Wystarczy chwila nieuwagi, by stracić swoje oszczędności, bo cyberprzestępcy mają wiele metod, by ją wykorzystać. Tutaj, przywołując historię pewnej youtuberki, przedstawiamy tylko jedną z nich, ale przestroga pozostaje uniwersalna.
Cyberprzestępcy są kreatywni i wymyślają kolejne metody wyłudzania pieniędzy. O tym jak szybko można się pozbyć oszczędności przekonała się ostatnio popularna (mająca 125 tysięcy subskrybentów) youtuberka Basia Kaszuba. Choć powiedzieć, że sytuacja nie należała do szczególnie miłych, to tak jakby nic nie powiedzieć, nagrała o tym materiał, aby ostrzec innych i pomóc im uniknąć podobnych historii.
Youtuberka straciła 3000 złotych – oto jej historia
W filmie Basia dokładnie opisuje to, jak padła ofiarą nieuczciwego sprzedawcy na Facebook Marketplace (czyli platformie sprzedażowej działającej w ramach tego popularnego portalu społecznościowego). Znalazła tam ciekawą ofertę – ktoś sprzedawał Thermomix (jaki jej się marzył) za połowę ceny. To mogłoby się wydawać podejrzane, ale argumentacja sprzedającej (że niska cena wzięła się stąd, że był to podarowany jej, ale nietrafiony prezent) okazała się dla youtuberki (co można zresztą zrozumieć) wystarczająca.
Wystarczająca… ale nie do tego stopnia, by w pełni zaufać sprzedającej. Dlatego też zamiast wysyłać pieniądze z góry, postanowiła dogadać się z nią w taki sposób, by mogła zapłacić przy odbiorze. Sprzedająca przystała na tę propozycję, ale dała jeden warunek: kupująca musi pokryć koszt przesyłki, co jest równoznaczne z przelaniem 40 złotych. To niewiele, więc youtuberka zgodziła się na ten układ i chwilę później otrzymała link do strony PayU.
A właściwie link, który prowadził do strony łudząco przypominającej PayU, ale będącej w rzeczywistości „fałszywką”. Youtuberka się nie zorientowała i po pewnym czasie odkryła, że z jej konta zniknęły ponad 3000 złotych. Jak to się stało?
Jak działają oszuści – kradzież pieniędzy z konta
Gdy Basia kliknęła link i trafiła na (rzekomą) stronę PayU, a następnie chciała zrealizować przelew, musiała się zalogować (fałszywa strona PayU przekierowała ją na fałszywą stronę banku) i dokonać autoryzacji. W tym celu skorzystała z karty kodów jednorazowych. Po przepisaniu pierwszego, ujrzała (zdradźmy już teraz, że nieprawdziwą) informację o tym, że kod jest błędny. Wpisała więc kolejny, ale…
Ale cyberprzestępca miał już jej dane logowania i kod ze zdrapki, dzięki czemu mógł wykonać przelew. Następnie dodał się (to znaczy konto, na które przelewał sobie pieniądze) do odbiorców zdefiniowanych. Sprawiło to, że do realizowania kolejnych transakcji nie jest już potrzebna dodatkowa autoryzacja kodem. Szybko to wykorzystał, zlecając dwa przelewy na łączną sumę (wspomnianych) ponad 3000 złotych. Wróćmy jeszcze do drugiego kodu – ten pozwolił zatuszować sprawę (przelew na 40 zł faktycznie został bowiem zlecony).
Innymi słowy: do sukcesu wystarczyły dobrze podrobione strony i przesłanie linku pod odpowiednim pretekstem.
Jak się uchronić? O czym pamiętać przy przelewach?
W tym przypadku (podobnie zresztą jak wygląda to zazwyczaj) cyberprzestępca wykorzystał łatwowierność i nieuwagę, a może też brak wiedzy swojej ofiary. Najpierw sprytnie ją podszedł (udając sympatycznego i gotowego na ustępstwa sprzedawcę), dzięki czemu osłabił jej czujność, co następnie wykorzystał, przedstawiając jej fałszywe strony i zachęcając do wpisania na nich swoich danych.
Czy można się było przed tym uchronić? Odpowiedź brzmi: tak. Przy logowaniu się i wykonywaniu transakcji finansowych należy bowiem zachowywać szczególną ostrożność. O czym trzeba pamiętać? Przede wszystkim o tym, by sprawdzić adres strony banku, na której wpisujemy login i hasło, a także to, czy jest ona zabezpieczona w odpowiedni sposób. O tym, że jest on prawdopodobnie odpowiedni, informuje zielona kłódka przy polu adresu.
Prawdopodobnie, bo zielona kłódka to tak naprawdę wyłącznie informacja o tym, że strona uzyskała certyfikat SSL. Cyberprzestępca również jest jednak w stanie go zdobyć. Dlatego warto dodatkowo upewnić się, kto i komu go wystawił – najczęściej przy samej kłódce pojawia się ten szczegół (powinna to być pełna nazwa banku – jak na screenie poniżej).
Oczywiście zawsze należy mieć też aktualny system operacyjny, aktualną przeglądarkę internetową i aktualne oprogramowanie antywirusowe z aktualną bazą wirusów. Więcej cennych porad na ten temat znajdziesz w naszym artykule: Jak bezpiecznie logować się do banku i realizować przelewy.
Jak zgłosić incydent? Zapamiętaj (lub zapisz) ten link
W sekcji komentarzy pod filmem Basi na YouTube odnaleźć można wpis CERT Polska – zespół zwraca uwagę na to, że przyjmuje zgłoszenia incydentów, dzięki czemu możliwa jest zarówno bezpośrednia walka z wyłudzaczami, jak i wspieranie działań organów ścigania, mających na celu powstrzymanie cyberprzestępców.
Gdybyście więc kiedyś padli ofiarą takiego ataku albo też natknęli się na jego próbę – wejdźcie na incydent.cert.pl i dajcie znać tym, którzy będą wiedzieli, co z tym zrobić.
Na koniec zaś wstawiamy film Basi Kaszuby, w którym dokładnie opisuje swój konkretny przypadek:
Źródło: inf. własna, Zaufana Trzecia Strona, Basia Kaszuba na YouTube. Ilustracje: Pixabay
Komentarze
29Może chociaż jedną osobę uchronicie od nieszczęścia a to już będzie sukces.
Panie Wojciechu - oby tak dalej. Dobra robota.
- Https nie uchroni ludzi przed utratą kasy czytaj przed brakiem wiedzy która była przyczyną utraty kasy.
- Co to za bank który pozwala ludziom używać jeszcze kodów jednorazowych !!! Jeśli przypadkiem korzystacie z takie banku czym prędzej zabierzcie z niego kasę.
Czy ów cyberprzestępca nie potrzebowałby kolejnego, nowego kodu w celu dodania swojego konta do listy odbiorców zdefiniowanych? W BGŻ gdy dodaję płatność do szablonów i odznaczę wymóg autoryzacji przy wykonaniu przelewu, wtedy muszę sam fakt dodania szablonu potwierdzić kolejnym kodem.
Skoro nie potrzebował, to bank, z którego korzysta, powinien to zmienić...
i co to za bank, że nie ma informacji w ssie co się potwierdza