Patryk chciał kupić bilety na koncert zespołu Lebanon Hanover, który już dawno został wyprzedany. Dołączył do facebookowej grupy „Bilety – Kupię, Sprzedam, Oddam, Zamienię” i zamieścił ogłoszenie. – W ciągu kilku minut odezwały się trzy osoby. Miałem im zapłacić blikiem, a bilety dostać mailem. Zauważyłem jednak, że profile, z których wysłano oferty, zostały założone ledwie kilka miesięcy wcześniej, miały ukryte informacje o znajomych i nie posiadały zdjęć. Kiedy zaproponowałem odwrócenie kolejności: najpierw bilety i sprawdzenie ich legalności, a następnie płatność, kontakt się urywał. To był typowy scam, czyli oszustwo.
Michał Wnękowicz, ekspert CyberAkademii BGK prowadzący szkolenia z bezpieczeństwa w sieci, uważa, że kupowanie produktów z pominięciem sklepów internetowych może być bardzo ryzykowne. Podobnie jest z indywidualną sprzedażą, jeśli godzimy się na przekazanie towaru i płatność dopiero po jego odbiorze.
– Najlepszym rozwiązaniem jest wysyłka za pobraniem, a gdy nie ma zgody na taką formę płatności, może to wskazywać na próbę oszustwa. Jeśli już musimy dokonać zakupu poprzez media społecznościowe, powinniśmy zweryfikować profil sprzedającego. Kluczowe znaczenie ma jego dotychczasowa aktywność, jeżeli może się on wykazać pozytywnymi opiniami, prawdopodobieństwo oszustwa ulega znaczącej redukcji – tłumaczy Wnękowicz.
Jak rozpoznać fałszywą ofertę w sklepie internetowym
Opisane wyżej praktyki należą do tych najmniej wyrafinowanych. Znacznie bardziej rozbudowane są działania fałszywych sklepów internetowych. Na takich witrynach konsumenci mogą znaleźć wysokiej jakości produkty w bardzo przystępnych cenach. Kiedy dochodzi do transakcji, towar nie jest jednak wysyłany, a nawet jeśli, jego jakość znacznie odbiega od opisu. Wystarczy spojrzeć na komentarze dotyczące jednego ze sklepów oferujących dresy: „Firma nie zwraca pieniędzy za zwrócone zamówienie. Nie czyta wysyłanych maili, a jeśli dostaje się odpowiedź, to automatyczną i od razu widać, że wysłana została gotowa formuła. Nie polecam” – napisała pani Julia.
W innej opinii czytamy: „Pierwszy raz wystawiam negatywny komentarz. Zamówienie złożone w połowie października, towar otrzymałam na początku grudnia. Zamówiłam dres w pięknym głębokim brązowym kolorze – otrzymałam kawowy. Wyglądało to na poliester albo poliester z domieszką bawełny. Dziś wyprałam dres – zrobiła się szmatka. Powinnam go zwrócić, ale czytając negatywne opinie o długim oczekiwaniu na zwrot pieniędzy lub w ogóle ich brak – stwierdziłam, że dres zostawię – będzie do prac porządkowych”.
Można wymienić kilka sygnałów, które podczas zakupów w sklepach internetowych powinny wzbudzić naszą czujność. To np. liczne negatywne lub skrajnie różne opinie, albo kiepska jakość strony w sieci. Sposobem na jej weryfikację może być sprawdzenie autentyczności produktów poprzez wykorzystanie funkcji wyszukiwania za pomocą obrazu. – Pozwala to na identyfikację oryginalnego źródła zdjęć. Często nierzetelne sklepy wykorzystują fotografie oraz grafiki pochodzące z platform hurtowych w Chinach – tłumaczy Wnękowicz.
Podejrzane mogą być również ograniczone formy płatności. Akceptacja wyłącznie transakcji kartą może wskazywać na fałszywą witrynę, której celem jest wyłudzanie danych płatniczych. Należy też zweryfikować metody kontaktu ze sprzedawcą oraz politykę zwrotów. Jeśli jest ona niejasna, sklep nie ma fizycznego adresu, numeru telefonu lub ogranicza komunikację do formularza kontaktowego czy maila, powinno nas to zaniepokoić.
– Niestety, klientów takich sklepów nie chronią przepisy polskiego i unijnego prawa konsumenckiego. Dlatego ważne jest, aby przed zakupem sprawdzić w regulaminie, kto tak naprawdę jest sprzedawcą i za co odpowiada sklep. Jeśli jest spoza Unii Europejskiej, musimy być świadomi, że możemy mieć problem z wyegzekwowaniem praw związanych m.in. z reklamacją – informuje Andrzej Janyszko z Departamentu Komunikacji UOKiK, gdzie trafiają skargi na opóźnienie lub brak dostawy zamówionego towaru, nierealizowanie prawa do odstąpienia od umowy, brak odpowiedzi na reklamacje oraz wysyłanie produktów złej jakości. – Tego typu sygnały nasiliły się w ostatnich miesiącach. Duża część z nich dotyczy sklepów „udających” polskie – dodaje Janyszko.
Fałszywe kody QR
Zasadzki zastawiane przez oszustów czyhają nie tylko w witrynach sklepów internetowych czy w grupach sprzedażowych mediów społecznościowych, ale są też przesyłane za pomocą maili, esemesów, a nawet... parkomatów.
– Przestępcy umieszczają na nich specjalne kody QR, które kierują użytkowników do spreparowanych serwisów płatniczych. System w przypadku takich oszustw jest przemyślany: najpierw wymaga wprowadzenia numeru rejestracyjnego pojazdu, co ma uwiarygodnić transakcję. Końcowym etapem jest pozyskanie danych karty płatniczej, co z kolei umożliwia przestępcom dostęp do pieniędzy ofiary – tłumaczy Michał Wnękowicz dodając, że inna wariacja tego oszustwa to wkładane za wycieraczki fałszywe mandaty z kodami QR. Dalszy sposób działania jest identyczny jak w przypadku parkomatów.
SMS wyłudzający drobną kwotę
Kolejnym stosowanym przez przestępców sposobem (od czasów pandemii) jest rozsyłanie esemesów z informacją o niezbędnej dopłacie do paczki. Często ma to być zaledwie kilka złotych, ale gdy klikniemy w załączony link, po czym podamy dane niezbędne do płatności – dajemy oszustom złoty klucz do naszego konta. Przestępcy wykazują się przy tym ogromną pomysłowością, podając np. numer telefonu rzeczywistej firmy kurierskiej.
Zbliża się koniec roku, a wraz z nim wraca (czy raczej nasila się) "oszustwo paczkowe" 📦
— CERT Polska (@CERT_Polska) November 8, 2024
Zachowajcie ostrożność‼️
Tym razem oszuści podszywają się pod #DHL i informują o konieczności uiszczenia opłaty, niezbędnej do dokończenia dostawy. Celem są dane karty kredytowej💳.… pic.twitter.com/hGtRgencOT
W tym miejscu powinny wyświetlić się multimedia. Nie jest to jednak możliwe ze względu na Pani/Pana wybór preferencji plików cookies. W przypadku chęci wyświetlenia całości materiału wraz z multimediami niezbędna jest zmiana wybranych wcześniej preferencji.
Dla zapobiegnięcia kradzieży danych z karty bankowej stosuje się obecnie model kilkuetapowego uwierzytelniania transakcji, z potwierdzeniem zakupu metodą 3-D Secure. Jej stosowanie nie jest jednak standardem – wiele witryn internetowych nie wymaga uwierzytelniania poprzez kod przesłany esemesem czy potwierdzenie w aplikacji. I tę lukę wykorzystują przestępcy.
Bogna Niklasiewicz, dyrektorka działu Trust&Safety w Allegro, przestrzega, że taki model działania wykorzystywany jest najczęściej w okresie wzmożonych zakupów, np. przed świętami lub w czasie nasilonych promocji. – Przestępcy zakładają, że właśnie wtedy kupujący mogą mieć obniżoną czujność, więc wysyłają im wiadomości, w których pojawia się informacja o niedoręczonej przesyłce, wraz z wyjaśnieniem przyczyny. To np. problemy techniczne, rzekomy błąd w adresie lub konieczność uiszczenia dodatkowej opłaty. Nawet jeśli jest to niska kwota, pamiętajmy, że treść wiadomości ma skłonić odbiorcę do kliknięcia w link, który prowadzi do strony wyłudzającej dane dostępowe do bankowości internetowej lub do płatności kartą. Jak w każdym innym phishingu, zalecam dokładną weryfikację adresu, do którego kieruje link. Jeśli mamy jakiekolwiek wątpliwości, najlepiej od razu zrezygnować – radzi Niklasiewicz.
E-mail od złodzieja
Warto również zwracać uwagę na maile z linkami do zapłaty; często imitują adresy np. operatorów sieci komórkowych albo firm sprzedających prąd. – W obiegu pojawiają się wiadomości informujące o niewielkim zadłużeniu, wraz z ostrzeżeniem o potencjalnym wstrzymaniu dostaw energii – opowiada Wnękowicz, dodając, że wśród ofiar procederu są m.in. sprzedawcy przedmiotów w serwisach aukcyjnych. Zdarza się, że otrzymują oni esemesa, w którym znajduje się informacja, iż wystawiony przedmiot został kupiony, ale żeby odebrać płatność, należy kliknąć w link albo zeskanować kod QR przekierowujący do fałszywego serwisu płatniczego.
Przy wyłudzaniu pieniędzy stosowane są niejednokrotnie najnowsze zdobycze technologii. Coraz częstsze są m.in. cyberataki skierowane do rodziców. Przestępcy, podszywając się pod dzieci, proszą o pilne wsparcie finansowe: nie tylko za pomocą wiadomości tekstowych, ale i przy użyciu sztucznej inteligencji – umożliwia ona precyzyjne klonowanie głosu.
Jak unikać oszustw w internecie?
– Warto pamiętać, że oszuści mogą wymagać od nas dodatkowych danych, których nigdy nie należy podawać, jak kod PIN, login i hasło do konta w banku, numer PESEL. Jeśli będziemy nieostrożni, nie tylko nie otrzymamy towaru, ale jeszcze ryzykujemy utratą dużych środków finansowych – ostrzega Niklasiewicz. – Korzystajmy więc ze sklepów, które oferują transfer pieniędzy poprzez certyfikowanych operatorów płatności, jak PayU, P24 czy PayPal. W takim przypadku transakcje chronione są za pomocą zaawansowanego szyfrowania i obsługiwane przez autoryzowane systemy płatności, co znacznie ogranicza ryzyko, że zostaną przechwycone.
Warto również upewnić się, czy połączenie sieciowe, z którego korzystamy, jest szyfrowane. Wtedy przy adresie strony widnieje tzw. kłódka, która informuje o bezpiecznym połączeniu. Jeśli wybieramy płatność kartą i z jakiegoś powodu transakcja się nie powiedzie, ale pieniądze zostaną pobrane z konta, powinniśmy taką sytuację zgłosić natychmiast w swoim banku i skorzystać z procedury zwrotu środków, czyli tzw. chargeback. Nie należy też używać opcji zapamiętywania danych z karty w przypadku sklepów, w których robimy zakupy pierwszy raz.
CERT Polska, czyli państwowy zespół reagujący na zdarzenia naruszające bezpieczeństwo w internecie, szczególnie przestrzega przed reklamami pozornie intratnych inwestycji, wyświetlanymi w sieci (np. poprzez Google) oraz w serwisach społecznościowych. Za ich pośrednictwem dystrybuowane są linki do oszukańczych stron internetowych, posty zaś starają się zachęcać użytkowników do kliknięcia, kusząc sensacyjnymi i krzykliwymi nagłówkami. A czasem wręcz podszywając się pod znane portale informacyjne. Aby podbić zainteresowanie, oszuści wykorzystują wizerunki znanych polityków, przedsiębiorców, celebrytów etc.
Tajemniczy sposób na wysoką emeryturę?
— CERT Polska (@CERT_Polska) January 24, 2025
To oszustwo‼️
📈Reklama w internecie, SMS lub email wskazuje Ci artykuł o nowym programie rządowym lub ukrytym sposobie na pomnożenie inwestycji? Właśnie tak działają oszuści.
☎️ Zbierają dane kontaktowe na stronie, do której prowadzi… pic.twitter.com/we8BTlZkPv
W tym miejscu powinny wyświetlić się multimedia. Nie jest to jednak możliwe ze względu na Pani/Pana wybór preferencji plików cookies. W przypadku chęci wyświetlenia całości materiału wraz z multimediami niezbędna jest zmiana wybranych wcześniej preferencji.
Kliknięcie w wyświetlany link prowadzi do strony z informacjami o wyjątkowej inwestycji oraz do formularza kontaktowego. Po jego wypełnieniu na nasz numer telefonu oddzwania podstawiony „konsultant”, który nakłania użytkownika do podpisania umowy, zarejestrowania konta na fałszywej platformie i przelewu środków. Ale to nie koniec. Najbardziej nieostrożni użytkownicy godzą się na zainstalowanie (rzekomo dla sprawniejszej „obsługi” klienta) oprogramowania pozwalającego na zdalny dostęp do komputera. W ten sposób przestępcy mogą nie tylko ukraść pieniądze, ale też zaciągnąć pożyczkę na konto ofiary i posłużyć się jej wizerunkiem do kolejnych oszustw.
Analitycy CERT Polska każdego dnia blokują niemal 250 domen. W ciągu całego ubiegłego roku było to w sumie ponad 80 tys. stron, w tym aż 32 tys. fałszywych domen inwestycyjnych.
„Tygodnik Powszechny” – jedyny polski tygodnik społeczno-kulturalny.
30 tys. Czytelniczek i Czytelników. Najlepsze Autorki i najlepsi Autorzy.
Wspólnota, która myśli samodzielnie.
Artykuł pochodzi z numeru Nr 6/2025
