przestępcy nadal kontynuują oszustwo. Korzystając z tego, że ofiara nie zorientowała się jeszcze, że jest oszukiwana, przestępca dalej prowadzi z nią rozmowę i pod pretekstem pomocy w zwrocie środków oraz otrzymania zapłaty za produkt/usługę musi wejść ona na kolejną stronę. Na fałszywej stronie ofiara będzie poproszona o wpisanie danych karty, jeżeli w pierwszym etapie oszustwa przestępcy wyłudzili już dane karty, to tutaj informują, że musi być to karta wydana do innego rachunku, tym sposobem wyprowadzają kolejne pieniądze. Po tym przestępca kończy rozmowę z wystawiającym ogłoszenie, a ten orientuje się, że został oszukany.

 

Aby nie paść ofiarą oszustów grasujących w sieci wystarczy pamiętać o kilku podstawowych zasadach bezpieczeństwa: 

  • przede wszystkim kieruj się zasadą ograniczonego zaufania – nigdy nie masz pewności kto może znajdować się po "drugiej stronie",
  • tam gdzie jest to możliwe stosuj uwierzytelnienie dwuskładnikowe – dzięki temu do zalogowania się na twoje konto oprócz hasła, niezbędne będzie wprowadzenie dodatkowych kodów autoryzacyjnych lub potwierdzenia w aplikacji na twoim telefonie, ta forma zabezpieczenia znacznie ograniczy możliwość działań cyberprzestępców,
  • pamiętaj o dokładnym weryfikowaniu adresu strony, na której się znajdujesz oraz zwróć szczególną uwagę na mogące się pojawić literówki bądź litery pochodzące z innych alfabetów,
  • zawsze dokładnie czytaj komunikaty i sprawdzaj transakcje, które potwierdzasz w aplikacji mobilnej lub za pośrednictwem kod-ów SMS, w szczególności zwróć uwagę na numer rachunku odbiorcy i kwotę realizowanej operacji.

Pobierz dokument:
Oszustwa na portalach sprzedażowych.pdf