Sprzedajesz coś na OLX, bardzo szybko znajduje się kupiec.
Kupiec dopytuje o stan towaru, czy jest opakowanie, czy bateria działa, daje jakieś zaczepne pytanie adekwatne do towaru.
Chwilę później informuje, że dokonał już płatności i przesyła link do OLX, w którym aby dopełnić formalności masz wpisać numer karty płatniczej, na który mają trafić środki.
Po co to? Gdzie tu ryzyko?
Czy już mnie okradli?
Co mam z tym zrobić?
Wyjaśniam w kolejnych akapitach.
Poniżej opisana sytuacja dotyczy serwisu OLX.
Z pewnością oszuści robią coś podobnego na innych serwisach, gdzie jest mozliwość kontaktu pisemnego ze sprzedającym.
Ale o co chodzi?
Przestępcy znaleźli kolejny sposób okradania.
Było już na sposób nigeryjski, a teraz jest na wyłudzenie numeru karty płatniczej.
Ale ja nie mam na OLX karty płatniczej! Tak sobie pewnie pomyślisz i masz rację. Nie masz jej tam:) I wie to również przestępca.
W wielki skrócie chodzi i wyłudzenie numeru karty płatniczej, który oszustowi pozwoli dokonać błyskawicznych zakupów „gdzieś” w internecie. Sposobem jest przedstawienie Tobie takiego argumentu, byś podał/podała ten numer sam/sama.
Po kolei:)
- wystawiasz na OLX jakąś ofertę sprzedaży. Czekasz, aż klient się zainteresuje, dobijecie targu i albo wyślesz komuś towar, lub przyjedzie do Ciebie po niego i zapłaci gotówką.
a. to model biznesowy serwisu OLX, który jest zupełnie naturalny
b. OLX dołożył funkcję ułatwiającą przesyłkę i płatność, to na tym żerują oszuści - Tutaj zjawia się oszust:)
- W przeciwieństwie do wspomnianego nigeryjskiego oszustwa, w tym przypadku oszustowi chwilowo jest ob0jętne gdzie będzie z Tobą pisał.
a. odezwie się w sprawie twojej oferty sprzedaży
b. zagada o jakiś szczegół dotyczący oferty – albo i nie zrobi tego, bo nie zawsze będzie się chciał tak angażować. Jednak jeśli się tak delikatnie odezwie, to niczym aktor buduje twoje zaangażowanie - Oszust napisze, że już opłacił wszystko i spokojnie możesz wysłać mu towar. Poda Ci link (odnośnik, namiar, stronę internetową – nie ważne jak to nazwiemy) do strony w Internecie, która ma zasugerować Tobie, że wpisując numer karty płatnicze, dostaniesz na nią pieniądze za towar.
Co będzie Ci sugerować, że ta strona jest poprawna, legitna:
a. będzie zielona kłódka
b. w domenie będzie OLX – jednak z czymś przed lub za wyrazem OLX – zobacz przykłady
c. na stronie zobaczysz zdjęcie i nazwę sprzedawanego towaru
d. na stronie będzie dużo znaczków znanych firm, może nawet nazwa banku lub znaczek VISA lub MASTERCARD - Jeśli wpisałeś numer karty to:
a. nie ma znaczenia co zobaczysz na innej stronie, co napisze do Ciebie „kupujący”
b. oszust ma numer twojej karty
c. oszust nie zawaha się jej użyć
d. oszust będzie Ci wciskał różne ciemnoty (zająć twój czas), byle tylko nie pozwolić Ci na reakcję - Game OVER
To opis idący po planie oszusta, w którym Ty przegrywasz.
Co zrobić by nie przegrać?
Na dowolnym etapie nim podasz numer karty, nic Ci nie grozi.
Możesz się wycofać i zaniechać dalszych działań.
Wzorcowe będzie jeśli zgłosisz to oszustwo do OLX, na stronie CERT (aby zablokowali tą stronę by inni nie dali się oszukać), a nawet napiszesz po swojemu na swoim Facebooku by znajomi się od Ciebie dowiedzieli, że oszuści działają.
Jeśli podasz numer karty to zacznij od jej zastrzeżenia w swoim banku. Wpisz w google nazwę banku i słowo zastrzeżenie karty (przykład dla Santander).
Wykonaj zrzuty ekranu, zachowaj SMSy z banku, wydrukuj to i bilingi z banku.
Zgłoś sprawę na Policję, informując jak do tego doszło.
Jest szansa, że odzyskasz środki, jednak oszuści i tak będą mogli Ci podziękować za miły prezent w postaci całego dostępnego salda twojej karty.
Jeśli uważasz, że ktoś z twoich bliskich może nie być takim Szerlokiem i może dać się nabrać, to zasugeruj mu jako ogólnie dobrą praktykę co do bezpieczeństwa pieniędzy:
- zrób limity płatności dla kart w banku wg swoich potrzeb i możliwości
- używaj przedpłaconych kart płatniczych, np. Revolut (jak zarejestrujesz się z tego linku, ja także dostanę małą korzyść od tego operatora, to link promowany na którym Ty nie tracisz, a oboje zyskujemy)
O oszustwie możesz posłuchać w Podcaście
Możliwe mutacje ataku:
- link do zalogowania się w banku
- link do zapłacenia za przesyłkę, w która jest już zaadresowana, a „kupujący” przeleje Ci pieniądze za całość wraz z towarem.
Edycja 20.02.
Mutacja ataku z logowaniem się do banku już jest.
To przetwarzanie to logowanie się przez oszustów do twojego, prawdziwego banku, taka zasłona dymna mająca na celu odwrócić twoją uwagę.
Pewnie po chwili zobaczysz komunikat o obowiązku podania kodu z SMS a później kolejnego.
Ten pierwszy kod pozwoli wejść do banku a drugi zrealizować przelew czyszczący konto.
W tym czasie będziesz siedział i gapił się w ekran, odczytywał SMSy z banku o schodzących środkach.
A wystarczyło dokładnie przeczytać czego SMSy dotyczyły. Szczególnie ten drugi, który będzie zawierał informacje o potwierdzeniu przelewu, lub autoryzacji zaufanego konta, by kolejne przelewy nie potrzebowały potwierdzenia.
Twój sąsiad nie czyta, nie bądź jak on. Czytaj SMSa!
Czym innym jest wiadomość z kodem na potwierdzenie logowania a czym innym „autoryzujesz przelew na XXX” gdzie XXX to saldo twojego konta minus parę złotych „z przyzwoitości”.
Mutacja ataku OLX o potwierdzenie mailem
24.03 profil CERT Polska udostępnił informację o kolejnej mutacji tego ataku.
W trakcie komunikacji dotyczącej sprzedawanego na OLX towaru, pojawia się prośba o adres mail.
Pada obietnica, że dostaniemy tam informacje o rzekomej zapłacie i dostarczeniu z banku potwierdzenia płatności.
Nam pozostanie tylko odebrać pieniądze.
Całkiem możliwe, że będzie powołanie się na znane marki banków, firm kurierskich, które czekają na odebranie środków, które już są wpłacone.
Nam pozostanie tylko podać numer karty, lub zalogować się ze wskazanego linku do banku…
W obu tych przypadkach zostaniemy okradzeni z pieniędzy!
System płatności nie działa tak, że my podajemy numer karty i jakimś magicznym sposobem wpadną tam pieniądze.
Jak doczytałeś do tego miejsca, to możesz poczytać o tym, jak ofiary są okradane po raz wtóry…
Szczegóły znajdziesz tu
Dodaj komentarz