Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
07:53

Uważajcie na rzeczy oddawane “za darmo” na OLX

O przekrętach na OLX z lewym kurierem w tle napisaliśmy już wiele artykułów. Wciąż jednak są osoby, które się na nie łapią — głównie dlatego, że taka “okazja” wyłącza im logiczne myślenie. No bo jakże nie przejść obojętnie obok oferty darmowego oddania w dobre ręce lekko używanego zestawu klocków, albo jeszcze całkiem sprawnego telewizora? Przez ten przekręt na OLX ludzie którzy chcą zaoszczędzić kilkaset złotych, tracą nawet kilkadziesiąt tysięcy… A fala tego typu ataków ostatnio się nasiliła i niestety są one lepiej dopracowane niż poprzednie “edycje”.

Interesuje Cię jak bezpiecznie korzystać z internetu w domu i pracy? Przyjdź na nasz wykład pt. “Jak nie dać się zhackować?“. W najbliższym tygodniu będziemy w Krakowie, Warszawie, Łodzi i Gdańsku. Zarezerwuj miejsce dla siebie klikając tutaj

Jak wyglądają ogłoszenia złodzieja na OLX?

Oto przykład jednego z nich:

Oddam za darmo zestaw kolckow Lego Duplo zoo. Dzieci powyrastały więc moze komus sie przyda :)

Powód oddania jest wiarygodny. A przestępca — jak widać po komunikacie z OLX — z oszustwa zrobił sobie stały dochód, ponieważ na wiadomości odpowiada błyskawicznie. Jest ciągle przed komputerem z jeszcze jednego powodu… (o nim za chwile).

Popatrzcie jak wygląda przykładowa korespondencja z oszustem, którą podesłał nam jeden z Czytelników. Zwróćcie uwagę, że Czytelnik nie należał do “chciwych” i chciał zapłacić za klocki — ale oszust nie chciał wpłaty, ale jedynie pokrycia kosztów transportu:

Przesłany e-mailem link do płatności za usługi kurierskie wyglądał tak:

https://pay24iv[.]com/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=6
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=19.99

A w innym, analogicznym przypadku tak:

https://dpay24[.]online/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=5
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=11.99

A pod nim — jak można się domyślić — fałszywy DotPay.

Jak widać, przestępcy w końcu dopracowali i unowocześnili skrypt. Ten fałszywy DotPay nie zawiera pomyłek, które funkcjonowały w poprzedniej wersji oszustwa. Nawet podrobione strony “szybkich płatności” dla danego banku mają aktualny wygląd.

Jak złodziej okrada ofiary?

Jeśli klient po wybraniu swojego banku nie zauważy, że login i hasło wpisuje na stronie o złym (niebankowym) adresie, to straci pieniądze. I tu docieramy do tego, dlaczego przestępca musi ciągle być przed komputerem. Otóż po wpisaniu loginu i hasła do bankowości przez ofiarę, ofierze pokazuje się fałszywy ekran potwierdzenia płatności wymagający wpisania jednorazowego kodu. I ofiara ten kod dostaje (zazwyczaj SMS-em), więc wszystko przebiega jak w trakcie normalnej transakcji. A to dlatego, że zaraz po zalogowaniu się ofiary na stronie oszusta, oszust widzi i ręcznie kopiuje do prawdziwego banku login i hasło klienta (loguje się na jego konto).

Po zalogowaniu oszust ma kilka możliwości okradzenia ofiary:

  • Zleca przelew na inny rachunek i na wyższą kwotę. Ofiara dostaje wtedy SMS-a autoryzującego przelew, ale na wyższą kwotę.
  • Definiuje odbiorcę zaufanego. Ta operacja też wymaga potwierdzenia operacji kodem jednorazowym. Ten kod jest przesyłany na telefon ofiary i jeśli ofiara nie zauważy opisu transakcji w SMS-ie (że nie jest to potwierdzenie zlecanego przelewu a dodawanie zaufanego odbiorcy), to niestety straci wszystkie środki — zostaną one już bez konieczności dalszej autoryzacji kodem jednorazowym wytransferowane w najbliższych minutach.
  • Wyprowadza środki w inny, charakterystyczny dla danego banku sposób (niektóre z banków pozwalają na niewymagające autoryzacji przelewy do pewnych usług. Ofiara traci pieniądze, a przestępca “po drugiej stronie usługi” je odbiera).

 

Nowy GMail ostrzega przed atakami

Jeśli korzsytacie z GMaila, warto przełączyć się na jego nowy interface. Ostrzeżenia przed e-mailami zawierającymi złośliwe URL-e na nowym interface są o wiele wyraźniejsze:

Zalogowałem na fałszywej stronie banku — co robić, jak żyć?

Jeśli zalogowałeś się na fałszywej stronie banku, jak najszybciej zadzwoń na infolinię zgłoś to bankowi. W trakcie oczekiwania na połączenie z konsultantem

  1. zmień hasło do konta (i każdego innego miejsca, w którym miałeś takie samo hasło)
  2. przejrzyj historię transakcji pod kątem przelewów, których nie zleciłeś (sprawdź także przelewy “oczekujące na zrealizowanie”/”operacje planowane”, które mogą nie być widoczne w historii rachunku).
  3. przejrzyj odbiorców zaufanych i zweryfikuj czy numery kont, które dla nich zdefiniowałeś są poprawne (mogły zostać podmienione)
    zastanów się jakie dane Twój bank ujawnia na Twój temat po zalogowaniu (np. historię transakcji, ostatnie 4 cyfry karty płatniczej?) i oceń, czy ta wiedza w czyichś rękach może być problemem. Przykładowo znajomość 4 ostatnich cyfr karty płatniczej, może oszustowi posłużyć do zresetowania dostępu do np. Twojego konta Apple lub Amazon (jeśli miałeś tam tę kartę podpiętą).

 

Przekrętów okradających Polaków w sieci jest więcej

Oszustwo na kuriera to tylko jeden z obecnie wykorzystywanych przez polskich złodziejów numerów, który wykorzystują do okradania Polaków. Niestety, sposobów na które możesz stracić pieniądze (albo dane) jest więcej. Zebraliśmy je wszystkie w 3 godzinny wykład, z którym w najbliższych dniach odwiedzimy:

Wpadnij i zobacz na czym polegają te ataki oraz dowiedz się jak najlepiej zabezpieczyć przed cyberprzestępcami swoje pieniądze, dane oraz najbliższych. Miejsce na wykład możesz zarezerwować klikając tutaj.

Przeczytaj także:

<!-- Similar Posts took 7.150 ms -->

Don't be the product, buy the product!

Schweinderl