Wprowadzenie
Cześć!
Ja jestem Kacper Szurek a to kolejny odcinek podcastu szurkogadanie - o bezpieczeństwie dla wszystkich.
Dzisiaj ponownie nietypowo - tym razem bowiem opowiem o metodach osztustw, na jakie można się natknać przeglądając oferty na popularnych portalach ogłoszeniowych.
Podcast ten jest również dostępny na spotify oraz Google i Apple Podcasts.
Więcej informacji na temat bezpieczeństwa odnajdziesz na grupie "od 0 do pentestera" na Facebooku.
Metody przestępców nieustannie ewoluują.
Jeszcze parę lat temu popularna była metoda na wnuczka, kiedy to do starszych osób zgłaszali się młodzi przestępcy, przekonując iż są daleką rodziną i potrzebują pieniędzy.
W ten sposób starsze osoby z dobrym sercem były okradane z oszczędności swojego życia.
Ale najlepszy przekręt to taki, o którego istnieniu zdaje sobie sprawę niewiele osób.
Jakie więc metody są stosowane obecnie?
Nigeryjski przekręt
Najprościej jest okraścć osobę, która posiada pewne określone cechy osobowości.
Dlatego też często stosuje się pewnego rodzaju sztuczki juz na etapie wybierania potencjalnych ofiar.
Tak działają spamowe maile o nigeryjskim przekręcie.
Przedstawiony tam tekst o domniemanym spadku po królu w Nigerii już na pierwszy rzut oka wydaje się zbyt piękny by był prawdziwy.
Ale jeżeli ktoś - pomimo takiej zdawało by się czerwonej flagi - odpowie na tak przygotowaną wiadomość, istnieje spora szansa, że uwierzy we wszystko co mu powiemy.
Jak zatem znaleźć takie osoby na portalach ogłoszeniowych?
Najprościej oferując coś za darmo.
Darmowe przedmioty
Często bywa, że gdy widzimy coś, za co nie musimy płacić - nawet gdy danego przedmiotu nie potrzebujemy, wygrywa nasz instynk.
Widać to szczególnie w różnych promocjach w supermarketach, kiedy to ludzie są w stanie stać w kolejce lub też prześcigiwać się w biegu po upragnione, darmowe dobro.
A więc przestępcy wystawiają wiele ofert na różnorakie przedmioty - oczywiście wszystko za zero złotych.
Ciężko dokładnie okresić jakie są to przedmioty.
Zdarzają się bowiem różne rzeczy - tak aby można było trafić do jak najszerszego grona odbiorców.
Mamy więc elektronikę, rowery czy też ubranka dla dzieci.
Warto zaznaczyć, że takie osoby nie wystawiają tylko jednego ogłoszenia.
Zazwyczaj, jeżeli spojrzymy na ich profile - ilość rzeczy tam wystawionych może przysporzyć bólu głowy.
Co więcej, te ogłoszenia sa nieustannie rotowane - to znaczy są usuwane i tworzone na nowo - tak, aby jak najczęściej wyświetlały się w wynikach wyszukiwania.
Kiedy już potencjalna ofiara złapie się na tak przygotowany haczyk następuje nawiązanie kontaktu.
I zazwyczaj nie jest to kontakt telefoniczny, ale z wykorzystaniem systemu wiadomości dostępnego na platformach.
Wtedy to gdy dopytujemy czy dane ogłoszenie jest aktualne, dowiadujemy się - że i owszem, ale.
Początek problemów
Następnie otrzymujemy historyjkę o małym problemie - osoba wystawiająca ogłoszenie zapomniała zmienić swoje miejsce zamieszkania a niedawno przeniosła się do innego miasta.
Stąd też odbiór osobisty nie wchodzi w grę.
Ale może przecież wysłać nam te przedmioty za darmo - wystarczy tylko, że zapłacimy za kuriera.
Gdy zgodzimy się na taką formę tranzakcji okazuje się, że całość opłaty można uiścić na stronie kuriera.
Podajemy zatem swoje dane do wysyłki, a także numer telefonu.
Po chwili - na ten to numer otrzymujemy wiadomość od firmy kurierskiej wraz z linkiem do płatności, gdzie można uiścić kwotę za paczkę.
Zazwyczaj są to drobne kwoty, rzędu kilku złotych.
Po kliknięciu w link jesteśmy przekierowani do systemu płatności DotPay - tam to możemy wybrać bank, w którym posiadamy konto.
Oczywiście strona ta tylko podszywa się pod ten system - można to dostrzec na podstawie innego adresu URL.
Zazwyczaj również liczba dostępnych do wyboru banków jest mocno ograniczona.
Reszta grafik jest odpowiednio wyszarzona i niedostępna.
Jeżeli jednak nasz bank jest na liście, następuje przekierowanie do strony logowania.
I tutaj ponownie - nie trafiamy na stronę naszego banku, a na witrynę phishingową - gdzie przestępcy próbują wyłudzić od nas pieniądze.
Co ciekawe - jeżeli nasz bank stosuje hasła maskowane - czyli takie - gdzie nie podaje się od razu całego hasła a tylko niektóre jego litery - przestępcy proszą nas o podanie wszystkich liter.
Jeżeli jednak nie wykażemy się ostrożnością i nie zauważymy tego faktu - po podanu naszych danych do logowania następuje chwila oczekiwania.
W tym to momencie, przestępcy logują się do banku przy użyciu tych danych i zlecają przelew na kilka złotych tytułem opłaty za przesyłkę.
Zweryfikowany odbiorca
Ale samo hasło do bankowości nie wystarczy aby wykonać transakcję - musimy ją potwierdzić hasłem SMS lub też mobilnym tokenem zainstalowanym w naszej przeglądarce.
Po przygotowaniu takiego przelewu, ofiara otrzymuje kod SMS.
Strona phishingowa na której podaliśmy swoje dane zmienia się i prosi nas o przepisanie tego kodu.
Ofiara przepisuje ten kod, ale okazuje się on błędny.
Ale to tylko sztuczka stosowana aby zmniejszych czujność.
W tym samym bowiem momencie atakujący dodaje swój numer konta do listy zweryfikowanych odbiorców.
Większość banków udostępnia taką funkcję.
Możemy tam dodać chociażby konto swojej żony czy córki - wtedy to gdy przelewamy pieniądze na to konto - nie musimy za każdym razem podawać hasła SMS, co ma przyspieszyć cały proces przelewów.
Jeżeli więc atakującemu uda się dodać swój numer do listy autoryzowanych odbiorców - będzie mógł wyciągać nasze pieniądze już bez dodatkowej autoryzacji.
Tylko, aby dodać nowego odbiorcę - potrzebuje kodu SMS.
W treści wiadomości - widnieje informacja, iż ten kod tyczy się dodania nowego zaufanego odbiorcy.
Ale ponieważ już raz podaliśmy kod z wiadomości - który okazał się być błędny, ze stresu bardzo łatwo możemy przeoczyć ten komunikat.
Przecież może nam koło nosa przejść taka okazja na darmowe produkty.
Gdy już przestępca doda swój numer konta w prawidłowy sposób, otrzymujemy informację iż kurier został zamówiony.
A ponieważ atakujący posiada wszystkie dane do wyprowadzenia naszych pieniędzy bez naszego udziału - może zlecić przelewy o dowolnej porze w dowolnym dniu.
Słup
Podczas opowiadania o tym procederze cały czas mówię o tym, że przestępca dadaje swój numer konta do listy zaufanych.
Ale to nie do końca prawda.
Technicznie bowiem nie jest to jego numer, a numer słupa - czyli osoby, która nie będąc tego świadomym współpracuje z przestępcami.
W innym bowiem wypadku policja mogłaby w bardzo prosty sposób dotrzeć do osoby zarządzającej całym procederem - wszak konto bankowe tworzone jest na podstawie naszego dowodu a bank posiada również dostęp do naszego adresu.
Dlatego też stosuje się pośredników, tak aby pieniądze nie trafiały bezpośrednio.
Jak zatem można zostać takim słupem?
Tutaj również używa się różnorakich serwisów społecznościowych.
W przeszłości główną metodą pozyskiwania słupa było oferowanie dobrze płatnej pracy przez Internet.
Bezrobotne osoby zgłaszały się do takiego potencjalnego pracodawcy.
Następnie tłumaczono im jak będą wyglądały warunki zatrudnienia, wysyłano umowę na adres email.
Konto w banku
Do zakończenia całej procedury - wymagano tylko potwierdzenia swoich danych przy pomocy przelewu z konta bankowego.
W ten sposób - chciano mieć pewność, że nowy pracownik jest godny zaufania.
Wystarczyło tylko przelać złotówkę na podany numer konta wraz z odpowiednim tutułem i już - weryfikacja zakończona powodzeniem.
Tylko, że nie chodziło tutaj o weryfikację danych, a o założenie konta w banku.
Danwniej bowiem wiele banków oferowało założenie konta przy pomocy internetowej procedury.
Zamiast oczekiwać na kuriera z umową albo wybierać się do placówki aby podpisac odpowiednie dokumenty - wystarczyło wysłać przelew na odpowiednią kwotę na podany numer bankowy.
Banki zakładały bowiem, że bank z którego wysyłamy przelew - potwierdził już nasze dane i mogły być one traktowane jako zaufane.
Tylko, że mechanizm ten wykorzystywali przestępcy.
Tak to - mogli przez internet założyć konto na inną osobę - do którego posiadali pełen dostęp, a następnie używać go do prania brudnych pieniędzy.
Na szczęście, banki znacząco ograniczyły ten mechanizm.
Dlatego też pojawił się nowy sposób zatrudniania słupów.
Kryptowaluty
Proponuje się młodym ludziom współudział w zakupie kryptowalut.
Schemat wygląda następująco: potencjalny nabywca wpłaca gotówkę na konto slupa.
Słup przesyła przestępcy kod BLIK, przy pomocy którego możliwa jest wypłata gotówki przez bankomat.
Przestępca wypłaca gotówkę i otrzymuje czyste, wyprane pieniądze.
Oczywiście słup, za cały proceder otrzymuje pewien procent z całej kwoty.
Dalej jednak nie warto brać udziału w tego rodzaju procederach.
Wszak w przypadku jakichkolwiek problemów policja przyjdzie najpierw właśnie do takiego słupa - wszak to na to konto został wysłany przelew.
Wspomniałem tutaj o BLIKu.
Jest to stosunkowo nowy, polski standard płatności, który ma być alternatywą dla płatności kartą.
Jak działa ta metoda?
Użytkownik instaluje aplikację mobilną danego banku.
Po zalogowaniu się do niej - może z jej poziomu wygenerować kod BLIK.
Zazwyczaj jest to 6 cyfr.
Przy ich pomocy można płacić przez Internet, jak również wypłacać pieniądze z bankomatu.
Wystarczy wybrac opcję BLIK, a następnie przepisać kod.
Ale to nie wszystko - wtedy to na telefonie pojawia się dodatkowy ekran, gdzie widoczne są wszystkie informacje na temat potencjalnej tranzakcji.
Wiemy gdzie ona ma miejsce oraz jaka jest jej kwota.
Dopiero po zaakceptowaniu - cała operacja dochodzi do skutku.
To sprawia, że mechanizm ten jest bardzo bezpieczny.
Nie wystarczy bowiem, że ktoś pozna nasz kod BLIK, który jest generowany dopiero po kliknięciu w przycisk w aplikacji i działa tylko przez pewien krótki, określony czas.
Każda tranzakcja musi byc jeszcze dodatkowo potwierdzona z naszego telefonu.
Ale i na to znalezoniono metode.
Metoda na wakacje
Na co czekają wszyscy zmęczeni pracownicy korporacji?
Na wakacje. A jeżeli wakacje to tylko zagraniczne all inclusive.
Czyż zatem nabycie bonu rabatowego na 3000 zł za 1500 nie jest okazją, obok której nie powinno się przejść obojętnie?
Potem standardowo - rozmowa ze sprzedawcą, zapewnienia, że wszystko jest jak najbardziej legalne i działające.
Ba - na potwierdzenie tych słów dostajemy również skan dowodu osobistego, aby upewnić się, że osoba nie kłamie i cała tranzakcja przebiegnie prawidłowo.
Potem wystarczy już tylko podać kod BLIK i zaakceptować tranzakcję, a następnie biec na policję, aby zgłosić kradzież pieniędzy.
Po przelaniu środków bowiem kontakt ze sprzedającym się urywa.
Co więcej - okazuje się, że konto na Facebooku, przez które odbywała się cała konwersacja jest również skradzione.
Tak jest prościej.
Dodatkowo takie konta z historią dodają wiarygodności.
Widzimy bowiem, że ktoś jest aktywny, wrzuca swoje zdjęcia, bierze udział w rozmowach - podświadomie ufamy takiej osobie.
Dlatego tak ważnym jest aby konta w serwisach społecznościowych odpowiednio chronić skompliokwanym hasłem, a najlepiej dwuskładnikowym uwierzytelnieniem.
Niestety, tak przesłane pieniądze są bardzo trudne do odzyskania.
Przestępcy przy pomocy takich kodów blik doładowują wirtualne portmonetki.
Potem tak zebrane pieniądze można wykorzystac na zakup innych wirtualnych przedmiotów, chociażby kodów do gier, które to następnie można sprzedawać na innych platformach aukcyjnych.
A ponieważ podmiotów pośredniczących jest bardzo dużo - dojście kto, co i dlaczego jest praktycznie niemożliwe.
Ale serwisy z ogłoszeniami to nie jedyne miejsca na które musimy uważać.
Fałszywe sklepy internetowe
Podobne niebezpieczeństwa czyhają na nas w sklepach internetowych, na których to reklamy możemy natrafić na Facebooku, Instagramie czy jakiejkolwiek innej platformie.
Schemat działania takich fałszywych sklepów jest bardzo podobny.
Oferują one różnego rodzaju produkty - zazwyczaj drogą elektronikę, czyli topowe telefony czy też markowe ubrania za ułamek ceny oryginałów.
Strony używają różnych adresów domen.
Czasami są to adresy w ogóle nie powiązane z prowadzoną działalnością.
Dzieje się tak, ponieważ przestępcy rejestrują wygasłe domeny - czyli takie, które były w przeszłości przez kogoś używane ale obecnie już nie są.
Taka starsza domena ma zazwyczaj lepszą renomę niż nowsza - dopiero co zarejestrowana.
To pozwala na dłuższe unikanie blokad ze strony firm antywirusowych.
Gdy już wybierzemy produkty do naszego koszyka i przejdziemy do metod płatności - zazwyczaj dostępna jest tylko jedna - a więc przelew bezpośrednio na konto bankowe.
W niektórych wersjach inne opcje również sa dostępne, ale to tylko pozory - ponieważ po ich wybraniu albo otrzymujemy informację o błędzie albo też nic się nie dzieje.
Zatem po przeklikaniu się przez całą procedurę na samym końcu otrzymujemy numer konta bankowego, na który należy przelać pieniądze.
I znowu - trafiają one na konto słupa z którego to są następnie transferowane do rąk przestepców.
Ufam ale kontroluje
Dlatego też, jeżeli chcemy kupić coś w nowym, nieznanym nam wcześniej serwisie, warto przeprowadzić nasze małe, prywatne dochodzenie.
Czasami wystarczy tylko wpisanie nazwy sklepu do wyszukiwarki.
Może już ktoś wcześniej naciął się na działalność tego sklepu i został oszukany?
Następnie warto sprawdzić kiedy domena została zarejestrowana a także zweryfikowac numer NIP i REGON podawany na stronie kontaktu.
Często zdarza się, że podawane są tam dane losowych firm z Internetu.
Jeżeli więc na stronie KRSu otrzymasz inną nazwę, niż domena sklepu - warto wstrzymać się z zakupem.
Również sprawdzenie lokalizacji może pomóc.
Jeżeli bowiem sklep oferuje tysiące produktów a adres sprawdzony w Google Maps wskazuje na jakiś blok w małej miejscowości - coś tutaj nie gra.
Również brak opcji płatności kartą oraz metody za pobraniem powinien wzbudzić nasz lęk przed zakupami w takich sklepach.
Na tego rodzaju ataki jesteśmy szczególnie narażeni w okresach przedświątecznych - kiedy to jest istny szał kupowania prezentów dla znajomych.
Również okres majowy - kiedy to kupuje się drogie prezenty na komunie.
Przesyłka za pobraniem
Ostatni proceder na który chciałbym zwrócić uwagę to wysyłanie przedmiotów za pobraniem.
Teoretycznie jest to najbezpieczniejszy sposób uzyskiwania przedmiotów zakupionych w Internecie.
Wszak dopiero w momencie odbioru za nie płacimy.
Okazuje się jednak, że istnieją osoby, które przesyłają dane przedmioty za pobraniem nieznacznie zawyżając ich wartość.
A więc umawiamy się na 50 złotych a przesyłka przychodzi na 70.
Zazwyczaj w takich sytuacjach machamy ręką - wszak już swoje się naczekaliśmy a to tylko kilka złotych różnicy.
Ale jeżeli ktoś robi to masowo - robi się z tego niezły zarobek.
Ba - istnieją osoby, które wykorzystują paczki za pobraniem jeszcze w inny, ciekawszy sposób.
Jeżeli mamy do czynienia z dużą firmą - to zazwyczaj przychodzi do niej sporo różnego rodzaju przesyłek i paczek.
Co się zatem stanie gdy wyślemy do takiej firmy paczkę za pobraniem na jakąś małą kwotę, w której środku umieścimy czekoladę?
A nóż ktoś ją odbierze i zapłaci.
Wszak jeżeli coś jest adresowane do prezesa to może rzeczywiście tego potrzebuje, a zawracanie mu głowy o kilkanaście groszy nie jest warte swojej ceny.
Mnożąc to przez kilkadziesiąt paczek w tygodniu wysłanych do kilkudziesięciu firm.
Czyż to nie wspaniały pomysł na biznes?
