Bezpieczeństwo

Jak działają oszuści internetowi - kradzież pieniędzy z konta

opublikowano przez Wojciech Kulik w dniu 2019-02-27

Wystarczy chwila nieuwagi, by stracić swoje oszczędności, bo cyberprzestępcy mają wiele metod, by ją wykorzystać. Tutaj, przywołując historię pewnej youtuberki, przedstawiamy tylko jedną z nich, ale przestroga pozostaje uniwersalna.

Cyberprzestępcy są kreatywni i wymyślają kolejne metody wyłudzania pieniędzy. O tym jak szybko można się pozbyć oszczędności przekonała się ostatnio popularna (mająca 125 tysięcy subskrybentów) youtuberka Basia Kaszuba. Choć powiedzieć, że sytuacja nie należała do szczególnie miłych, to tak jakby nic nie powiedzieć, nagrała o tym materiał, aby ostrzec innych i pomóc im uniknąć podobnych historii. 

Youtuberka straciła 3000 złotych – oto jej historia

W filmie Basia dokładnie opisuje to, jak padła ofiarą nieuczciwego sprzedawcy na Facebook Marketplace (czyli platformie sprzedażowej działającej w ramach tego popularnego portalu społecznościowego). Znalazła tam ciekawą ofertę – ktoś sprzedawał Thermomix (jaki jej się marzył) za połowę ceny. To mogłoby się wydawać podejrzane, ale argumentacja sprzedającej (że niska cena wzięła się stąd, że był to podarowany jej, ale nietrafiony prezent) okazała się dla youtuberki (co można zresztą zrozumieć) wystarczająca.

Wystarczająca… ale nie do tego stopnia, by w pełni zaufać sprzedającej. Dlatego też zamiast wysyłać pieniądze z góry, postanowiła dogadać się z nią w taki sposób, by mogła zapłacić przy odbiorze. Sprzedająca przystała na tę propozycję, ale dała jeden warunek: kupująca musi pokryć koszt przesyłki, co jest równoznaczne z przelaniem 40 złotych. To niewiele, więc youtuberka zgodziła się na ten układ i chwilę później otrzymała link do strony PayU.

PayU

A właściwie link, który prowadził do strony łudząco przypominającej PayU, ale będącej w rzeczywistości „fałszywką”. Youtuberka się nie zorientowała i po pewnym czasie odkryła, że z jej konta zniknęły ponad 3000 złotych. Jak to się stało?

Jak działają oszuści – kradzież pieniędzy z konta

Gdy Basia kliknęła link i trafiła na (rzekomą) stronę PayU, a następnie chciała zrealizować przelew, musiała się zalogować (fałszywa strona PayU przekierowała ją na fałszywą stronę banku) i dokonać autoryzacji. W tym celu skorzystała z karty kodów jednorazowych. Po przepisaniu pierwszego, ujrzała (zdradźmy już teraz, że nieprawdziwą) informację o tym, że kod jest błędny. Wpisała więc kolejny, ale…

Ale cyberprzestępca miał już jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Następnie dodał się (to znaczy konto, na które przelewał sobie pieniądze) do odbiorców zdefiniowanych. Sprawiło to, że do realizowania kolejnych transakcji nie jest już potrzebna dodatkowa autoryzacja kodem. Szybko to wykorzystał, zlecając dwa przelewy na łączną sumę (wspomnianych) ponad 3000 złotych. Wróćmy jeszcze do drugiego kodu – ten pozwolił zatuszować sprawę (przelew na 40 zł faktycznie został bowiem zlecony).

fraud

Innymi słowy: do sukcesu wystarczyły dobrze podrobione strony i przesłanie linku pod odpowiednim pretekstem.

Jak się uchronić? O czym pamiętać przy przelewach?

W tym przypadku (podobnie zresztą jak wygląda to zazwyczaj) cyberprzestępca wykorzystał łatwowierność i nieuwagę, a może też brak wiedzy swojej ofiary. Najpierw sprytnie ją podszedł (udając sympatycznego i gotowego na ustępstwa sprzedawcę), dzięki czemu osłabił jej czujność, co następnie wykorzystał, przedstawiając jej fałszywe strony i zachęcając do wpisania na nich swoich danych.

Czy można się było przed tym uchronić? Odpowiedź brzmi: tak. Przy logowaniu się i wykonywaniu transakcji finansowych należy bowiem zachowywać szczególną ostrożność. O czym trzeba pamiętać? Przede wszystkim o tym, by sprawdzić adres strony banku, na której wpisujemy login i hasło, a także to, czy jest ona zabezpieczona w odpowiedni sposób. O tym, że jest on prawdopodobnie odpowiedni, informuje zielona kłódka przy polu adresu.

Prawdopodobnie, bo zielona kłódka to tak naprawdę wyłącznie informacja o tym, że strona uzyskała certyfikat SSL. Cyberprzestępca również jest jednak w stanie go zdobyć. Dlatego warto dodatkowo upewnić się, kto i komu go wystawił – najczęściej przy samej kłódce pojawia się ten szczegół (powinna to być pełna nazwa banku – jak na screenie poniżej). 

bank kłódka

Oczywiście zawsze należy mieć też aktualny system operacyjny, aktualną przeglądarkę internetową i aktualne oprogramowanie antywirusowe z aktualną bazą wirusów. Więcej cennych porad na ten temat znajdziesz w naszym artykule: Jak bezpiecznie logować się do banku i realizować przelewy.

Jak zgłosić incydent? Zapamiętaj (lub zapisz) ten link

W sekcji komentarzy pod filmem Basi na YouTube odnaleźć można wpis CERT Polska – zespół zwraca uwagę na to, że przyjmuje zgłoszenia incydentów, dzięki czemu możliwa jest zarówno bezpośrednia walka z wyłudzaczami, jak i wspieranie działań organów ścigania, mających na celu powstrzymanie cyberprzestępców.

Gdybyście więc kiedyś padli ofiarą takiego ataku albo też natknęli się na jego próbę – wejdźcie na incydent.cert.pl i dajcie znać tym, którzy będą wiedzieli, co z tym zrobić.

Na koniec zaś wstawiamy film Basi Kaszuby, w którym dokładnie opisuje swój konkretny przypadek:

Źródło: inf. własna, Zaufana Trzecia Strona, Basia Kaszuba na YouTube. Ilustracje: Pixabay

marketplace

Komentarze

29
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Bardzo dobrze że o tym piszecie !
    Może chociaż jedną osobę uchronicie od nieszczęścia a to już będzie sukces.
    Panie Wojciechu - oby tak dalej. Dobra robota.
  • avatar
    - Za https nie musisz płacić jest za darmo.
    - Https nie uchroni ludzi przed utratą kasy czytaj przed brakiem wiedzy która była przyczyną utraty kasy.
    - Co to za bank który pozwala ludziom używać jeszcze kodów jednorazowych !!! Jeśli przypadkiem korzystacie z takie banku czym prędzej zabierzcie z niego kasę.
    Zaloguj się
  • avatar
    Najwięcej płacimy za własną głupotę ;-)
  • avatar
    Fajnie, ale artykuł nie tłumaczy, jak to jest możliwe, że nieuczciwy odbiorca pieniędzy pozostaje bezkarny - cyfrowy ślad po pieniądzach przecież nie ginie - oraz nie pokazuje innych metod kradzieży. Mało kto dzisiaj używa kodów jednorazowych.
  • avatar
    Rok 2019 i benchmark.pl wciąż sie nie dorobił httpsa :D i jeszcze śmie pisać i pouczać ludzi z bezpieczeństwa komputerowego. Może jakaś zbiórkę crowdfundingowa zrobimy? Zrzucimy sie wszyscy i pokryjemy zabójczy dla redakcji koszt wystawienia certyfikatu (ok 100-150 zł)
    Zaloguj się
    -2
  • avatar
    "Ale cyberprzestępca miał już jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Następnie dodał się (to znaczy konto, na które przelewał sobie pieniądze) do odbiorców zdefiniowanych."
    Czy ów cyberprzestępca nie potrzebowałby kolejnego, nowego kodu w celu dodania swojego konta do listy odbiorców zdefiniowanych? W BGŻ gdy dodaję płatność do szablonów i odznaczę wymóg autoryzacji przy wykonaniu przelewu, wtedy muszę sam fakt dodania szablonu potwierdzić kolejnym kodem.
    Skoro nie potrzebował, to bank, z którego korzysta, powinien to zmienić...
    Zaloguj się
    -2
  • avatar
    No były kiedyś kody jednorazowe , ale w dzisiejszych czasach ??
  • avatar
    LOL komentarze zablokowane bo napisalem ze jestescie amatorami hahahaha
    Zaloguj się
    -3
  • avatar
    Pełno naiwnych owieczek do strzyżenia wszędzie...
    i co to za bank, że nie ma informacji w ssie co się potwierdza
    Zaloguj się
    -7
  • avatar
    ja straciłem tak 15 000 zł...