Opisana w skrócie historia przydarzyła mi się osobiście, jednak zachowując w odpowiednim momencie czujność, rozpoznając zawczasu sygnały, które przekazywał mi nieświadomie oszust, mogłem zaoszczędzić dużą kwotę. Ten krótki i edukacyjny materiał trzeba pokazać osobom, które są mało zaznajomione z Internetem, a jednak korzystają z e-handlu. Informacje o takich atakach, które w początkowej fazie mają za zadanie wzbudzić zaufanie, mogą być bezcenne. Postaram się to wyjaśnić najbardziej precyzyjnie, jak potrafię:
Sprzedaż roweru
Zarówno na OLX, jak i Facebooku Marketplace, wystawiłem podczas wakacji ogłoszenie o sprzedaży roweru szosowego. Po pewnym czasie zgłasza się z pytaniem niejaki „Maciej Kowalczyk”, czy rower jest dostępny. Odpisuję, że tak:
Do następnej interakcji dochodzi ponad 2 tygodnie później. To zrozumiałe – rower nie jest tani, dlatego nie wzbudza to żadnych podejrzeń, jeśli ktoś potrzebuje się zastanowić, by lepiej przemyśleć decyzję.
Dochodzi do szybkiej wymiany zdań: potencjalny kupujący nie zadaje żadnych dodatkowych pytań na temat sprzedawanego przedmiotu. Od razu chce przystąpić do realizacji zamówienia, nie interesuje go rozmiar ramy (czy rower będzie odpowiedni do jego wzrostu), historia przeglądów, ewentualny dowód zakupu.
Jeszcze jestem w stanie to zrozumieć – nie widzę żadnego problemu. Nie moje pieniądze, „jeśli zrobisz przelew, to wysyłam” – pomyślałem. Numer konta przekazałem, ale z pewnymi ukrytymi zastrzeżeniami. Celowo nie podałem miejsca zamieszkania, a zrobiłem to tak:
Grzecznie informuję, że koszty transportu nie są dla mnie problemem, biorę je na klatę, aby kupujący był zadowolony i aby przypadkiem nic złego się nie przydarzyło podczas transportu sprzętu.
Gość dalej swoje – zdziwiło mnie, że kurier zajmuje się pakowaniem paczek, ale nie wnikałem w szczegóły, bo może jest jakaś niestandardowa umowa, którą można podpisać z firmą kurierską, jeżeli często zajmujesz się wysyłką wielkogabarytową.
Zwróć uwagę na szczegóły finansowe. Nie otrzymujesz przelewu na swoje konto bezpośrednio, ale na jakiś dziwny rachunek z tytułem, jakoby to InPost otrzymał wpłatę, a kurier miał zapłacić za towar.
Po otrzymaniu poniższej wiadomości wszystko było już jasne, że mam do czynienia z oszustwem i naciągaczem. To znaczy, wiedziałem o tym wcześniej, a wszystkie drobne niuanse rozpisuję w następnym akapicie. Dodatkowo otrzymuję jeszcze link do czegoś, co wygląda na fałszywą bramkę płatności. Zaraz, zaraz, to kto jest kupującym na tej aukcji? 🙂
Czy da się szybko rozpoznać, czy masz do czynienia z oszustem?
Spróbuj porównać punkty, które wymieniam poniżej z tymi, które mogły się pokrywać tobie przy dokonywaniu realnej transakcji:
1. Konto społecznościowe jest puste. Zaglądam na profil społecznościowy niejakiego Macieja. Oprócz 3 zdjęć nie zawiera żadnej aktywności, postów. OK – nie jest to jeszcze wielki sygnał ostrzegawczy, ponieważ nie każdy chce korzystać z danej platformy społecznościowej. W dodatku konta użytkowników są też przejmowane, aktywność jest usuwana z powodu słabych, domyślnych ustawień zabezpieczeń.
2. Nie pyta o szczegóły kupowanego towaru. Kiedy kupujesz dobrze opisany sprzęt komputerowy, nie zawsze chcesz wiedzieć, jaki system operacyjny jest zainstalowany, bo i tak zrobisz wszystko po swojemu. Jednak kupując nietani rower szosowy, warto byłoby dopytać o potencjalną historię przeglądów serwisowych, przebieg kilometrów, gwarancję producenta itp.
3. Nie po polsku – „proszę pana czekać 5-10 minut”. Ilość oszustw phishingowych, z jakimi mam do czynienia, wyczuliła mnie na zwracanie uwagi na formułowane zdania przez naszych bliższych i dalszych sąsiadów ze Wschodu.
4. Kurier sam będzie pakował rower. Najlepiej jeszcze, aby sam odkręcił koła, siodełko, sztycę podsiodłową i ewentualnie korbę… Nie sądzę, aby jakakolwiek firma kurierska posiadała tak dostosowaną do klienta usługę.
5. Szczegóły „transakcji”. Mamy podszywanie się pod bank, pracownika banku, fałszywe szczegóły transakcji z numerem konta, tytułem. W generowanych potwierdzeniach bankowych nie znajdują się numery kontaktowe do pracowników banków z imienia i nazwiska.
6. Gdzie wysłać tego kuriera? Oszust zapomniał drążyć tematu z adresem dostawy. Wysypał się wcześniej niż myślał, albo potencjalnych ofiar ma tak dużo, że nie ogarnia szczegółów, idzie na ilość, a nie na jakość.
7. Link do płatności. Najpierw wzbudzają zaufanie, a potem podają link i wychodzi na to, że to Ty musisz jeszcze komuś zapłacić, aby otrzymać pieniądze. Nie daj się naciąć! Nigdy!
Podsumowując, mamy co najmniej 7 punktów, dzięki którym możesz w przyszłości uchronić swoje finanse przed przekazaniem je w ręce przestępcy. Na koniec, co możesz zrobić w podobnej sytuacji? Zgłosić profil platformie społecznościowej jako oszustwo, jako naruszenie standardów społeczności – najprawdopodobniej i tak prośba zostanie odrzucona przed moderację.
Możesz też zapoznać się z podobnym, niebanalnym atakiem na platformie Instagram – użycie zdjęcia z Instagrama jako inspiracji do namalowania obrazu w zamian za prawa autorskie do wizerunku. Podobnych ataków jest dużo w cyberprzestrzeni (uważaj też na dobre podszywanie się pod strony www znanych firm), dlatego nie zasypujemy już szczegółami, życząc udanego zapiątku 🙂
