OSZUSTWA NA KUPUJĄCEGO
Wydarzenia ostatnich miesięcy pokazują jak dużą wartość stanowią dane użytkowników sieci Internet. Nasilające się kampanie phishingowe wymierzone w użytkowników portali sprzedażowych OLX, Vinted czy Allegro stały się bardzo popularne. Coraz więcej osób pada ofiarą oszustów grasujących w sieci. Schemat działania cyberprzestępców jest bardzo podobny we wszystkich wskazanych poniżej przykładach.
Bardzo często użytkownicy nieświadomi są tego, że uzyskanie dostępu do ich danych wiąże się z naruszeniem ich prywatności. Nie bez przyczyny mówi się, że dane są najcenniejszym dobrem – walutą naszych czasów. Patrząc na statystyki można zaobserwować, że głównym celem działań cyberprzestępczych jest monetyzacja. W omawianym przypadku, cyberprzestępcy w swoich działaniach również kierują się zasadą „follow the money”. W poniższym artykule przedstawione zostaną możliwe warianty ataków na portalach sprzedażowych. Omówione zostaną również konsekwencje, w przypadku, gdy użytkownicy padną ofiarami takiego przestępstwa, a także wskazane zostaną dobre praktyki pozwalające na bezpieczne funkcjonowanie w cyfrowym świecie.
Na czym polega ten rodzaj oszustwa?
Opisywany atak wymierzony jest w sprzedających przedmioty na popularnych portalach sprzedażowych. Najczęściej oszuści kontaktują się z ofiarą za pośrednictwem komunikatora WhatsApp, zgłaszając chęć zakupu produktu i zapłaty za niego z góry. Umieszczenie swojego numeru telefonu w profilu przez sprzedawcę umożliwia oszustowi nawiązanie kontaktu z nim za pośrednictwem tego komunikatora. Po zaakceptowaniu przez sprzedającego warunków zakupu, oszust przesyła do niego link, który rzekomo pozwoli na odebranie pieniędzy za sprzedany przedmiot.
Oto przykład rozmowy z oszustem za pośrednictwem komunikatora WhatsApp, w której wysyła ofierze link do odebrania swoich środków za sprzedany towar na portalu OLX.
W swoich działaniach oszust wykorzystuje socjotechnikę – sztukę manipulacji. Ofiara (w tym przypadku sprzedający produkt na portalu sprzedażowym) poprzez swoją niewiedzę i łatwowierność wpada w pułapkę oszusta. Oprócz wariantu z wykorzystaniem komunikatora WhatsApp istnieje jeszcze innych sposób, w którym sprzedający otrzymuje na swój adres e - mail wiadomość z linkiem prowadzącym do fałszywej strony, łudząco przypominającej OLX. Cyberprzestępcy w opisywanym przypadku prowadzą psychologiczną grę, próbując wpłynąć na zachowania użytkowników.
Co w sytuacji wprowadzenia swoich danych w przesłanym przez cyberprzestępcę linku?
Po kliknięciu w otrzymany link użytkownik – sprzedawca przekierowywany jest na fałszywą stronę OLX, na której rzekomo może odebrać swoje środki. Na poniższym zrzucie ekranu widnieje fałszywa strona OLX. Oszust, w celu uwiarygodnienia strony zamieszcza tam informacje dotyczące oferowanego przez sprzedawcę produktu, aby łudząco przypominała ona tę oryginalną. Przywiązuje on uwagę do wszelkich niuansów, ażeby na pierwszy rzut oka nie było możliwe odróżnienie strony fałszywej od prawdziwej.
Kliknięcie „odbierz środki” powoduje, że ofiara przekierowana zostaje do strony, gdzie wymagane jest podanie danych karty płatniczej, co rzekomo umożliwi przekazanie środków.
W kolejnym kroku od użytkownika wymaga się podania daty ważności karty oraz kodu CVV. Wpisanie tych danych na spreparowanej przez oszusta stronie prowadzi do ryzyka utraty pieniędzy. Oszuści wchodząc w posiadanie tych danych mogą dokonywać zakupów w Internecie.
Taki sam schemat działania występuje również na portalu sprzedażowym Allegro. Oto przykład:
Strona z fałszywymi płatnościami
W dalszej części ataku ofiara przekierowywana jest do strony, gdzie znajduje się fałszywa bramka płatności.
Po kliknięciu w ikonę banku następuje przekierowanie do fałszywej strony banku. Aby odróżnić domenę fałszywą od prawdziwej należy pamiętać, że na końcu domeny (po prawej stronie) zawsze znajduje się domena najwyższego poziomu. Pomimo tego, że na stronie widnieje zielona kłódka powoduje to tylko złudne poczucie bezpieczeństwa. Cyberprzestępcy, w celu uwiarygodnienia strony internetowej bardzo często zakupują certyfikaty SSL. Aby sprawdzić i zweryfikować dane firmy, dla której taki certyfikat został wystawiony należy kliknąć w zieloną kłódkę, znajdującą się przy pasku adresu strony internetowej. Po kliknięciu w „połączenie jest bezpieczne” widnieje nazwa banku, dla którego certyfikat został wystawiony.
Dane wprowadzone przez użytkownika na fałszywej stronie trafiają bezpośrednio do przestępcy, który loguje się na prawdziwej stronie banku z wykorzystaniem przechwyconych danych. Jeśli ofiara dokładnie nie przeczyta wiadomości SMS, która zawiera opis zatwierdzanej transakcji – wprowadzi kod autoryzacyjny na fałszywej stronie. W ten sposób oszuści definiują odbiorcę zaufanego, co pozwala im na kradzież wszystkich środków zgromadzonych na naszym rachunku bankowym.
Czym grozi wprowadzenie danych na fałszywej stronie?
Wprowadzenie danych na fałszywej stronie może posłużyć cyberprzestępcy do wykonania szeregu czynności. Oszust wchodząc w posiadanie naszego loginu i hasła może zalogować się do strony bankowości elektronicznej i zdefiniować odbiorcę zaufanego. Pozyskane przez oszusta dane pozwalają na kradzież wszystkich środków znajdujących się na naszym rachunku bankowym, a także zaciągnięcie innych zobowiązań tj. kredyty.
Co zrobić w przypadku wprowadzenia danych na fałszywej stronie?
W przypadku wprowadzenia danych na fałszywej stronie należy jak najszybciej powiadomić bank o zaistniałej sytuacji w celu zabezpieczenia naszego konta. Następnie, w przeciągu 24 godzin od wystąpienia incydentu należy zgłosić go do CERT Polska za pośrednictwem elektronicznego formularza dostępnego na stronie internetowej zespołu reagowania na incydenty. Kolejnym krokiem jest złożenie zawiadomienia o popełnieniu przestępstwa w najbliższej jednostce policji. Ofiarom oszustw przysługuje również możliwość złożenia reklamacji w banku.
Jak nie dać się okraść w Internecie? – przykłady dobrych praktyk
1. Przede wszystkim należy zachować ostrożność i kierować się zasadą ograniczonego zaufania!
2. Nie należy wchodzić w linki, które pochodzą z niezaufanego źródła!
3. Nie należy się spieszyć. Cyberprzestępcy bardzo często żądają od użytkowników natychmiastowej reakcji. To powinno nas zaniepokoić!
4. Należy zachować szczególną uwagę w podawaniu swoich danych autoryzacyjnych – podanie swojego loginu i hasła na fałszywej bramce płatności, a także kodu SMS definiującego odbiorcę zaufanego może doprowadzić do utraty naszych oszczędności na rachunku bankowym!
5. Dokonując płatności elektronicznych za zakupione przedmioty w Internecie zawsze należy sprawdzać czy w adresie strony banku nie pojawiła się literówka!
6. Nigdy nie należy podawać numeru swojej karty płatniczej czy kodu CVV.
7. Oszuści bardzo często nie posługują się poprawną polszczyzną – warto zwrócić szczególną uwagę na błędy językowe!
8. Należy na bieżąco śledzić aktualne komunikaty dotyczące zagrożeń w sieci. To pozwoli uchronić nas samych i naszych najbliższych przed tego typu oszustwami.
Podsumowanie
Przedstawione powyżej przykłady oszustw na portalach sprzedażowych pozwalają na stwierdzenie, że najsłabszym ogniwem jest zawsze człowiek. Należy tutaj wskazać, że w kontekście zapobiegania oszustwom w Internecie szczególne ważne wydaje się być budowanie świadomości użytkowników. Pojawiające się kampanie edukacyjne banków czy krajowych organów nadzoru, w tym Komisji Nadzoru Finansowego skierowane do użytkowników sieci Internet z pewnością przyczyniają się do poprawy sytuacji i uchronienia ich przed atakami cyberprzestępców, a także świadome funkcjonowanie. Zwiększanie świadomości obywateli stanowi kluczową rolę w budowaniu stabilności finansowej sektora bankowego.
