info:niebezpiecznik.plOd kilku miesięcy spływały do nas doniesienia o osobach, które na facebookowych grupach sprzedają różne rzeczy, a potem rzeczy tych nie wysyłają kupującemu. Klasyczne oszustwo. Zdarza się non stop także na Allegro, czy OLX. Ludzie tracą od kilkuset do kilku tysięcy złotych. Niby nic specjalnego, ale w ostatnich tygodniach piszące do nas ofiary zaczęły wspominać, że dały się nabrać, bo płatność odbywała się BLIK-iem, a dodatkowo sprzedający uwiarygadniał fałszywe ogłoszenie przesyłając im w wiadomości prywatnej ...skan swojego dowodu osobistego.
Siądźcie wygodnie, bo opiszemy Wam bardzo ciekawy przekręt. Ktoś sobie znalazł naprawdę niezły patent na zarabianie i jak wynika z naszej analizy, zarabia tak od miesięcy. W tym artykule znajdziecie też porady jak dbać o swoją cyfrową tożsamość i jak bezpiecznie kupować w internecie od obcych ludzi, np. na facebookowych grupach czy portalu OLX.
Bilety na Openera i policjant, który nie ogarnia
Oddajmy głos jednej z ofiar, która napisała do nas w listopadzie:
Pojawiło się ogłoszenie na Facebooku o tańszej sprzedaży biletów na festiwal Opener. Skontaktowałem się z tą osobą. Temat od samego początku wydawał się podejrzany, bo osoba się zachowywała się nachalnie. Wyczułem że jest to próba oszustwa. Napisałem specjalnie że się boję że zostałem kiedyś oszukany przez internet i ta osoba podając się za kobietę wysłała mi skan dowodu. Ale na tym skanie płeć była podana jako mężczyzna, więc miałem już ku temu solidne podstawy że jest to próba oszustwa.Udałem się na komendę miejską policji i przedstawiłem sytuację na dyżurce. Zostałem skierowany do policjanta, który szczerze nie miał zielonego pojęcia na temat internetu, na temat przelewów internetowych, jak to wszystko funkcjonuje — była to dla niego czarna magia gdy mówiłem o bliku i portfelach internetowych.A o bliku mówiłem, bo wysłałem tej osobie kod BLIK. Specjalnie. Pojawiła się informacja że ten blik zostanie użyty na prawdopodobnie portfelu internetowym. Nie potwierdziłem tej operacji oczywiście, więc jest to cały czas tylko próba oszustwa. Może udałoby się wam jakoś namierzyć, albo może macie jakiś jakiś kontakt w policji który ma większe pojęcie na temat przestępczości internetowej, bo jest to cały czas sytuacja na gorąco możliwa do namierzenia, lub jakiegoś tam artykułu.Niestety, ten Czytelnik, podobnie jak i kilku innych, którzy w ostatnich miesiącach zgłaszali nam oszustwa na Facebooku, nie odpowiedział na nasze dalsze pytania i prośby o doprecyzowanie pewnych kwestii. Ciężko więc było napisać artykuł na podstawie takich relacji, bez dowodów, zdjęć, namiaru na profil oszusta, czy też tego, co faktycznie pojawiło się na ekranie potwierdzenia transakcji BLIK.
Ale w ten weekend odezwało się do nas małżeństwo, które na sprawę rzuciło więcej światła…
Ktoś przejął konto mojej żony i wykorzystał do oszustwa na Facebooku
Oddajmy głos Panu Andrzejowi:
Moja żona (Beata) posiada konto na Facebook’u od dosyć dawna, założone zostało na maila na portalu o2. Konto o2 nie było używane już od bardzo bardzo dawna w jakikolwiek sposób, ale jednak istniało i posiadało delikatnie mówiąc słownikowe hasło. Włamywacz uzyskał dostęp do konta na portalu o2, przepiął (na siebie) konto FB, zmienił imię i nazwisko na Agnieszka Myszkowska. Oczywiście zmienił także hasło. Brak podwójnego uwierzytelniania na FB na pewno ułatwił zadanie. Następnie z konta (…) rozpoczął się proces dołączania do grup o charakterze turystycznym i proponowania okazji do kupna voucherówKonto zostało przejęte 26 grudnia, ale Pani Beata dowiedziała się o przejęciu konta dopiero 4 stycznia, dzięki swojemu koledze:
Kolega w pracy zapytał się z uśmiechem, czy mam drugie życie w sieci, bo dostał prośbę z FB o przyjęcie do grona znajomych. Widział, ze to moje zdjęcia, ale imie i nazwisko nie to.Jak (i kiedy) doszło do przejęcia konta, małżeństwu udało się ustalić dzięki temu, że do Facebooka Pani Beata miała podpięty także drugi adres e-mail. Po zalogowaniu się na niego zauważyła wiadomości od Facebooka mówiące kolejno o:
Wcześniej tych wiadomości Pani Beata nie widziała, bo jak informuje Pan Andrzej:
- przywracaniu konta przy użyciu maila na o2 wraz z kodem weryfikującym,
- logowaniu przy jego pomocy z informacją o nr ip,
- zmianie podstawowego adresu e-mail,
…były święta, a my byliśmy za granicą (…). W momencie odkrycia sytuacji (piątek 4 stycznia) wszelkie linki w wiadomościach są już nieaktywneChoć linki (jak i przejęte konto Pani Beaty) nie są już aktywne, to udało nam się jednak porozmawiać z jedną z ofiar, która została oszukana przejętym kontem Pani Beaty. Oto jej relacja:
Podałam mu kilka kodów BLIK…
Jak pisze Pani Weronika:
Ogłoszenie [wystawione z przejętego konta Pani Beaty — dop. red.] znalazłam na grupie społecznościowej o nazwie “odsprzedam wczasy, odkupię wycieczkę, sprzedam wakacje – tanie podróżowanie“. Dotyczyło sprzedaży 4 sztuk voucherów Itaka do wykorzystania na wakacje. Wartość pojedynczego vouchera 2000zł., sprzedaż za 1400zł. Osoba, miała profil na Facebooku opisany jako Agnieszka Myszkowska.Zaczęłam korespondować pytając o szczegóły. Osoba ta zgodziła się na sprzedaż pod warunkiem płatności kodem blik, ponieważ mieszka w Tajlandii i przelew bardzo dużo by kosztował (ja wysyłam kod tej osobie, ona wpisuje a ja zatwierdzam na swoim telefonie).(czerwona cenzura dowodu to nasza redakcyjna ingerencja, w rzeczywistości dowód był przesłany bez jakichkolwiek zamazanych danych)Uzgodniłyśmy, że wpłacę 3030, a pozostałą cześć kurierowi przy odbiorze (całość 5600 zł). Uzgodniłyśmy też, że po wpłacie 1900 zł ta osoba wyśle mi kod vouchera w celu sprawdzenia ważności. Podałam 5 kodów blik na kwoty ok. 300 zł.Tutaj przerwijmy na chwilę relację Pani Weroniki. Zwróćcie uwagę na to, że “kradzież przez BLIK” to nie jest wykorzystanie słabości w samym BLIK-u. Pani Weronika podała złodziejowi kod BLIK, który sam w sobie na nic mu się nie przyda. Ale złodziej, zgodnie z naszymi ustaleniami, kod ten wprowadza w serwisie Skrill.com w celu doładowania swojego wirtualnego portfela. Pani Weronika widzi wtedy na swoim ekranie prośbę o akceptację transakcji kodem BLIK i aby złodziej otrzymał pieniądze z jej konta, musi tę transakcję świadomie potwierdzić. I robi to — świadomie — ponieważ chce przesłać pieniądze “kontrahentowi”.
Oto, jak wygląda to z perspektywy oszusta. Najpierw wybiera on opcję doładowania konta:
Potem wybiera metodę BLIK:
W poniższe pole wpisuje kod BLIK od osoby, której rzekomo sprzedaje voucher (tu: Pani Weroniki).
Po wpisaniu kodu, Pani Weronika otrzymuje komunikat z BLIK na swoim telefonie, mniej więcej o takiej treści:
i jeśli ją potwierdzi, oszust otrzyma pieniądze.
BLIK co prawda ma “limity”, ale w przypadku Pani Weroniki, przesłanie screenu z aplikacji Inteligo wskazało oszustowi, że “ofiara” korzysta z tego banku i limity PayPro na BLIK-a ominął wybierając z listy banków Inteligo, i zlecając transakcję BLIK bezpośrednio ze strony banku (wtedy limit jest wyższy):
Takie wyłudzenie nie różni się niczym od zlecenia przelewu na konto oszusta — ale kradzież przez rachunek bankowy jest trudniejsza dla złodzieja (musi posiadać konto założone na słupa) — w przypadku serwisu Skrill, konto (wirtualny portfel) może założyć online i doładować “szybko i wygodnie” BLIK-iem. Nikt nie sprawdzi, że nie jego…
Wróćmy do relacji Pani Weroniki.
Chwilę trwało zanim dostałam zdjęcie [vouchera]:Napisałam maila do Itaki. Ta osoba naciskała na kolejne wpłaty, ale ja prosiłam o oczekiwanie. Itaka odpowiedziała, że podany kod jest już wykorzystany we wrześniu 2019 roku.Napisałam, że kod jest nieważny do tej osoby, po czym byłam zapewniana, że wieczorem dostanę dobre zdjęcia bo to zrobił syn w domu i pewnie jakieś złe. Nie przelałam kolejnych transz. Zadzwoniłam do banku z prośbą o blokadę, ale było już za późno. Wieczorem napisałam maila do PayPro, które realizowało przelewy z prośbą o zablokowanie, niestety też nie było możliwości.I tutaj znów przerwiemy relację poszkodowanej. Warto pamiętać, że o ile w przypadku płatności przelewem mamy czas na zatrzymanie, a czasem nawet cofnięcie przelewu (o ile nie jest to tzw. przelew błyskawiczny/ekspresowy), to w przypadku “szybkich” płatności, a także BLIK-a, tego typu operacja może nie być możliwa i w większości przypadków nie będzie. Złodziej pieniądze w swojej portmonetce ma natychmiast i od razu je transferuje dalej, np. kupując kryptowalutę, karty zdrapki lub wprost wypłacając w bankomacie.
Złodziej zarobił o wiele więcej…
Niestety, Pani Weronika nie jest jedyną osobą, którą ktoś oszukał przejętym kontem Facebooka Pani Beaty i metodą “na voucher Itaki”. Kiedy Pani Weronika zorientowała się że padła ofiarą oszustwa, poinformowała o tym na grupie na której ogłaszał się złodziej. I zaczęły się z nią kontaktować inne osoby, które też zostały oszukane.
[Kolejna osoba] powiedziała, że też kupiła 2 sztuki i wpłaciła 2800 zł. Potem szukałyśmy osób, które komentowały ogłoszenie i okazało się, że jest jeszcze jedna osoba oszukana. Zaczęłyśmy szukać na różnych grupach, okazało się, że takie same ogłoszenia były na wielu grupach oraz na portalu olx:Zarówno Pani Weronika, jak i inne oszukane osoby, a także OLX stanęli na wysokości zadania, bo po wewnętrznym śledztwie i namierzeniu podobnych kont i ofert na facebookowych grupach i serwisie OLX, wszystkie zostały szybko zablokowane. Brawo!
[Niestety oszust] cały czas hakuje nowe konta na Facebooku i dodaje ogłoszenia sprzedażowe. Reasumując zostałam oszukana na 1900 zł. Płacąc blikiem numer konta oraz mail odbiorcy nie są dla mnie dostępne. Każda z poszkodowanych płaciła w ten sam sposób.Bardzo istotne jest przedostatnie zdanie w wypowiedzi Pani Weroniki. Numer konta oraz e-mail odbiorcy nie są dostępne dla osób wykonujących transakcję BLIK. Ale nie uniemożliwia to reklamacji. Na koncie w banku zobaczymy transakcję BLIK-iem i możemy powołać się na numery w jej opisie. Choć, jak za chwile wyjaśnimy — odzyskanie pieniędzy będzie raczej trudne… Oto jak potwierdzenia transakcji BLIK-iem wyglądały w przypadku Pani Weroniki:
Co BLIK, pośrednicy i banki na to?
Jak napisał nam Marek Gieorgica (z firmy PR-owej obsługującej BLIK):
“Reklamacje transakcji realizowanych BLIKIEM składa się do banku (tego, w którym klient ma konto). W przypadku transakcji w internecie można także złożyć reklamację do operatora płatności (np. Przelewy24, PayU, itd.).”Jak widać, BLIK nie posiada ścieżki reklamacji. BLIK jest tylko “szybką” metodą płatności, ale technicznie pod nim jest transakcja przelewu — i to tę transakcję radzą w BLIK-u reklamować. Nie u nich, a u pośrednika lub w macierzystym banku (lub u odbiorcy/pośrednika, na konto którego trafiają pieniądze z transakcji BLIK).
Zapytaliśmy więc i spółkę PayPro (Przelewy 24), jak wygląda ścieżka reklamacji i czy w ostatnich tygodniach ten pośrednik miał wiele reklamacji dotyczących transakcji BLIK, które ktoś wykonał, a potem (tj. po zorientowaniu się, że został oszukany) chciał cofnąć. Odpowiedzi udzieliła nam Iga Mrowińska:
1. Co zrobić, jeśli ze względu na nieuwagę, wykonaliśmy szybki przelew po pay-by-linku lub przez BLIK, a potem zorientowaliśmy się że pieniądze przekazane zostały szustowi i teraz chcialibyśmy cofnąć transakcję? Czy to w ogóle możliwe? Co musi zrobić “ofiara” i ile ma czasu, aby zwiększyć swoje szanse na odzyskanie pieniędzy?Niestety, nie ma możliwości cofnięcia prawidłowo zatwierdzonej, autoryzowanej przez płacącego transakcji, jednak im szybciej po dokonaniu niechcianej płatności nastąpi kontakt z biurem obsługi klienta Operatora, tym większa jest szansa na zablokowanie transakcji przez dział bezpieczeństwa serwisu i zwrot środków płacącemu.2. Jaka formę płatności PayPro poleca do zakupów przez internet, od prywatnych osób np. na grupach FB lub OLX?Rekomendujemy przede wszystkim zachowanie czujności podczas dokonywania płatności w internecie. Internauci powinni być wyczuleni na próby oszustwa – nie otwierać maili z nieznanych adresów, nie klikać w załączniki, zwiększyć czujność, kiedy mail zawiera błędy ortograficzne bądź stylistyczne lub gdy dotyczy transakcji, której nie inicjowali. Wszystkie metody płatności są bezpieczne, jednak bez zachowania należytej ostrożności i weryfikacji wiarygodności sprzedającego, można paść ofiarą oszusta internetowego. W takim wypadku zalecamy oczwywiście zgłoszenie tego faktu organom ścigania.O komentarz w sprawie reklamacji transakcji BLIK-owych poprosiliśmy też kilka banków: mBank, PKO i ING. Do momentu publikacji tego artykułu odpowiedziały mBank i PKO. Najpierw oświadczenie mBanku:
Jeśli mówimy o transakcjach BLIK, to klient może złożyć reklamację zarówno w PSP, jak i w banku, w którym ma konto. I raczej wybiera bank. Tym bardziej, że PSP nie jest w stanie zweryfikować sytuacji tak dalece jak bank, ponieważ nie dysponuje tak pełnymi informacjami na temat klienta. Jeśli natomiast mówimy o [liczbie reklamacji] na transakcje BLIK to ich poziom jest bardzo niski — oscyluje na poziomie ok 0,001 proc. wobec wszystkich realizowanych przez nas transakcji BLIK-owych.W większości również są to reklamacje, które składają klienci po tym, jak zwrócili towar do sklepu. Ponieważ zwrot po transakcji BLIKiem nie jest tak natychmiastowy jak w przypadku karty, klienci zgłaszają się do nas. Ale zdecydowana większość z tych spraw jest – siłą rzeczy – rozwiązywana pozytywnie.Z oświadczenia PKO natomiast dowiedzieliśmy się, że:
Reklamacji transakcji BLIK jest stosunkowo niewiele.Marne szanse na uznanie reklamacji?
Podsumowując, osoba która świadomie autoryzowała szybki przelew nie ma zbyt wielu szans na odzyskanie swoich pieniędzy, jeśli nie zareaguje natychmiast. I nie może za to winić pośredników, czy swojego banku. Te instytucje zrobiły to, co obiecują — szybko przekazały pieniądze z punktu A do B. BLIK pokazał też czego dotyczy operacja. W tym przypadku jak widać, nie można winić technologii. Raczej dobrą socjotechnikę oszusta.
Żadne mechanizmy bezpieczeństwa przed socjotechniką ofiar nie uchronią.Szybkie powiadomienie banku o oszukańczej transakcji może skutkować wstrzymaniem przelewu. Niestety jeśli minie więcej czasu to sytuacja oszukanych nie jest wesoła. Pisaliśmy kiedyZaloguj lub Zarejestruj się aby zobaczyć!, ale dotyczy to zwłaszcza sytuacji, gdy transakcja była autoryzowana przez oszusta i nie miało miejsca coś, co Ustawa o usługach płatniczych określa jako “rażące niedbalstwo”.
Niestety w tym przypadku banki mogą podnosić argument, że podawanie kodu BLIK innej osobie jest rażącym niedbalstwem. Dodatkowym problemem jest to, że ofiara przekrętu z BLIK-iem sama potwierdza transakcję w swojej aplikacji. Trudno więc podciągnąć tę sytuację do “posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym” lub “przywłaszczenia instrumentu płatniczego”, a w takich właśnie przypadkach Ustawa przewiduje odpowiedzialność po stronie banku.
Płomyczek nadziei w tym, że serwis Skrill (dawniej moneybookers) wykrył “anomalię” samodzielnie lub po zgłoszeniu Pani Weroniki zdążył zablokować oszustowi portmonetkę zanim ten wypłacił z niej pieniądze. Czas pokaże. Teraz działać będzie policja, która ustali gdzie trafiły pieniądze i czy udało się je w porę zablokować. Jeśli tak, Pani Weronika może spodziewać się ich zwrotu za kilka tygodni lub miesięcy.
Reakcja Facebooka i Policji
Tego typu oszustwa to problem nie tylko dla osób, które straciły pieniądze, ale także dla osób, którym wykradziono tożsamość. Wróćmy do Pana Przemysława i Pani Beaty. Kiedy zorientowali się, że ktoś korzysta konta Pani Beaty do wyłudzeń, chcieli to konto odzyskać lub zablokować. Niestety, nie było to łatwe…
Żeby cokolwiek zgłosić konieczne było zalogowanie do serwisu, czego nie [byliśmy przecież już w stanie] wykonać. Próba przywrócenia resetowania konta spełzła na niczym chociaż nadal mieliśmy dostęp do maila, który przez lata był przypisany do konta. Zastanawiające jest także to, że nie sposób znaleźć formularza kontaktowego czy telefonu [do Facebooka]. Pomimo szybkich zgłoszeń przez wielu znajomych, konto nadal jest aktywne [było jeszcze w sobotę — dop. red.].Policja – komenda powiatowa, bardzo grzecznie przyjęto zgłoszenie z art. 267 KK o złamaniu zabezpieczeń elektronicznych itd. przesłuchanie 3h, wszelkie kontakty i wyciąganie danych od FB musi być podpisane przez prokuratora. Niestety nie było osoby przypisanej do sprawy, więc nie można było dostarczyć nawet dodatkowych dokumentów do sprawy, w tym zdjęcia Dowodu Osobistego osoby podszywającej się. Dziś zajmują się narkotykami.Reasumując bardzo trudno nawet ostrzec ludzi przed oszustwem i szybko przeciwdziałać zarówno przez organy państwowe jak i FB.I tu niestety musimy się zgodzić. Reakcja Facebooka (co zrozumiałe przy tej skali działania) jest dość wolna. Duży dramat ofiar, jest bardzo małym dramatem serwisu, który wiele nie straci na tym, że za jego pomocą ktoś przez dzień lub dwa dłużej będzie oszukiwał innych.
Reakcja Policji też jest po części zrozumiała. Polska policja jest niedofinansowana, a osób znających się na “cyberze” jest mało. Spraw natomiast jest dużo, więc Ci, którzy “się znają” dostają poważniejsze sprawy, niż błahe (w kontraście do całości przestępstw) kradzieże na “ledwie” kilka tysięcy. Perspektywę polskiego cyberpolicjanta na ten stan rzeczy opisywaliśmy w tekścieZaloguj lub Zarejestruj się aby zobaczyć!.
Ofiary muszą więc radzić sobie same… Ale od czego jest Niebezpiecznik? Wyciągając pomocną dłoń, poniżej wskazujemy 5 porad, jak zachować się w takiej sytuacji. Przydadzą się one nie tylko w przypadku oszustw na Facebooku, dlatego prześlijcie ten artykuł znajomym
1. Mocno (i poprawnie) zabezpiecz swoją skrzynkę e-mail
Bo jeśli ktoś przejmie nad nią kontrolę, to będzie w stanie zresetować dostęp do każdego konta, które na ten adres e-mail zostało założone (w naszej historii było to konto na Facebooku). Większość osób ma kilka adresów e-mail i niestety nie pamięta — tak jak Pani Beata — że mają je popodpinane do różnych serwisów. Korzystają z nowszego, lepiej zabezpieczonego e-maila, a ten stary — choć już nieużywany — to dalej sobie wisi podpięty w różnych miejscach.
Czasem, jak to zapewne było w przypadku Pani Beaty, do tego starego e-maila hasło jest takie samo jak i w innym serwisie. Z tego innego serwisu dane wyciekają i są łamane (por.Zaloguj lub Zarejestruj się aby zobaczyć!), a potem przestępcy sprawdzają czy hasło używane przez ofiarę w serwisie X, z którego wyciekła baza, pasuje też do ważniejszych serwisów. Ważniejszych, czyli właśnie skrzynek pocztowych, serwisów aukcyjnych czy wprost Facebooka. Bo dopiero na tych “ważniejszych” serwisach przestępcy mogą zarobić, np. sprzedając “lewe” vouchery Itaki.
Dlatego:
Podsumowując, korzystaj z GMaila — pod kątem bezpieczeństwa jest bezkonkurencyjny (niestety, niektórym podejście Google do prywatności może się nie spodobać — ale tak świadome osoby pewnie znajdą sobie samodzielnie dobre alternatywy).
- Upewnij się że stosujesz nieużywane nigdzie indziej hasło do swojej skrzynki e-mail.
- Jeśli korzystasz z GMaila (a powinieneś!) to włącz dwuskładnikowe uwierzytelnienie. Dzięki niemu poza hasłem, do logowania będzie potrzebny kod z aplikacji na Twoim telefonie lub (do czego zachęcamy) fizyczny token U2F. Token warto kupić, jest tani, a całkowicie chroni przed najpopularniejszym sposobem w jaki ludzie tracą dostęp do swoich skrzynek pocztowych — phishingiem. O tym jak działa ten token pisaliśmy w artykule pt.
Zaloguj lub Zarejestruj się aby zobaczyć!- Popatrz na pytania kontrole (służące do resetu hasła w przypadku jego zapomnienia). Jeśli wybrałeś “Mój ulubiony kolor” i dałeś odpowiedź “Czerwony”, to miej świadomość, że znajomość Twojego ulubionego koluru przez atakującego też da mu dostęp do Twojej skrzynki
- Pozamykaj stare, niepotrzebne skrzynki e-mail i odepnij ich adresy z serwisów, które na nie rejestrowałeś.
Aby zabezpieczyć GMaila, przejdźZaloguj lub Zarejestruj się aby zobaczyć!.
Skrzynkę e-mail można zabezpieczyć bardziej i z decydowanie warto to zrobić. Temu tematowi poświęcamy sporo czasu na naszym wykładzie pt. “Zaloguj lub Zarejestruj się aby zobaczyć!“, z którym w 2019 roku będziemy w kilkunastu największych polskich miastach. Rozpiskę terminówZaloguj lub Zarejestruj się aby zobaczyć!. Zapraszamy!
2. Zabezpiecz swojego Facebooka
Uzgadniając agendę naszychZaloguj lub Zarejestruj się aby zobaczyć!, często nasi klienci chcą usunięcia modułu dotyczącego bezpieczeństwa Facebooka. Motywują to tym, że Facebook, choć jest posiadany przez prawie każdego pracownika, to nie jest kluczowy. Tłumaczymy im wtedy, że takie podejście nie jest dobrym pomysłem. To prawda, że wiele osób nie traktuje swojego konta na Facebooku na poważnie i na informacje o tym, że ich konto może zostać przejęte, reaguje stwierdzeniem:
Spoko, przeżyję, to nie jest dla mnie istotne kontoMają rację. Dla nich nie jest to istotne konto, ale dla ich znajomych (w tym kolegów z pracy) tak. Pamiętaj, że to co najważniejsze na Facebooku, to Twoja relacja ze znajomymi. Znajomi Ci ufają. Jeśli na Facebooku złodziej o coś ich poprosi, oni nie odróżnią złodzieja od Ciebie (por.Zaloguj lub Zarejestruj się aby zobaczyć!).
Złodzieja nie interesują Twoje prywatne zdjęcia. Jego interesuje oszukanie Twoich znajomych. Jeśli więc uważasz, że bezpieczeństwo Twojego konta na Facebooku nie jest istotne, to tak naprawdę mówisz, że Twoi znajomi nie są dla Ciebie istotni i zachowujesz się bardzo egoistycznie. Już lepiej usuń całkiem takie konto.
Facebook, podobnie jak GMail, ma wiele ustawień bezpieczeństwaZaloguj lub Zarejestruj się aby zobaczyć!— i warto włączyć przynajmniej te dwa:
A jeśli kiedyś stracisz dostęp do konta na Facebooku lub znajomi powiadomią Cię, że rozsyłasz spam, wejdź na adres:
- Włącz dwuskładnikowe uwierzytelnienie. Podobnie jak na GMailu, poza hasłem potrzebny będzie kod z aplikacji albo sprzętowy token U2F (możesz wykorzystać ten sam, którym zabezpieczasz dostęp do GMaila)
- Włącz powiadomienia o “podejrzanych” logowaniach i ustaw na e-mailu filtr, który oznaczy Ci je jako ważne, tak Ci one nie zginęły w gąszczu innych e-maili, co zdarzyło się Pani Beacie. Na te wiadomości trzeba reagować szybko.
Zaloguj lub Zarejestruj się aby zobaczyć!
Zostaniesz przez Facebooka odpytany o kilka rzeczy i dostaniesz konkretne, pasujące do Twojej sytuacji działania do wykonania aby odzyskać kontrolę nad swoim kontem.
3. Chroń swój dowód
Uważni czytelnicy na pewno zauważyli, że w przypadku opisanej przez nas historii mamy do czynienia nie z jedną, a z dwoma kradzieżami tożsamości. Pierwszą ofiarą wcale nie była Pani Beata. Pierwszą ofiarą była Pani Agnieszka Myszkowska, której dowodem posłużył się oszust. Skąd go miał?
Niestety,Zaloguj lub Zarejestruj się aby zobaczyć!lub wręcz wprost kseruje ich dokumenty bez pytania, chociaż nie powinny i chociaż UODO (dawne GIODO) ostrzega, żeZaloguj lub Zarejestruj się aby zobaczyć!.
Dlatego:
4. W internecie płać kartą, albo…
- Dbaj o swoją prywatność i pamiętaj, że
Zaloguj lub Zarejestruj się aby zobaczyć!(co nie jest równoznaczne z jego skserowaniem!). Przykładowo, LOTTO prosi o wgranie skanu dowodu online, ale wcale nie trzeba tego robić, o czym pisaliśmy w artykule pt.Zaloguj lub Zarejestruj się aby zobaczyć!.- Uważaj też na ogłoszenia o pracę. Wiele z nich jest fałszywych. Przestępcy kuszą wysokimi zarobkami, ale poza CV wymagają wypełnienia różnych formularzy, które z kolei proszą o skan dowodu. Ten proceder opisywaliśmy w tych
Zaloguj lub Zarejestruj się aby zobaczyć!Zaloguj lub Zarejestruj się aby zobaczyć!.- A jeśli już musisz komuś przesłać skan dowodu, to w miarę możliwości nanieś na niego znak wodny. Po prostu w programie graficznym napisz na zdjęciu dowodu:
Skan dla firmy "XXX" w celu "YYY" w dn. AAAA-BB-CC
Jeśli nawet Twój dowód wycieknie z tej firmy/serwisu (a prędzej czy później wycieknie, por.Zaloguj lub Zarejestruj się aby zobaczyć!) i ktoś będzie się chciał nim posłużyć, to osoby wydające zgodę na pożyczkę lub kupujące vouchery na Facebooku musiały by być chyba “ślepe” aby nie zauważyć, że coś jest nie tak.
Porady 1, 2 i 3 pozwolą ograniczyć ryzyko kradzieży tożsamości (i danych). Nikt nie wykorzysta Twojego konta do oszukiwania innych. Ale to nie oznaczy, że Ciebie ktoś nie spróbuje oszukać…
3 najpopularniejsze sposoby na okradanie Polaków opisaliśmy niedawno w artykule pt.:Zaloguj lub Zarejestruj się aby zobaczyć!. W większości oszustw chodzi o wyciągnięcie kasy. A tę bardzo ciężko będzie Ci stracić, jeśli za wszystkie zakupy będziesz płacił kartą płatniczą (najlepiej kredytową, choć debetowa też da radę).
Płatność kartą daje Ci możliwość cofnięcia każdej transakcji w ramach proceduryJeśli na wyciągu z karty pojawia się coś, czego nie rozpoznajesz, dzwonisz do banku i prosisz o formularz “Chargeback”. Nie daj się nabrać na inne ścieżki bankowych reklamacji — proś od razu o formularz chargeback, czyli uruchomienie procedury wystawcy karty, bo ta daje Ci więcej korzyści. Chargeback możesz zastosować także do transakcji, które sam wykonałeś, ale produkt lub usługa, którą kupiłeś nie jest zgodna z opisem. Dostałeś czerwone buty, a miały być niebieskie i sprzedawca nie uznaje reklamacji? Dzięki chargebackowi dostaniesz swoje pieniądze z powrotem. Hotelowy pokój miał mieć widok na morze, a odstałeś widok na śmietnik? Dzięki chargebackowi dostaniesz swoje pieniądze, nawet jeśli hotel lub biuro podróży nie będą chciały uznać Twojej reklamacji. Oczywiście musisz dostarczyć dowody (np. zdjęcie folderu z ofertami, skan umowy z opisem pokoju, etc.). Chargeback dotyczy wszystkich kart płatniczych (Visa i Mastercard, debetowych i kredytowych). Kredytówki mają tę przewagę, że ewentualne “zdefraudowane” środki nie są ściągane z Twojego rachunku, a z kredytu (czyli pieniędzy banku), co pozytywnie wpływa na chęci banku do sprawnego zajęcia się sprawą. Co więcej, chociaż postępowanie chargebackowe może trwać kilkadziesiąt dni, to często pieniądze z lewej transakcji na koncie masz już następnego dnia, a bank/wystawca karty wyjaśnia sprawę z firmą, która obciążyła Twoją kartę równolegle.Zaloguj lub Zarejestruj się aby zobaczyć!
Oto przykładowe powody Chargebacku:
Płatność kartą Jest możliwa u pośredników płatności. Większość sprzedawców, nawet jeśli korzysta z pośredników w płatnościach takich jak Przelewy24, TPay, PayU, DotPay to w ramach tych pośredników obsługuje transakcje kartami płatniczymi. Warto z nich skorzystać, a nie z tzw. “szybkich przelewów” wymagających do logowania się do swojego banku, bo te niestety nie dają takich gwarancji jak kartowy chargeback.
Oczywiście osoby sprzedające w internecie na OLX czy Facebooku nie przyjmą płatności kartą. I to już powinien być pierwszy sygnał, żeby dwa razy przemyśleć, czy warto takiego “niegwarantowanego” zakupu dokonać. W tych przypadkach rekomendujemy tylko i wyłącznie zakup z przesyłką pobraniową i sprawdzenie przy kurierze zawartości paczki, a w razie niezgodności towaru — natychmiastowe złożenie reklamacji u przewoźnika, co nie pozwoli na przekazanie pieniędzy oszustowi.
Gdyby ktoś z Was chciał mimo wszystko poczuć ten dreszczyk adrenalinki i kupować w internecie płacąc standardowym przelewem, to polecamy lekturę tych dwóch wpisów:
5. Po kradzieży, reaguj szybko!
Jeśli Twoje dane, a zwłaszcza skan dowodu, wyciekły — niestety będziesz miał zmarnowanych kilka dni. Tyle “zachodu” trzeba, aby maksymalnie zminimalizować potencjalne negatywne skutki takiej kradzieży (czyli wszelkiego rodzaju wyłudzenia i pożyczki). Dlaczego tak dużo czasu to kosztuje? Bo potencjalnaZaloguj lub Zarejestruj się aby zobaczyć!aby móc spać w miarę spokojnie.
Taki właśnie bałagan mamy w Polsce jeśli chodzi o “zastrzeganie” danych z dowodu i monitoring wyłudzeń realizowanych przez oszusta w naszym imieniu. Nie ma jednego miejsca, w którym możemy zgłosić przestępstwo i zapomnieć o sprawie. To co dokładnie należy zrobić przedstawia ta infografika:
…której nie da się zrozumieć w pełni bez lektury towarzyszącego jej artykułu pt.Zaloguj lub Zarejestruj się aby zobaczyć!.
Jeśli zaś wykradziono nie Twoje dane, a Twoje pieniądze, to złóż reklamacje gdzie się da, najszybciej jak się da. Pamiętaj też, że w przypadku niektórych kradzieży z rachunków bankowych,Zaloguj lub Zarejestruj się aby zobaczyć!… Więc gdybyś kiedyś “stracił zasięg”, nawet na chwilę, to od razu na wszelki wypadek zadzwoń do banku.
PODSUMOWANIE
Wycieków dowodów i danych, umożliwiających przejęcia cudzych kont na Facebooku i wykorzystanie ich do wyłudzeń będzie jeszcze sporo. Nawet rozsądne osoby dają się nabrać na takie przekręty. Bo są dobrze dopracowane. Przestępca ma niezłą gadkę i jest mistrzem socjotechniki — potrafi uspokoić ofiarę i logicznie wytłumaczyć dlaczego pieniędzy potrzebuje w takiej a nie innej formie. Dodatkowo uwiarygadnia się skanem dowodu osobistego, no i w tle jest niezła okazja…
Ten scam (na “dowód + blik”) ma miejsce także poza Facebookiem, na serwisach z ogłoszeniami i na tematycznych forach internetowych (znamy podobną sprawę z forum dla muzyków, gdzie w sekcji “sprzedam” pojawiło się ogłoszenie sprzedaży gitary w atrakcyjnej cenie). Ktoś najwyraźniej zrobił sobie z tego źródło stałego dochodu.
Uważajcie więc na siebie i przekażcie bliskim link do tego artykułu, zanim będzie za późno…
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
