Potężny atak na użytkowników OLX – setki Polaków poszkodowanych
Od kilkunastu tygodni obserwujemy narastającą falę ataków wymierzonych w Polaków. Nie ma dnia, aby nie zgłosiły się do nas poszkodowane osoby. Ofiary tracą średnio po kilkanaście tysięcy złotych, a niektórzy wszystkie swoje oszczędności. Policja jest bezradna, a problem urósł do skali, jakiej do tej pory jeszcze nie widzieliśmy w Polskim internecie.
Nigdy nie podawaj numeru karty płatniczej po to aby otrzymać pieniądze. Podanie numeru karty oznacza, że ktoś pobierze z niej pieniądze.
Wyjaśnienie i szczegóły poniżej.
Wschodni sąsiedzi okradają nas na potęgę
Do zeszłego miesiąca, najpopularniejszym obserwowanym przez nas atakiem były tzw. “SMS-y na dopłatę“, których różne warianty (na kuriera, na komornika, na dezynfekcję) Tygodniowo zgłaszało się od kilku do kilkunastu osób, które traciły dziesiątki, a czasem nawet setki tysięcy złotych w tych atakach.
W drugiej połowie 2020 roku na polski rynek weszli jednak “nowi gracze” zza wschodniej granicy (ten wątek jeszcze rozwiniemy w dalszej części artykułu). Na celownik wzięli osoby sprzedające różne rzeczy na OLX. Po pół roku funkcjonowania tego scamu, stał się on najpopularniejszym zgłaszanym internetowym oszustwem.
Obecnie, dziennie jest kilkadziesiąt zgłoszeń od oszukanych osób, z których każda traci od kilku do kilkudziesięciu tysięcy złotych. Poniżej opisujemy ten scam, jego różne warianty i to jak się przed nim uchronić oraz co robić, jeśli ktoś dał się podejść.
Mamy do Ciebie olbrzymią prośbę, drogi Czytelniku. Zanim doczytasz ten artykuł do końca, zanim Cię coś rozproszy i uciekniesz z tej strony — skopiuj linka do tego artykułu i prześlij go wszystkim znajomym. Teraz. Prześlij nawet tym, którzy nie korzystają z OLX. Nawet tym, którzy — jak Ci się wydaje — nigdy nie daliby się nabrać. Wrzuć na osiedlowe forum, WhatsAppową grupę ze znajomymi ze studiów, do firmowego newslettera.Prawie nigdy nie prosimy o tak “drastyczne” działania. Ale w tym przypadku trzeba. Naprawdę trzeba. Wśród ofiar tego przekrętu są ludzie, którzy sami e-maila zaczynaja od słów “pracuję w IT. Nigdy nie sądziłem, że będę ofiarą, ale…“.
Weź więc tego linka i ślij do wszystkich znajomych, póki nie jest za późno. A oni niech ostrzegą swoich znajomych. Takiej skali ataku jeszcze w Polskim internecie nie widzieliśmy. Nigdy.
Na czym polega atak?
W dużym skrócie, na udawaniu kupującego i wyciągnięciu od ofiary (sprzedającego) numeru karty płatniczej oraz innych danych pod pretekstem otrzymania zapłaty za zakupiony produkt. W szczególe, wygląda to tak:
- Wystawiasz coś na OLX
- Odzywa się do Ciebie osoba, która jest zainteresowana Twoim przedmiotem. Może odezwać się na OLX i poprosić Cię o adres e-mail, na który wyśle Ci fałszywą wiadomość podszywającą się pod OLX:
Może też odezwać się do Ciebie na WhatsAppie, bo ma Twój numer telefonu z ogłoszenia na OLX. W rozmowie podeśle Ci linka do fałszywej strony OLX:
- Niezależnie od formy kontaktu (e-mail, whatsapp), oszust wyśle Ci linka do podrobionej strony i poinformuje, że musisz tam przejść aby zaakceptować odbiór pieniędzy. Najczęściej fałszywa strona będzie udawać OLX…
- …ale oszuści podszywają się też pod firmy kurierskie.
Niezależnie od tego, pod kogo podszyje się oszust, na fałszywej stronie najczęściej zostaniesz poproszony o podanie danych karty płatniczej (co od razu umożliwi kradzież pieniędzy z rachunku bankowego podpiętego do karty):
Coraz częściej jednak, ofiary są proszone o dodatkowe dane. W zależności od wariantu ataku, mogą to być dane dostępowe do konta bankowego lub dane osobowe, takie jak np. PESEL i nazwisko panieńskie matki, a potem kod z SMS-a, co pozwala oszustowi podpiąć do rachunku bankowego ofiary aplikację mobilną i wyczyścić przez nią konto do zera.
Oto przebieg wariantu ataku (z wczoraj), krok-po-kroku:
Warto zwrócić uwagę, że przestępcy w rozmowie z ofiarą uwiarygadniają swój atak, prezentując ofierze na podrobionych stronach informacje dotyczące dokładnie tego produktu, który sprzedaje. Często wysyłają też całkiem nieźle przygotowane plakaty i dokumenty, które udają oficjalne dokumenty OLX i z których wyczytać można, że taka forma płatności za transakcję jest “poprawna i bezpieczna”. Generują też fałszywe potwierdzenia przelewu:
Niby nic innowacyjnego, ale ofiar jest móstwo!
Zarówno e-maile wysyłane rzekomo od OLX, jak i linki kierujące do strony “potwierdzającej odbiór pieniędzy” są fałszywe i dość łatwe do wykrycia na pierwszy rzut oka. Oto dwa przykładowe:
olxpoland41@gmail.com
https://olx.polsko-oferta[.]life
Ale ponieważ atak często rozgrywa się na WhatsAppie, czyli w sytuacji w której ofiara korzysta ze smartfona, to te adresy nie zawsze są dla ofiary tak “widoczne” jak na komputerze. Część programów pocztowych maskuje też pole nadawcy, a mało kto w nie klika, aby zobaczyć pełen adres:
O ile przyjmujemy do wiadomości, że na etapie linku/emaila ofiary nie orientują się, że coś jest nie tak, to naprawdę, z dużym trudem przyszło nam zaakceptowanie tego, że tak wiele osób na kolejnym etapie oszustwa, kiedy trzeba podać numer karty aby odebrać pieniądze za “sprzedany” produkt, robi to bez najmniejszego wahania. Po rozmowach z tymi ofiarami przeżyliśmy szok. Okazuje się, że wiele osób zupełnie nie rozumie jak działają karty płatnicze, którymi na co dzień się posługują.
Jedna, najważniejsza rada
Długo zastanawialiśmy się, jak przetrącić ten atak jedną poradą. I chyba najważniejsza do zapamiętania rzecz, która pozwoli wykryć i przerwać ten atak, to:
Nigdy nie podawaj numeru karty płatniczej po to aby otrzymać pieniądze. Podanie numeru karty oznacza, że ktoś pobierze z niej pieniądze.
Tak, wiemy, że da się na kartę płatniczą także przesłać pieniądze i zrobić przelew. Ale jest to bardzo rzadko wykorzystywana forma transakcji i nie wchodząc w niuanse techniczne, prawie zawsze powiązana ze zwrotem środków za transakcję, którą wcześniej sami tą samą kartą dokonaliśmy. Dlatego zwykłej osobie najlepiej naszym zdaniem powiedzieć tak:
Jeśli gdzieś podajesz dane swojej karty to ktoś pobierze Ci z niej pieniądze. Pobierze a nie wpłaci. Nigdy nie podawaj w internecie numeru karty w celu otrzymania pieniędzy.
Uważamy, że to konieczny kompromis, między rzetelnością a skutecznością porady.
Inne przydatne rady dla sprzedających na OLX
Każda osoba sprzedająca na OLX (i nie tylko tam) powinna stosować się do następujących zasad:
- Preferuj odbiór osobisty przedmiotu, korzystaj z przesyłek OLX (ale najpierw dokładnie wczytaj się i zrozum jak działają!) albo po prostu wysyłaj go kupującemu kurierem tylko po upewnieniu się, że pieniądze za przedmiot są na Twoim rachunku bankowym. Nie ufaj żadnym zrzutom ekranu lub plikom PDF z potwierdzeniem nadania przelewu, mogą być podrobione
- Ograniczaj ryzyko utraty pieniędzy. Nie trzymaj wszystkich oszczędności na jednym koncie w jednym banku. Skonfiguruj też odpowiednie limity na karcie płatniczej i włącz pozostałe zabezpieczenia, jakie oferuje Twój bank
- Bądź podejrzliwy w stosunku do wiadomości od osób, które nie używają poprawnej polszczyzny. Nie zawsze ktoś, kto nie posługuje się językiem polskim jest oszustem. Ale w prawie wszystkich przypadkach, które analizowaliśmy, język polski nie był używany poprawnie. Co prowadzi nas do kolejnego akapitu…
Kto stoi za tymi atakami?
Uważni czytelnicy zapewne zauważyli na niektórych z powyższych zrzutów, kilka charakterystycznych dla naszych wschodnich sąsiadów elementów. Jak choćby uśmiechanie się przez )))) (brak “:”). Wiele z innych cech, które zaobserwowaliśmy wskazuje, że za atakami na OLX stoją rekrutowani na potęgę Rosjanie i Ukraińcy.
Nasze obserwacje co do narodowości atakujących potwierdza też raport, który wskazuje, że na Telegramie znaleźć można boty ułatwiające przeprowadzenie ataku. Wystarczy, że oszust wklei botowi “dane” dotyczące ofiary, a w odpowiedzi otrzyma odpowiednie linki i materiały do przesłania ofierze:
Zrekrutowani “rozmawiacze”, którzy po prostu chcą sobie dorobić, nie muszą mieć żadnych umiejętności. Od prawdziwych cyberprzestępców otrzymują dostęp do narzędzi, w tym botów na Telegramie, które pozwalają im szybko generować fałszywe strony internetowe, automatycznie generowane na podstawie linku do ogłoszenia oszukiwanej osoby.
Wedle opublikowanego w styczniu raportu, w 2020 roku na tym polu działało ok. 40 grup. W ostatnich tygodniach odnosimy wrażenie, że ofiar — a zatem grup, które wzięły sobie na celownik Polskę — przybywa. Niektórzy z atakujących, przyłapani na próbie oszustwa czasem mają chwile szczerości. Ujawniają wtedy niedoszłym ofiarom, że sami w ciągu dnia potrafią oszukać kilkadziesiąt osób, a takich jak oni jest w grupie wielu… Polecamy lekturę tej rozmowy, uwiecznionej przez jednego z użytkowników Wykopu.
Ale mnie już oszukali!
Przykro nam. Pozostaje Ci ścieżka reklamacji w banku — standardowa dla kradzieży przez przelew i procedura Chargeback dla operacji na kartach płatniczych. Niekiedy się udaje, zwłaszcza jeśli wcześniej zadziałały antyfraudowe mechanizmy w banku i pieniądze zostały “zatrzymane gdzieś po drodze”, albo transakcja na karcie nie została potwierdzona kodem 3DSecure. Ale to rzadkość. Częściej bank odrzuci Twoją reklamację, bo wszystkie operacje, zarówno te na karcie jak i te na Twoim koncie, zostały przez Ciebie poprawnie autoryzowane — najczęściej przez przepisanie kodu z SMS-a do fałszywej strony, choć treść SMS-a z kodem informowała Cię o tym, że wcale nie “odbierasz płatności z OLX” a np.:
- dodajesz do konta nowe urządzenie/aplikację.
- autoryzujesz operację kartową 3D Secure na konkretną kwotę
Bank uznaje takie działania za rażącą niedbałość i ciężko tu polemizować, że w ogóle “nie przyłożyłeś się” do ataku i nie byłeś go świadomy. Niektórzy z poszkodowanych próbują iść z tym do sądu i nawet coraz częściej wygrywają. Niestety, jeśli reklamacja zostanie odrzucona, to właśnie sprawa w sądzie jest Twoją ostatnią deską ratunku.
Naszym zdaniem, lepsza od reakcji jest prewencja. Dlatego:
Ostrzeż znajomych!
Na koniec jeszcze raz prosimy Was o przesłanie linka do tego artykułu wszędzie, gdzie możecie. Tak dużej liczby codziennego przyrostu ofiar nie widzieliśmy jeszcze nie było.
0 komentarzy