Dałem się oszukać poprzez moje własne ogłoszenie sprzedaży na OLX. No dobrze, prawie dałem się naciągnąć na phishing skierowany w moją stronę. Ostatecznie uniknąłem najgorszego, jednak i tak czuję, że moja ostrożność była za słaba.
Mimo, że niejednokrotnie czytałem, a także ostrzegałem na stronie Bankowości Domowej na Facebooku o różnych oszustwach, to do tej pory nigdy mi się to nie przytrafiło osobiście. Chyba najlepiej takie przypadki znałem ze szkoleń i testów przeprowadzanych u moich etatowych pracodawców. Zawsze z tyłu głowy miałem wrażenie, że raczej nie dałbym się tak prosto łapać na phishing.
A jednak prawie mnie dorwali. Jeśli Ty również do tej pory nie wierzyłeś, że możesz spotkać się z taką próbą, albo właśnie się o tym przekonałeś, to ten artykuł będzie dla Ciebie.
Opisuję mój własny przypadek próby wyłudzenia danych karty oraz danych do logowania do banku. Przeczytaj, jak wyglądała ta metoda, a przede wszystkim co wzbudziło moją czujność i uchroniło przed najgorszym. Na końcu kilka porad co możesz zrobić, jeśli pójdzie to o krok za daleko.
Phishing – czym jest to oszustwo?
Phishing to atak oparty na inżynierii społecznej, a więc przede wszystkim ma za zadanie oddziaływać na najsłabszy element wszelkich zabezpieczeń – czynnik ludzki. Manipulacyjnie doprowadza Cię do spełnienia celów przestępcy. Jest to oszustwo, w którym przestępca podszywa się pod inną osobę lub instytucję, aby wyłudzić poufne informacje:
- dane logowania do konta bankowego,
- kody autoryzacyjne do transakcji (np. BLIK),
- dane karty kredytowej (numer, datę ważności, kod CVV),
- dane dostępowe do różnego rodzaju systemów, czy też poczty elektronicznej
- Twoje dane osobowe (PESEL, numer dowodu, nazwisko panieńskie matki itd.)
Jest wiele odmian phishingu, nie będę wymieniał tu wszystkich, w linkach na końcu artykułu znajdziecie strony z większą ilością informacji. Najważniejsze, abyś zwrócił uwagę, że jest to bardzo popularna i niezwykle skuteczna metoda.
Oto, jak ja praktycznie padłem ofiarą sprytnego phishingu, który okazuje się krążyć już od jakiegoś czasu w sieci. Niestety nie mamy możliwości wiedzieć wszystkiego, więc ta informacja mnie ominęła.
Sprzedaż na OLX i kontakt przez What’s Up
Już od jakiegoś czasu próbuję sprzedać na OLX jedną grę PC, którą mam już od jakiegoś czasu. Cena obecnie jest symboliczna, całe 9 zł. Nie chcę jej wyrzucać, za darmo oddać też nie, a do sklepu CEX mam nie po drodze. To byłoby bez znaczenia, ale po kilku aktywacjach tego samego ogłoszenia niezwykle mnie ucieszyła wiadomość otrzymana na komunikatorze What’s Up.
Oczywiście, że potwierdziłem aktualność, w końcu mogłem się pozbyć gry, która niecierpliwie czeka na nowego właściciela. Na to dostałem propozycję wysłania gry paczką poprzez kuriera DPD. Delikatnie mnie to zdziwiło, w końcu na OLX była promocja „przesyłki z OLX” za 5 zł, a w tym jest poczta, inPost i paczka Orlenu. Koszt DPD musiałby być zbliżony lub wyższy od ceny gry. Ale jak kto woli, klient nasz pan.
Byłem akurat na spotkaniu, więc postanowiłem zająć się tym nieco później. Przyznam się, że niespecjalnie przepadam za DPD, wręcz unikam korzystania z ich usług. To nie antyreklama, jednak po prostu miałem zawsze pecha, że nawet jak byłem cały dzień w domu i wyszedłem akurat na godzinę to właśnie wówczas przybywał kurier. Przedział godzin dostawy od 8 do 16. I nie raz mimo warowania w domu dostawałem SMS „odbiorcy nie zastano”, który powodował mały atak furii.
Nie lubię.
Jako, że tak po prostu jest, to poprosiłem o to, że może dzień później to załatwimy, bo byłbym w domu. A może jednak paczkomat byłby w porządku? Na co dostałem taką oto wiadomość, z której wynikało, że przesyłka już opłacona i muszę zamówić kuriera, aby otrzymać pieniądze:
Całkiem „dobra” strona internetowa DPD
Uznałem, że kupującemu niezwykle zależy na tym DPD. Kliknąłem więc link, żeby dowiedzieć się, co muszę zrobić, żeby otrzymać pieniądze, a przede wszystkim zamówić kuriera do odbioru przesyłki.
Otworzyła się strona firmy DPD, gdzie była krótka instrukcja co trzeba zrobić, jakiś numer przesyłki, a także wielki przycisk pozwalający przejść dalej, podpisany „Zdobądź fundusze”. W tym widoku znalazło się kilka detali, które zwróciły moją uwagę, ale nadal nie wzbudziły czujności.
Wymienię je za chwilę – może już je dostrzegasz?
Zdecydowałem się kliknąć przycisk „Zdobądź fundusze”. Z perspektywy widzę, że już to mógł być zły pomysł, ale liczę, że ten phishing miał tylko jedną warstwę. Dopiero po przejściu na kolejną stronę (widoczną wyżej) dotarł do mnie ostateczny sygnał, który podniósł alarm w mojej głowie.
Nagle, jak po sznurku do kłębka zacząłem dostrzegać pozostałe sygnały, które wcześniej powodowały u mnie poczucie niepewności tej transakcji. Po kolei, a właściwie od końca:
Zdobądź fundusze, czyli jak phishing przekona Cię do podania danych logowania do Twojego banku
Po otwarciu ostatniego ekranu zobaczyłem stronę z bankami do wyboru, a także z opcją oddania danych karty płatniczej. Z wcześniejszych instrukcji wynikało, że moja „kontrahentka” opłaciła już przesyłkę wraz z wartością zakupu i ja te pieniądze mogę podjąć zamawiając kuriera po odbiór paczki. Wyglądało mi to na coś w rodzaju przesyłki za pobraniem, ale nie korzystałem z tej formy wcześniej, więc to akurat nie było super podejrzane.
Jednak po zobaczeniu tej trony dotarło do mnie najważniejsze:
Dlaczego do otrzymania pieniędzy od DPD miałbym logować się do serwisu transakcyjnego banku? Albo podawać dane płatnicze mojej karty debetowej lub kredytowej? Wystarczyłbym numer konta i tyle.
Widok tej listy logo kilku banków był niezwykle przekonujący. To był jeden z widoków, które przy częstych zakupach internetowych wywołują odruch niemal bezwarunkowy:
Wybierz swój bank! Proszę, „klik”.
W tym momencie jednak opamiętałem się. Coś mnie tknęło, żeby się wstrzymać i cofnąć do poprzedniej strony. Dzisiaj z ciekawości kliknąłem ikonę jednego z banków, w którym nie mam konta. Przeglądarka od razu pokazała mi informację, że byłoby to przekierowanie do niezabezpieczonej strony, co byłoby dziwne w przypadku banku.
Co by było, gdybym podał dane logowania lub karty na tej fałszywej stronie?
Phishing to przede wszystkim zdobywanie danych, aby osiągnąć cel, który najczęściej jest kradzież.
Gdybym podążył za linkiem, prawdopodobnie zobaczyłbym kolejną dobrze spreparowaną stronę wybranego banku. Mógłbym podać mój login oraz hasło, a oprogramowanie przygotowane przez oszustów zebrałoby te dane.
Uzyskaliby prawie pełny dostęp do mojego konta bankowego. Mogłoby mnie uratować wielopoziomowe uwierzytelnianie wymagane na oryginalnej stronie banku. Może to być np. konieczność autoryzowania przeze mnie logowania z nowego urządzenia poprzez aplikację mobilną. Obawiam się jednak, że i na to jest sposób. To już o krok od wyczyszczenia mojego rachunku bankowego.
Jeszcze łatwiej byłoby wykorzystać dane karty płatniczej. Formularz zapewne (nie wchodziłem dla własnego bezpieczeństwa) wymagałby podania pełnego numeru karty, jej daty ważności oraz kodu CVV. Z takimi danymi można szybko zdobyć środki z karty do wysokości jej limitu.
Ważne sygnały widoczne na stronie „DPD”, wskazujące na phishing
Jak już wspomniałem, idąc po nitce do kłębka zacząłem dostrzegać pozostałe, ważne sygnały, które już wcześniej mnie męczyły.
Oto lista, a poniżej zobaczysz je na zdjęciach ekranu:
Błędy, dziwne zwroty, rzadko używane sformułowania:
- „Numer wyjazdu” (przesyłki?),
- „Kliknij przycisk Pobierz środki” (przycisk jest podpisany „Zdobądź fundusze”),
- „…możesz zobaczyć dostępne towary do wysłania towaru” – co?
Detale na stronie
W nagłówku strony są ikony DPD, menu rozwijanego, czy też lupki do szukania – okazały się one być nieaktywne. Nie mogłem ich kliknąć. Aczkolwiek linki w stopce strony prowadziły już do prawdziwej witryny tej firmy transportowej.
Nagłówek strony był nienaturalnie rozciągnięty – widoczna po lewej stronie ikona DPD faktycznie jest ucięta, to nie efekt robienia zrzutu ekranu.
Adres strony
Ostatecznie adres tej strony „dpd.pl.78457483.space/tracking…” wydał mi się bardzo dziwny. Oczywiście, czasami adresy stron wyświetlających rezultaty jakiegoś dodatkowego oprogramowania (np. śledzenie przesyłek) mogą być różne. Jednak podobna, ale nieco odmienna domena witryny może być jednym z mocnych sygnałów, że coś nie gra.
Po przyjrzeniu się temu linkowi wpadłem na pomysł, aby po prostu skopiować go i wrzucić w wyszukiwarkę Google. Wówczas wyskoczyło mi całkiem sporo artykułów, również na stronie samego DPD, właśnie o tego typu oszustwach.
Wszystko stało się jasne.
Nie jestem wyjątkowy i nadal moja gra za 9 zł będzie czekała na półce na nowego właściciela…
Nie tylko OLX i nie tylko DPD
Od kilku znajomych osób dostałem już sygnały, że mieli podobną sytuację. Same artykuły z ostatnich tygodni, które możecie spotkać w sieci również wskażą Wam kilka konfiguracji tego phishingu.
Kontakt może się odbywać przez aplikację What’s Up, ale też bezpośrednio przez aplikację OLX.
Poza OLX, podobne próby odnotowywano na Vinted, popularnej aplikacji sprzedaży używanych ubrań.
Oprócz oferty skorzystania z usług kuriera DPD pojawiały się także linki do spreparowanej strony InPost.
W przypadku wykorzystania InPost, z którym się zapoznałem, reakcja przyszła o chwilę za późno. Mimo wszystko udało się uniknąć niebezpieczeństwa. Kosztuje to jednak sporo niewygody.
Jak zareagować, gdy padło się ofiarą phishingu?
Wszystko zależy od czasu reakcji. Wiadomo, że im szybciej tym lepiej.
W moim przypadku nie musiałem wiele robić, ponieważ nie dotarłem dalej i nie przekazałem żadnych swoich danych wrażliwych. To co mnie zmartwiło, to fakt klikania przeze mnie w podsunięte linki. Mogło to powodować ściągnięcie na telefon złośliwego oprogramowania, które np. kontynuowałoby śledzenie mnie i podejmowało próbę przejęcia innych danych czy kodów autoryzacyjnych.
Na wszelki wypadek przeskanowałem telefon oprogramowaniem wykrywającym wirusy i złośliwe oprogramowanie. Lepiej użyć czegoś mocniejszego niż darmowy Avast.
W przypadku podania danych wrażliwych, Twoje dalsze reakcje muszą być jak najszybsze. Spektrum działania będzie zależało od rodzaju danych.
Blokada dostępu do konta
W przypadku podania danych do logowania najlepiej od razu skontaktować się ze swoim bankiem drogą telefoniczną. Konsultant może pomóc zablokować dostęp do konta z użyciem ujawnionych danych. Następnie będzie można przejść procedurę nadania nowych haseł i autoryzacji.
Można spróbować zrobić to samemu przez Internet, najlepiej z innego urządzenia (na wypadek pojawienia się złośliwego oprogramowania). Jednak pomoc pracowników banku może być tu nieoceniona.
Zastrzeżenie karty
Jeśli podasz dane karty płatniczej, możesz zastrzec kartę – również przez Internet. Najszybciej jednak i najbezpieczniej będzie to zrobić telefonicznie. Do zastrzeżenia karty płatniczej często nie trzeba nawet się „logować” na infolinii.
Zastrzeżenie może być dokonane nawet przez osoby trzecie, o czym pisałem we wpisach:
- Zastrzeżenie karty, gdy ją zgubisz to nie jedyna droga
- Co zrobić z kartą płatniczą, znalezioną na ulicy?
Pozostałe dane i kontakt z policją
W przypadku ujawnienia pozostałych danych osobowych, a przede wszystkim numeru dowodu osobistego warto przede wszystkim zacząć od jego zastrzeżenia. Można to zrobić m.in. za pośrednictwem banku, o czym pisałem na blogu we wpisie o zastrzeganiu dokumentów: Jak ochroni Cię zastrzeganie dokumentów tożsamości? (+3 sposoby na kontrolę sytuacji)
Poza tym, w przypadku, gdy doszło już do wyłudzenia, a tym bardziej do utraty środków, warto skontaktować się z policją.
Niezależnie od tego, czy skradziono Ci pieniądze z konta, czy było ich dużo czy mało, było to przestępstwo. Samo ujawnienie danych może nieść też dalsze konsekwencje dla ciebie. Lepiej pozostawić na policji ślad tej sprawy.
Oszustwo na OLX, Vinted, DPD czy InPost może początkowo wyglądać niegroźnie
Pozornie cała ta sytuacja może wyglądać na próbę wyłudzenia towaru bez zapłaty. Jednak czujność może uśpić fakt, że sprawa może dotyczyć przedmiotu niskiej wartości, jak w moim przypadku. Cóż miałem do stracenia? Grę za 9 zł?
Pod tą warstwą kryje się jednak niebezpieczna gra o dostęp do Twoich poufnych danych, do Twoich pieniędzy, a także o Twoje poczucie bezpieczeństwa.
Byłem dosyć wstrząśnięty tym, że mimo wiedzy i świadomości, sam niemal nie padłem ofiarą takiej kradzieży. Cieszę się, że tego uniknąłem. Mam wrażenie, że bardzo mi pomogły lata szkoleń, które przechodziłem wielokrotnie, jako pracownik banku. Dzięki nim zaczęły się palić lampki ostrzegacze, chociaż jest jeszcze dużo do przećwiczenia.
Uważaj w sieci i pozostań bezpieczny
Mam nadzieję, że ten artykuł pozwolił Ci zrozumieć, na co powinieneś uważać, aby nie dać się złapać na phishing. Ostatecznie najważniejsze, żebyś tą wiedzą wzmocnił najmocniej atakowane ogniwo wszelkich zabezpieczeń – siebie samego i swoje decyzje.
Przypominam o tych ważnych, powiązanych wpisach z mojego bloga:
- Zastrzeżenie karty, gdy ją zgubisz to nie jedyna droga
- Co zrobić z kartą płatniczą, znalezioną na ulicy?
- Jak ochroni Cię zastrzeganie dokumentów tożsamości? (+3 sposoby na kontrolę sytuacji)
Nie jestem ekspertem od cyber bezpieczeństwa, więc mogę zaprosić Cię do zapoznania się z artykułami o phishingu, które sam znalazłem:
Informacja o oszustwie na stronie DPD:
Przytrafia się każdemu. Warto informować!
To co się dzieje ostatnio w internecie przechodzi ludzie pojęcie…
Piękny artykuł, dzięki! Prawie też dałem się nabrać, choć link był typu: bpd… itd zamiast dpd … to mnie już zastanowiło – doszedłem nieco dalej… podałem login – ale już hasła nie – tego samego dnia zmieniłem hasło z innego urządzenia… a przecież używam komputerów od 1986 roku, powinienem być czujny … jeszcze raz dziękuję
i mi wczoraj przytrafiła się próba wyłudzenia dostępu do mojego konta, brakowało kilu sekund i byłoby po mnie a właściwie po moich pieniądzach. Po wystawieniu mebli na olx w kilka minut skontaktowano się za mną na komunikatorze , w wiadomości była widoczna nijaka pani Helena Mazurek a w momencie otwierania wiadomości był tylko nr telefonu. 796613156 Oczywiście zagrano na moich emocjach , chwila zastanowienia ze strony oszusta niby z mężem musi porozmawiać , ale ostatecznie zdecydowana i podsyła dpd i link do pobrania należności, Dobrze, że skontaktowałam się z córką która nakazała mi skontaktować się z Bankiem i zanim przesłano mi KOD do logowania ja już miałam zablokowany dostęp do konta. Pani na infolinii w Banku jak tylko usłyszała , zakup , OLX i what up zareagowała profesjonalnie a oszust mnie poganiał, że przecież odbieram wiadomości a on czeka i kończy mu się czas , że czeka jeszcze tylko 10 minut a ja sparaliżowana siedziałam jak zamurowana. Zablokowałam kontakt chociaż miałam ochotę napisać parę „ciepłych słów
’ Zmieniłam wszystko co było do zmiany” hasła , NIK i co tylko się dało. Piszę aby wyczulić wszystkich , cyber oszustwa krążą jak orbity i czyhają na chwilę naszej słabości czy braku czujności .
Wchodząc na stronę szczerze mówiąc myślałem, że szybko stąd wyjdę. Wiele podobnych artykułów mnie już zawiodło. Jednak Twój styl wypowiedzi mnie przekonuje i przepraszam za pochopny osąd… Zyskałeś kolejnego czytelnika 🙂
dpd-pl zamiast dpd.pl
czyli warto dokładnie sprawdzić adres strony.
A co do zakupu antywirusa na telefon to niekoniecznie trzeba zostawić nr karty bankowej. Istnieją oferty z płatnością Blikiem.
Bardzo fajny wpis, widziałam ostatnio podobne artykuły i ten się wyróżnia na tle innych oraz jest wart uwagi. Konkretnie objaśniony temat. Bardzo przyjemnie się go czyta. Czekam na takich więcej 🙂
Miałam dokładnie taką samą sytuację tylko, że zamiast DPD mówiono mi że zapłacono przez inpost. Ktoś bardzo szybko się zdecydował i ponoć zapłacił zanim jeszcze zdążyłam potwierdzić że mu sprzedaję. A dodam że nie dałam opcji zakupu i wysyłki na OLX, wiec bylam bardzo zdziwiona. Pierwszy raz dodalam przedmiot do sprzedania na OLX, więc nie wiedziałam czy czegoś nie przegapiłam i nie ustawiłam przez przypadek opcji płatności i dostawy. Chciałam sprzedać tyko z odbiorem osobistym. Weszłam jednak w wyslany mi link ale ponieważ nie rozumiałam w ogóle jak to niby działa to nie poszłam dalej. Sprawdzałam info na olx, czy był jakiś zakup, patrzyłam czy dostałam jakiegoś maila… nic. Więc napisałam do tej osoby, że nie wiem o co tu chodzi i że sprzedaję tylko z odbiorem osobistym i wiadomo… cisza. Nie miałam na telefonie antywirusa. Ściągnełam darmowego, nic nie znalazło. Nie chcę instalować platnego bo od razu prosi o podanie danych karty, a przeciez jesli jest jakies niebezpieczne oprogramowanie to moze mi to zczytać. Może polecisz jakieś rozwiązanie? Pójśc do serwisu żeby mi przeskanowali dobrze telefon? Pozdrawiam!
Cześć Ewa,
Dziękuję za podzielenie się historią. Niemal identyczna z moją! Skanowałem swój telefon Nortonem i McAfee po tej akcji i nic nie wykryły. Natomiast dobrym pomysłem jest to sprawdzić bo ta „kampania” może mieć drugie dno, czyli nie tylko kradzież danych bezpośrednio, ale też przez złośliwe oprogramowanie. Myślę, że możesz pójść do serwisu świadczącego takie usługi. Ale osobiście mimo wszystko polecałbym kupno pakietu antywirusowego – możesz go kupić np przy użyciu innego urządzenia i potem na telefon wysłać sobie jedną licencję. Ja korzystam obecnie z Nortona, gdzie mamy 10 licencji na urządzenia w rodzinie.
Wielkie dzięki za ten artykuł !!! Identyczna sytuacja dziś u mnie. Na szczęście po tym jak zobaczyłam ze mam podać pesel uznałam, że to jest wyłudzenie danych.
Gdzie / jak szukać takich punktów w których mogą sprawdzić telefon?
Znalazłem takie usługi na stronach firm zajmujących się odzyskiwaniem danych z urządzeń. Można wyszukać w google po haśle „sprawdzanie telefonu złośliwe oprogramowanie” i podobnych.