Na topie

Jak działają oszuści internetowi - kradzież pieniędzy z konta

Autor:

więcej artykułów ze strefy:
Bezpieczeństwo

Kategoria: Ciekawostki Internet Bezpieczeństwo Tematyka: Cyberprzestępcy

Wystarczy chwila nieuwagi, by stracić swoje oszczędności, bo cyberprzestępcy mają wiele metod, by ją wykorzystać. Tutaj, przywołując historię pewnej youtuberki, przedstawiamy tylko jedną z nich, ale przestroga pozostaje uniwersalna.

  • Jak działają oszuści internetowi - kradzież pieniędzy z konta
A A

Cyberprzestępcy są kreatywni i wymyślają kolejne metody wyłudzania pieniędzy. O tym jak szybko można się pozbyć oszczędności przekonała się ostatnio popularna (mająca 125 tysięcy subskrybentów) youtuberka Basia Kaszuba. Choć powiedzieć, że sytuacja nie należała do szczególnie miłych, to tak jakby nic nie powiedzieć, nagrała o tym materiał, aby ostrzec innych i pomóc im uniknąć podobnych historii. 

Youtuberka straciła 3000 złotych – oto jej historia

W filmie Basia dokładnie opisuje to, jak padła ofiarą nieuczciwego sprzedawcy na Facebook Marketplace (czyli platformie sprzedażowej działającej w ramach tego popularnego portalu społecznościowego). Znalazła tam ciekawą ofertę – ktoś sprzedawał Thermomix (jaki jej się marzył) za połowę ceny. To mogłoby się wydawać podejrzane, ale argumentacja sprzedającej (że niska cena wzięła się stąd, że był to podarowany jej, ale nietrafiony prezent) okazała się dla youtuberki (co można zresztą zrozumieć) wystarczająca.

Wystarczająca… ale nie do tego stopnia, by w pełni zaufać sprzedającej. Dlatego też zamiast wysyłać pieniądze z góry, postanowiła dogadać się z nią w taki sposób, by mogła zapłacić przy odbiorze. Sprzedająca przystała na tę propozycję, ale dała jeden warunek: kupująca musi pokryć koszt przesyłki, co jest równoznaczne z przelaniem 40 złotych. To niewiele, więc youtuberka zgodziła się na ten układ i chwilę później otrzymała link do strony PayU.

PayU

A właściwie link, który prowadził do strony łudząco przypominającej PayU, ale będącej w rzeczywistości „fałszywką”. Youtuberka się nie zorientowała i po pewnym czasie odkryła, że z jej konta zniknęły ponad 3000 złotych. Jak to się stało?

Jak działają oszuści – kradzież pieniędzy z konta

Gdy Basia kliknęła link i trafiła na (rzekomą) stronę PayU, a następnie chciała zrealizować przelew, musiała się zalogować (fałszywa strona PayU przekierowała ją na fałszywą stronę banku) i dokonać autoryzacji. W tym celu skorzystała z karty kodów jednorazowych. Po przepisaniu pierwszego, ujrzała (zdradźmy już teraz, że nieprawdziwą) informację o tym, że kod jest błędny. Wpisała więc kolejny, ale…

Ale cyberprzestępca miał już jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Następnie dodał się (to znaczy konto, na które przelewał sobie pieniądze) do odbiorców zdefiniowanych. Sprawiło to, że do realizowania kolejnych transakcji nie jest już potrzebna dodatkowa autoryzacja kodem. Szybko to wykorzystał, zlecając dwa przelewy na łączną sumę (wspomnianych) ponad 3000 złotych. Wróćmy jeszcze do drugiego kodu – ten pozwolił zatuszować sprawę (przelew na 40 zł faktycznie został bowiem zlecony).

fraud

Innymi słowy: do sukcesu wystarczyły dobrze podrobione strony i przesłanie linku pod odpowiednim pretekstem.

Jak się uchronić? O czym pamiętać przy przelewach?

W tym przypadku (podobnie zresztą jak wygląda to zazwyczaj) cyberprzestępca wykorzystał łatwowierność i nieuwagę, a może też brak wiedzy swojej ofiary. Najpierw sprytnie ją podszedł (udając sympatycznego i gotowego na ustępstwa sprzedawcę), dzięki czemu osłabił jej czujność, co następnie wykorzystał, przedstawiając jej fałszywe strony i zachęcając do wpisania na nich swoich danych.

Czy można się było przed tym uchronić? Odpowiedź brzmi: tak. Przy logowaniu się i wykonywaniu transakcji finansowych należy bowiem zachowywać szczególną ostrożność. O czym trzeba pamiętać? Przede wszystkim o tym, by sprawdzić adres strony banku, na której wpisujemy login i hasło, a także to, czy jest ona zabezpieczona w odpowiedni sposób. O tym, że jest on prawdopodobnie odpowiedni, informuje zielona kłódka przy polu adresu.

Prawdopodobnie, bo zielona kłódka to tak naprawdę wyłącznie informacja o tym, że strona uzyskała certyfikat SSL. Cyberprzestępca również jest jednak w stanie go zdobyć. Dlatego warto dodatkowo upewnić się, kto i komu go wystawił – najczęściej przy samej kłódce pojawia się ten szczegół (powinna to być pełna nazwa banku – jak na screenie poniżej). 

bank kłódka

Oczywiście zawsze należy mieć też aktualny system operacyjny, aktualną przeglądarkę internetową i aktualne oprogramowanie antywirusowe z aktualną bazą wirusów. Więcej cennych porad na ten temat znajdziesz w naszym artykule: Jak bezpiecznie logować się do banku i realizować przelewy.

Jak zgłosić incydent? Zapamiętaj (lub zapisz) ten link

W sekcji komentarzy pod filmem Basi na YouTube odnaleźć można wpis CERT Polska – zespół zwraca uwagę na to, że przyjmuje zgłoszenia incydentów, dzięki czemu możliwa jest zarówno bezpośrednia walka z wyłudzaczami, jak i wspieranie działań organów ścigania, mających na celu powstrzymanie cyberprzestępców.

Gdybyście więc kiedyś padli ofiarą takiego ataku albo też natknęli się na jego próbę – wejdźcie na incydent.cert.pl i dajcie znać tym, którzy będą wiedzieli, co z tym zrobić.

Na koniec zaś wstawiamy film Basi Kaszuby, w którym dokładnie opisuje swój konkretny przypadek:

Źródło: inf. własna, Zaufana Trzecia Strona, Basia Kaszuba na YouTube. Ilustracje: Pixabay

Odsłon: 8504 Skomentuj newsa
Komentarze

28

Udostępnij
  1. musslik
    Oceń komentarz:

    -7    

    Opublikowano: 2019-02-27 09:58

    Pełno naiwnych owieczek do strzyżenia wszędzie...
    i co to za bank, że nie ma informacji w ssie co się potwierdza

    Skomentuj Historia edycji

    1. musslik
      Oceń komentarz:

      0    

      Opublikowano: 2019-02-27 21:16

      Poważnie pytam bo wierzyć mi się nie chce, że ludzie są na tyle nierozgarnięci by tylko wklepywać kod do potwierdzenia transakcji. Czy w innych banka przychodzi tylko kod autoryzacji bez treści czego owa autoryzacja dotyczy?

      Skomentuj

  2. cochinek
    Oceń komentarz:

    -2    

    Opublikowano: 2019-02-27 10:16

    Rok 2019 i benchmark.pl wciąż sie nie dorobił httpsa :D i jeszcze śmie pisać i pouczać ludzi z bezpieczeństwa komputerowego. Może jakaś zbiórkę crowdfundingowa zrobimy? Zrzucimy sie wszyscy i pokryjemy zabójczy dla redakcji koszt wystawienia certyfikatu (ok 100-150 zł)

    Skomentuj

    1. Mateusz Sołtysiak
      Oceń komentarz:

      4    

      Opublikowano: 2019-02-27 10:41

      W miejscach wymiany wrażliwych danych już stosujemy https (np. strona logowania). W pozostałych miejscach nie jest to konieczne. Jednakże skoro google wymaga wszędzie, to w przyszłości cała strona będzie na https. Pozdrawiamy :)

      Skomentuj

    2. kokosnh
      Oceń komentarz:

      13    

      Opublikowano: 2019-02-27 11:07

      mają wystawiony certyfikat na SSL dla "benchmark.pl", nie ma żadnego problemu wymusić jego stosowania na całej stronie, ale jak już powiedział wyżej Mateusz Sołtysiak, nie jest to wymagane ze względów bezpieczeństwa. Po co ci szyfrowanie do tekstu, obrazków, czy komentarzy?

      Skomentuj

      1. gormar
        Oceń komentarz:

        0    

        Opublikowano: 2019-02-27 20:43

        Szyfrowanie całej strony przez SSL, czy teraz raczej TLS, ma tę zaletę, że nikt po drodze jej nie zmodyfikuj lub nie podejrzy co dokładnie robisz.

        Wysyłając komentarze na Benchmark.pl w godzinach pracy cały drżę ;).

        Skomentuj

        1. kokosnh
          Oceń komentarz:

          -1    

          Opublikowano: 2019-02-27 21:57

          Admin ma jak na tacy ruch z twojego PC na benchmark.pl, czy to z TLS, czy bez, tylko nikt nie przegląda logów tak po prostu, chyba że zrobisz jakiś dziwny ruch sieciowy i wyjdziesz w raporcie, zwykle max to 500 po przepustowości, no bo komu się chce przeglądać więcej. Ukrywanie na jakie konkretnie artykuły na benchmark wchodzisz, nie jest czymś co musisz chronić. A jak chcesz to ukryć to korzystaj a VPN, tylko taki pełen zaszyfrowany ruch sieciowy, może pokazać się w raporcie, lub nawet być blokowany/flagowany (co tam admin zrobi, bo nadal widać jak na dłoni, że korzystasz z VPN-a, a to już może być wręcz bardziej podejrzane od benchmark.pl).

          Skomentuj

          1. gormar
            Oceń komentarz:

            0    

            Opublikowano: 2019-02-27 22:05

            Nie ma nic na tacy, gdyż korzystam z SecureDNS. Cały ruch jest szyfrowany i wtedy można jedynie podejrzewać po dest IP gdzie wchodzę. Ale taki ruch może być generowany przez wirusa ;).

            Skomentuj

          2. kokosnh
            Oceń komentarz:

            0    

            Opublikowano: 2019-02-27 23:30

            Niby jakim cudem masz zmienionego DNS-a, do tego trzeba uprawnień admina.
            Oraz tak, nawet z SecureDNS będzie widać gdzie to leci w logach, a w raporcie już mi urządzenie automatycznie tłumaczy IP na nazwy domenowe.

            Skomentuj

  3. kamild1996
    Oceń komentarz:

    -2    

    Opublikowano: 2019-02-27 11:02

    "Ale cyberprzestępca miał już jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Następnie dodał się (to znaczy konto, na które przelewał sobie pieniądze) do odbiorców zdefiniowanych."
    Czy ów cyberprzestępca nie potrzebowałby kolejnego, nowego kodu w celu dodania swojego konta do listy odbiorców zdefiniowanych? W BGŻ gdy dodaję płatność do szablonów i odznaczę wymóg autoryzacji przy wykonaniu przelewu, wtedy muszę sam fakt dodania szablonu potwierdzić kolejnym kodem.
    Skoro nie potrzebował, to bank, z którego korzysta, powinien to zmienić...

    Skomentuj

    1. kokosnh
      Oceń komentarz:

      7    

      Opublikowano: 2019-02-27 11:14

      możliwe że jak się jej wyświetliło że wpisała zły kod, to wpisała kolejny, ale on był już tym, co autoryzował dodaniem go do odbiorców zdefiniowanych.

      Przy SMS-ach nie ma tego problemu, masz opisane do czego jest każdy, choć tu wchodzi dublowanie kart SIM (łatwo się zorientować bo też dostaniesz SMS) czy wirusy na komórki.

      Skomentuj

      1. kamild1996
        Oceń komentarz:

        0    

        Opublikowano: 2019-02-27 14:09

        Jeśli to był kod ze zdrapki, to o nie bank zazwyczaj prosi w losowej kolejności, więc skąd ta fałszywa strona "wiedziała" o jaki kod po raz drugi zapytać?
        Jeśli SMS to tak jak mówisz, bank wysyła szczegóły transakcji, więc jeśli nie przeczytała w pełni jego treści to brawa dla Pani Basii :P

        Skomentuj

        1. kokosnh
          Oceń komentarz:

          1    

          Opublikowano: 2019-02-27 17:04

          hacker w czasie rzeczywistym ma program który lata po sparsowanej prawdziwej stronie banku i przekazuje, które kody wyświetlić do wpisania, na tą fałszywą stronę.
          Obecnie wchodzi SCA w związku z PSD2, więc kody w tym roku raczej znikną (bo raczej nikt się nie będzie bawił w SCA na kodach, nie że się nie da, no ale... ).

          Skomentuj

          1. gormar
            Oceń komentarz:

            0    

            Opublikowano: 2019-02-27 22:03

            Edit: nie tu miało być.

            Skomentuj Historia edycji

  4. xmexme
    Oceń komentarz:

    1    

    Opublikowano: 2019-02-27 11:26

    - Za https nie musisz płacić jest za darmo.
    - Https nie uchroni ludzi przed utratą kasy czytaj przed brakiem wiedzy która była przyczyną utraty kasy.
    - Co to za bank który pozwala ludziom używać jeszcze kodów jednorazowych !!! Jeśli przypadkiem korzystacie z takie banku czym prędzej zabierzcie z niego kasę.

    Skomentuj

    1. Adrian Waleczny
      Oceń komentarz:

      1    

      Opublikowano: 2019-02-27 16:43

      Ja korzystam z takiego, Bank Spółdzielczy. Ogólnie, średniowiecze. Już kilka razy chciałem coś kupić właśnie poprzez przelew, ukazywały się oddziały banku, a mojego jakoś nigdy nie było, śmiech na sali.

      Skomentuj

      1. Kropeczka
        Oceń komentarz:

        2    

        Opublikowano: 2019-02-28 20:14

        Ja korzystam z takiego banku. mBank się nazywa.
        I wole listę kodów od SMS. Mimo iż SMS są za free a za listę muszę płacić...

        Skomentuj

        1. Artur_1_
          Oceń komentarz:

          1    

          Opublikowano: 2019-03-01 20:27

          W PKO BP też są zdrapki i sporadycznie używam ich, głównie do zmian danych w iPKO. W internecie płacę BLIKiem, to najwygodniejsze :-) Lepsze od SMSów, na które zdrapki mógłbym zamienić w dowolnej chwili.

          Skomentuj

    2. kokosnh
      Oceń komentarz:

      1    

      Opublikowano: 2019-02-27 18:30

      Jeszcze nie tak dawno deutsche bank pozwalał, tylko trzeba było zapłacić chyba 10, czy 20zł za jedną, nie pamiętam ile dokładnie.

      Skomentuj

    3. gormar
      Oceń komentarz:

      0    

      Opublikowano: 2019-02-27 20:48

      HTTPS nie jest "za darmo". Płacisz co najmniej większym obciążeniem serwera, który musi dane szyfrować. Poza tym certyfikat kosztuje.

      Let'sEncrypt to lepiej wsadzić tam gdzie światło nie dochodzi, gdyż każdy przestępca ze stroną phishingową z tego korzysta. I weź teraz ucz od nowa ludzi, że zielona kłódka wcale bezpieczeństwa nie oznacza :(.

      Skomentuj

  5. Leader86
    Oceń komentarz:

    -3    

    Opublikowano: 2019-02-27 13:22

    LOL komentarze zablokowane bo napisalem ze jestescie amatorami hahahaha

    Skomentuj

    1. Mateusz Sołtysiak
      Oceń komentarz:

      8    

      Opublikowano: 2019-02-27 14:21

      LOL, dostałeś autobana, bo napisałeś "pierdół" bez polskich znaków.

      Skomentuj

  6. ryhard
    Oceń komentarz:

    -1    

    Opublikowano: 2019-02-27 16:01

    Najwięcej płacimy za własną głupotę ;-)

    Skomentuj

  7. apuk666
    Oceń komentarz:

    0    

    Opublikowano: 2019-02-27 16:46

    ja straciłem tak 15 000 zł...

    Skomentuj

  8. pawluto
    Oceń komentarz:

    5    

    Opublikowano: 2019-02-27 19:28

    Bardzo dobrze że o tym piszecie !
    Może chociaż jedną osobę uchronicie od nieszczęścia a to już będzie sukces.
    Panie Wojciechu - oby tak dalej. Dobra robota.

    Skomentuj

  9. jozek23
    Oceń komentarz:

    -2    

    Opublikowano: 2019-02-27 22:18

    No były kiedyś kody jednorazowe , ale w dzisiejszych czasach ??

    Skomentuj

  10. DżejmsDrugiGroźny
    Oceń komentarz:

    -1    

    Opublikowano: 2019-02-28 19:09

    Fajnie, ale artykuł nie tłumaczy, jak to jest możliwe, że nieuczciwy odbiorca pieniędzy pozostaje bezkarny - cyfrowy ślad po pieniądzach przecież nie ginie - oraz nie pokazuje innych metod kradzieży. Mało kto dzisiaj używa kodów jednorazowych.

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!