Bezpieczeństwo podczas zakupów w Internecie

Do Ośrodka Doradztwa Finansowego i Konsumenckiego w Gdyni zgłosiła się klientka z prośbą o pomoc w zakresie bezpieczeństwa danych w związku z transakcją sprzedaży na jednym z portali ogłoszeniowych. Klientka sprzedając przedmiot przekazała informacje dotyczące jej rachunku bankowego za pośrednictwem fałszywej strony internetowej. Kobieta zastanawia się jak może zabezpieczyć swoje środki znajdujące się na koncie oraz chronić się na wypadek podobnych zdarzeń w przyszłości.

Czym są serwisy ogłoszeniowe?

Są to  serwisy internetowe, skierowane przede wszystkim do osób prywatnych za pomocą, których można dokonać zakupu lub sprzedaży, najczęściej używanych rzeczy takich jak np. ubrania, meble, sprzęt AGD lub książki.

Klientka, która skontaktowała się z Ośrodkiem wielokrotnie korzystała z usług oferowanych przez jeden z serwisów ogłoszeniowych i nigdy wcześniej nie doświadczyła jakichkolwiek niedogodności podczas transakcji. Tym razem miała na tym serwisie ogłoszeniowym wystawione przedmioty na sprzedaż, więc gdy skontaktowała się z nią osoba zainteresowana zakupem nie widziała w tym nic niepokojącego.

Dzięki uprzejmości klientki zostały udostępnione zdjęcia, komunikatów, które otrzymała w trakcie transakcji sprzedaży  i które wykonała w celach dowodowych. Na ich podstawie prześledzimy sposób  działania oszustów i będzie możliwe omówienie niepokojących sygnałów, na które należy zwrócić uwagę podczas dokonywania zakupów lub sprzedaży przedmiotów na stronach specjalnie temu dedykowanych.

Zdjęcie 1 – Oszust kontaktuje się z klientką, która ma wystawione na sprzedaż dwa przedmioty: mundurek i router.

  • Pierwszym niepokojącym sygnałem jest numer telefonu, z którego kontaktuje się kupujący. Z całą pewnością nie jest to telefon zarejestrowany w Polsce, ponieważ numer telefonu kierunkowego w Polsce to +48.
  • Drugim niepokojącym sygnałem jest fakt, że kupujący nie precyzuje przedmiotu zakupu.
  • Pomimo prośby o doprecyzowanie przedmiotu zakupu, kupujący w dalszym ciągu nie wskazuje czym jest zainteresowany, jedynie dopytuje o stan fizyczny przedmiotu.
  • Po zapoznaniu się z korespondencją można odnieść wrażenie, że kupujący nie rozumienie/nie czyta wiadomości przesyłanych przez sprzedającego.

Zdjęcie 2 – Oszust próbując uprawdopodobnić transakcję powołuje się na procedury obowiązujące na serwisie sprzedażowym.

  • Kupujący po wyrażeniu zainteresowania przedmiotem oraz prośby o przesłanie przedmiotu zakupu przesyła na komunikatorze zdjęcie z informacją o procedurze dostawy na serwisie sprzedażowym. (Najprawdopodobniej powyższe zdjęcie było fałszywe)
  • Kupujący w dalszym ciągu nie precyzuje przedmiotu, który by go interesował. (Sprzedawca powinien w tym momencie zastanowić się, czy osoba jest rzeczywiście zainteresowana zakupem).

Zdjęcie 3 – Oszust przesyła fałszywy link do przedmiotu sprzedaży – munduru harcerskiego.

  • Kupujący nie precyzuje przedmiotu zakupu, jednakże przesyła link do przedmiotu, który wystawił sprzedający.
    Powyższy link jest stworzony przez hackera. Nie jest to prawdziwy link z serwisu ogłoszeniowego, ale podrobiony.
  • Kupujący wskazał, że już zapłacił za przedmiot razem z przesyłką. Jednocześnie uprzedził, że gdy pojawią się problemy istnieje możliwość kontaktu z konsultantem serwisu ogłoszeniowego.

Sprzedający po uzyskaniu informacji o płatności postanowił przyjąć płatność zgodnie z procedurą przesłaną przez kupującego. Sprzedający podczas odbioru płatności zauważył, że był zobowiązany do podania danych, o które wcześniej nie był proszony.

Poniższy obraz został przygotowany przez autora artykułu, z uwagi na braki dokumentacyjne klientki Ośrodka. Obraz odzwierciedla opcje jakie zostały przedstawione po wejściu na link udostępniony przez kupującego

Zdjęcie 4 – Klientka została przekierowana na fałszywą stronę banku

  • w pierwszej kolejności sprzedająca zdecydowała się odebrać płatność i została przekierowana na stronę banku (która okazała się być fałszywa). Sprzedająca, aby odebrać kwotę z tytułu zapłaty została zobowiązana do podania następujących danych:
    1. Numeru swojej karty kredytowej
    2. Numer cvv
    3. Pełnego hasła do bankowości mobilnej/internetowej
    Klientka podała zarówno numer karty kredytowej oraz cvv, jednakże była bardzo zaskoczona żądaniem podania pełnego hasła, ponieważ wcześniej bank żądał podania jedynie wybranych znaków hasła. Nigdy nie żądał całego.
  • Klientka zdecydowała się nie podawać pełnego hasła i skontaktować się z konsultantem banku.

Zdjęcie 5 – Klientka podejrzewa oszustwo i komunikuje się z fałszywą konsultantką banku ( o czym na etapie konsultacji nie miała wiedzy).

  • Po kliknięciu przycisku „skontaktuj się z konsultantem) pojawił następujący komunikator, który również był stworzony przez hackerów.
  • Klientka wskazała konsultantce, że żądanie podania pełnego hasła jest dla niej niecodzienną praktyką banku i nigdy wcześniej nie doświadczyła podobnej sytuacji.

Zdjęcie 6 – Fałszywa konsultantka – ciąg dalszy

  • Konsultantka zapewniła, że działanie banku jest jak najbardziej prawidłowe i klientka powinna podać wszelkie dane w celu weryfikacji jej jako sprzedającego.
  • Gdy sprzedającą wskazała, że działanie wydaje jej się podejrzane konsultantka pozostawiła treść bez odpowiedzi.

Przedstawiony powyżej proceder wskazuje jak drobiazgowo i z jakim profesjonalizmem grupy przestępcze umiejętnie potrafią zmanipulować ofiarą, aby wyłudzić od niej dane.

Klientka ODFiK wskazała, że po zaistniałej sytuacji kontaktowała się ze swoim bankiem telefonicznie w celu weryfikacji, czy nie nastąpiła kradzież jej środków. Podczas rozmowy uzyskała informację, że przestępca za pomocą wyłudzonych danych próbował zalogować się na jej konto dwukrotnie.

Podczas udzielania porady Doradca oprócz zmiany wszelkich haseł i loginów zalecił zawiadomienie Policji o próbie wyłudzenia danych. Zalecono również ostrożność podczas kolejnych transakcji sprzedaży oraz propozycję kontaktu telefonicznie z potencjalnym kupującym.

Pamiętaj:

  • NIGDY nie wchodź w dołączone do wiadomości linki i nie loguj się przez nie na swój rachunek w banku czy w SKOK.
  • NIGDY nie podawaj loginu i hasła do bankowości internetowej czy też danych swojej karty płatniczej.
  • Konsultant instytucji finansowej NIGDY nie zapyta Cię o takie informacje jak np. loginy i hasła do bankowości elektronicznej, PIN, kody weryfikacyjne do kart płatniczych itp.

Autor: Piotr Tokarczyk – specjalista d/s prawnych w Ośrodku Doradztwa Finansowego i Konsumenckiego Gdyni.