Na internetowych aukcjach bardzo chętnie kupujemy, ale także coraz częściej… sprzedajemy. Nie tylko nietrafione świąteczne prezenty ale w zasadzie każdą zbyteczną dla nas rzecz. Ubrania, które nam się znudziły, smartfona, przeczytane książki, czy zabawki, z których wyrosły nasze dzieci.
Niestety, przestępcy na internetowym handlu często znają się lepiej niż my i dlatego zamiast trochę zarobić na sprzedaży - możemy sporo stracić. Zarówno przedmiot, który chcieliśmy sprzedać jak i wszystkie oszczędności, które mamy na rachunku. Zobacz na jakie ataki narażony jest każdy, kto cokolwiek sprzedaje w internecie.
Podaj numer karty, aby otrzymać pieniądze!
Tak można w skrócie podsumować wiele wariantów tego samego ataku, na który od kilku miesięcy narażeni są sprzedający na portalach ogłoszeniowych i aukcyjnych.
(fot. Czytelnik niebezpiecznik.pl)
Po wystawieniu przedmiotu na sprzedaż odzywa się do nas osoba zainteresowana zakupem. W rozmowie najpierw dopytuje o "walory" produktu, aby uśpić naszą czujność. Później proponuje, że zapłaci przy użyciu "mechanizmu portalu aukcyjnego" a po chwili zgłasza, że środki zostały już wpłacone. Oszust wkleja na czacie link, w który powinniśmy kliknąć, aby odebrać pieniądze. Dorzuca do tego wiarygodnie wyglądającą grafikę. Zawiera ona logotypy strony aukcyjnej i informuje, że aby odebrać pieniądze od kupującego, sprzedający musi kliknąć w link.
(fot. Czytelnik niebezpiecznik.pl)
Grafiki są oczywiście fałszywe, a cała rozmowa jest wyłudzeniem. Po kliknięciu w link zobaczymy prośbę o wpisanie naszego numeru karty płatniczej. Jeśli to zrobimy, karta wcale nie zostanie doładowana pieniędzmi od kupującego. Przestępca natomiast pozyska dane naszej karty i chwilę później wyczyści nam powiązany z nią rachunek.
(fot. Czytelnik niebezpiecznik.pl)
Przestępcy są na tyle bezczelni, że pytają nawet o saldo rachunku powiązanego z kartą, aby nie próbować obciążać karty na kwotę większą niż mamy na koncie (co skończyłoby się odmową autoryzacji).
(fot. Czytelnik niebezpiecznik.pl)
W kolejnym kroku proszą też o "kod SMS", który jest elementem autoryzacji płatności przez mechanizm 3DSecure.
(fot. Czytelnik niebezpiecznik.pl)
Oszuści często kontaktują się bezpośrednio na WhatsAppie lub na innym komunikatorze, wykorzystując numer telefonu podany na aukcji. Nie licz jednak na to, że jeśli ktoś posiada konto na WhatsAppie i widzisz jego numer telefonu, to taka osoba jest godna zaufania.
Nie tylko karta
Istnieje również taki wariant tego ataku, w którym oszust - przed wykradzeniem danych z karty - najpierw przekieruje ofiarę na fałszywą stronę banku w celu wyłudzenia danych do logowania w bankowości internetowej. Otrzymasz wtedy podejrzany link do strony, na której będziesz poproszony o podanie loginu i hasła do bankowości internetowej a czasem nawet numeru PESEL. Oszuści będą chcieli wykorzystać te dane aby dodać nowe urządzenie zaufane, którego użyją do kradzieży Twoich pieniędzy.
W tym rodzaju ataku otrzymasz również fałszywe SMS-y z kodami aktywacyjnymi z banku. Koniecznie czytaj ich treść! Będą dotyczyły autoryzacji nowego urządzenia mobilnego, przelewów wychodzących z Twojego konta oraz zmiany limitów karty - czytając dokładnie treść SMSów możesz uniknąć wyłudzenia.
Zapamiętaj!
- Nigdy nie wpisuj numeru karty płatniczej w celu pozyskania środków od kupującego. Podanie numeru karty w internecie oznacza jej obciążenie. To prawda, że niektóre sklepy mogą zwracać pieniądze na rachunek karty, ale procedura zwrotu wygląda inaczej i zazwyczaj dotyczy tylko miejsc, w których tą kartą zapłaciliśmy wcześniej za zakupy.
- Nigdy nie podawaj danych do logowania w swojej bankowości internetowej pod pretekstem autoryzacji płatności za sprzedaną rzecz. To próba wyłudzenia informacji.
- W serwisie sprzedażowym umawiaj się na odbiór osobisty przedmiotu albo wysyłaj go do kupca tylko po sprawdzeniu, że pieniądze za przedmiot faktycznie wpłynęły na Twój rachunek bankowy. Nie wierz w żadne potwierdzenia przelewu przesyłane przez kupującego - mogą być podrobione.
- Bądź podejrzliwy w stosunku do wiadomości od osób, które nie używają poprawnej polszczyzny. Oszuści często nie pochodzą z Polski i popełniają zauważalne błędy językowe lub korzystają z prostych tłumaczy internetowych.
Fałszywe potwierdzenie
Innym, popularnym wariantem ataku opisanego wyżej jest oszustwo na potwierdzenie lub escrow (pol. zaufaną trzecią stronę). W tym przypadku oszustom nie zawsze chodzi o nasze pieniądze, a o darmowe pozyskanie produktu który sprzedajemy.
Rozmowa najczęściej zaczyna się od tego, czy zgadzamy się na wysyłkę przedmiotu do innego kraju lub do paczkomatu. A kiedy wyrazimy zgodę, złodziej poprosi nas o wypełnienie formularza z danymi takimi jak nasze imię, nazwisko, adres i numer rachunku bankowego, twierdząc że jest to wymagane przez jego bank do zlecenia płatności.
Po kilku godzinach faktycznie otrzymamy wiadomość z adresu e-mail przypominającego z nazwy zagraniczny bank. Wynikać z niej będzie, że osoba o danych zgodnych z kupującym wpłaciła wymaganą kwotę na nasz rachunek, ale bank, aby zapewnić bezpieczeństwo obu stronom transakcji, przetworzy płatność w trybie tzw. escrow. Wpłacone fundusze zostaną nam przekazane dopiero po przesłaniu skanu dowodu nadania przesyłki. W dobrej wierze wysyłamy więc przesyłkę…i ślad po niej, jak i kupującym zaraz potem ginie. Pieniądze za towar nigdy nie zostaną do nas przesłane.
(fot. Czytelnik niebezpiecznik.pl)
Innym - bardziej dotkliwym - wariantem tego oszustwa jest wiadomość nie tylko z banku ale także od firmy kurierskiej, która rzekomo dostała zlecenie na transport sprzedawanej przez nas rzeczy do zagranicznego klienta. Firmie co prawda musimy za transport zapłacić kilkaset złotych, ale fałszywy e-mail z banku informuje, że kupujący zapłacił za produkt i koszty transportu więcej niż liczy sobie firma kurierska. Może się więc nam wydawać, że jeszcze na tym zarobimy, gdy bank prześle nam pieniądze od kupca.
(fot. Czytelnik niebezpiecznik.pl)
Niestety, jeśli uwierzymy w te e-maile i wyślemy produkt kontrahentowi, to stracimy towar i oczywiście nie otrzymamy żadnych pieniędzy od "banku". W rzeczywistości ten bank w ogóle nie istnieje, a wszystkie potwierdzenia wpłat, które przedstawiał rzekomy „bank”, to fotomontaż.
Zapamiętaj!
- Nigdy nie wysyłaj produktu dopóki na Twoim koncie nie znajdą się środki. Nie wierz w żadne potwierdzenia przelewu od kupujących ani reprezentujących ich banków - mogą być podrobione.
- Nie rób wyjątków dla osób, które kupują od Ciebie przedmiot z konta w portalu aukcyjnym, które ma długą historię zakupów i pozytywne oceny oraz dobrą reputację. To konto mogło zostać przejęte i rozmawia z Tobą oszust, a nie prawdziwy właściciel.
Zapłacą za kuriera, żeby nie robić Ci kłopotu!
Niekiedy kupujący proszą o przesłanie im towaru kurierem "za pobraniem". Są mili i tłumaczą, że ktoś ich kiedyś oszukał na aukcji, a dzięki tej formie wysyłki mogą się upewnić, że faktycznie mamy produkt, który im sprzedajemy. Przepraszają za kłopot, rozumieją że taka wysyłka jest droższa i bardziej kłopotliwa. Dlatego, aby te niedogodności zrekompensować, oferują, że sami opłacą i zamówią kuriera - proszą jedynie o podanie adresu, pod który kurier ma się stawić.
Jeśli się zgodzimy, to do naszych drzwi faktycznie zapuka kurier jednej ze znanych, dużych firm kurierskich. Pokwituje odbiór, zostawi dokumenty i zabierze sprzedawany przez nas przedmiot.
Na czym polega oszustwo? Nie jest to prawdziwy kurier! Co prawda ma "firmowy" polar i coś, co wygląda jak terminal kurierski, ale to wszystko ściema. Oszust odbierze przesyłkę i w ten sposób stracimy towar i nie otrzymamy za niego zapłaty.
Zapamiętaj!
- Aby uniknąć rozczarowania, zawsze samodzielnie zamawiaj kuriera do wysyłki przedmiotów, które sprzedajesz.
Ochroń także prywatność!
Sprzedając na internetowych aukcjach można trafić na dziwnych ludzi. Treści aukcji indeksują też wyszukiwarki, a być może nie zawsze chcesz być kojarzony ze sprzedażą płyty CD zespołu grającego polskie reggae. Dlatego lepiej w treści ogłoszeń sprzedaży nie podawać swoich prawdziwych, używanych na co dzień danych kontaktowych, tj. adresu e-mail i numeru telefonu. Ktoś może je za jakiś czas wyszukać i wykorzystać do ataków na Ciebie.
Zapamiętaj!
- Sprzedając w internecie podawaj osobny adres e-mail i numeru telefonu. Tymczasowy numer telefonu możesz pozyskać kupując kartę SIM, zamawiając numer wirtualny u swojego operatora lub wprost u dostawcy usług VoIP.
- Poza ochroną swojego e-maila czy telefonu, masz możliwość "ukrycia" przed kupującym swojego adresu zamieszkania. Wystarczy, że przesyłkę nadasz przez paczkomat.
Bezpiecznej sprzedaży!
Jak sprzedawać rozsądnie aby nie przehandlować oszczędności
08-02-2021
ekspert ds. bezpieczeństwa komputerowego. Założyciel polskiego serwisu o bezpieczeństwie teleinformatycznym Niebezpiecznik.pl.
Artykuły (10)Aby dodać komentarz, musisz się zarejestrować. Jeśli jesteś już zarejestrowany, zaloguj się. Jeśli jeszcze się nie zarejestrowałeś, zarejestruj się i zaloguj.