Prób oszustw internetowych dziennie są pewnie dziesiątki, jeśli nie setki tysięcy. Sam wielokrotnie dostawałem wiadomości, które na kilometr śmierdziały szwindlem. Blokowałem, czasem zgłaszałem i zapominałem o sprawie. Zawsze byłem czujny, bo napisałem dziesiątki newsów na temat takich przekrętów. Ale nie tym razem. Moja czujność na chwilę osłabła i byłem kilka kliknięć od wyczyszczenia mojego konta.
Nie pisałbym o tym, gdyby nie wpis na X osoby, która dostała identycznie brzmiąca wiadomość. I gdyby nie komentarz kolejnej osoby, która wrzuciła próbę oszustwa brzmiącą jota w jotę, jak ta moja. Nie pisałbym też o tym, gdyby nie to, że choć od początku miałem wątpliwości co do transakcji, byłem gotów kliknąć podejrzany link. Bo gdy w grę wchodzą emocje nawet wiedza, doświadczenie i czujność, mogą nie wystarczyć. Serio, oszuści się nawet nie postarali, a ja i tak byłem bliski zostania przekręconym. Ale po kolei.
Tak oszuści próbują wzbudzić twoje zaufanie
Wystawiłem na sprzedaż na Facebooku biurko. Po kilku dniach otrzymałem następującą wiadomość: "Dzień dobry! Czy ogłoszenie jest aktualne? Prosiłbym zarezerwować dla mnie do jutra" (pisownia tej, jak i kolejnych wiadomości zachowana w oryginale). Jako że naprawdę chciałem się pozbyć tego biurka, nie zwróciłem uwagi na lekko podejrzaną pisownię, zresztą niekoniecznie popełniono tu jakiś błąd, ludzie różnie piszą. Odpisałem, że jasne, rezerwuję. Gdy patrzę na to z perspektywy czasu, widzę, że w ten sposób oszuści zaczęli budować do siebie zaufanie. Udawali, że są zainteresowani biurkiem, a że to tylko rezerwacja, pomyślałem, że być może pisząca do mnie osoba, wciąż się zastanawia, czyli w domyśle - nie jest oszustem. W tym momencie jeszcze nic nie wzbudziło we mnie podejrzeń, a oszuści zaczęli budować rodzaj jakiej relacji, biznesowej, ale jednak.
Nie minęło pół godziny i dostaję kolejna wiadomość. Taką samą jak dwie inne wspomniane osoby. "Chciałbym kupić z wysyłka, mam umowę z InPost, mogę zamówić kuriera, który spakuje towar i zabierz z domu. Wpłata będzie zrobiona wcześniej na konto przed wysyłką. Ok?". Znów nic nie podejrzewałem, w przeciwieństwie do mojej partnerki, która jednak nie podzieliła się ze mną swoimi obawami. Ma natomiast większe doświadczenie w sprzedaży przez internet i dobrze wie, że gdy prawdziwi ludzie chcą coś kupić, to zazwyczaj mylą ją z firmą kurierską. Dla niej więc podejrzane było, że ktoś proponuje tak kompleksową usługę. Ja natomiast ucieszyłem się, że załatwię sprzedaż szybko i wygodnie, nie musząc w zasadzie nic robić. Nie dość więc, że na tym etapie uśpiono moją czujność, to jeszcze wzbudzono po raz drugi radość, która zaciemniła mój osąd. Odpisuję: "Super".
"Ok. Aby zamówić kuriera, potrzebuję adres dla odbioru towaru, numer konta dla wpłaty i numer telefonu". Bez mrugnięcia okiem podałem adres i numer telefonu, prosząc o BLIK, wiadomo. "Niestety nie posiadam BLIK ale otrzymasz przelew natychmiastowy". I od razu druga wiadomość: "Pieniądze otrzymasz teraz na kontro bankowe, jutro skontaktuje się z Pani kurier, z którym ustalisz dogodny dla Pani termin i miejsce spotkania".
Tutaj już składnia i zwrócenie się do mnie per pani, wzbudziło moje wątpliwości. Sprawdziłem profil osoby zainteresowanej sprzedażą. Założony kilka miesięcy temu, są zdjęcia, kilkudziesięciu znajomych. Co prawda obecnie na profilowym zdjęciu jest młody chłopak w górach, a poprzednie zdjęcia należało do kobiety, to jednak stwierdziłem dobra, różni ludzie zakładają Facebooka i na różne sposoby go prowadzą, nie mnie oceniać (zrzutów ekranu z profilu nie załączam, ponieważ najpewniej zawiera on kradzione fotografie osób prywatnych). Więc mimo wątpliwości, numer konta wysłałem.
Pożałowałem tego momentalnie. Próbowałem usunąć wiadomość (a raczej cofnąć wysłanie), ale nie było to możliwe. Messenger posiada taką funkcjonalność, ale regularni użytkownicy wiedzą, że czasem pozwala jedynie usunąć ją u siebie, ale bez możliwości cofnięcia wysłania do wszystkich. Więc pozostało mi czekać z przysłowiową ręką w nocniku, co stanie się dalej. Nerwowo sprawdzałem w internecie, co może zrobić oszust posiadający numer konta (w zasadzie nic), kilkukrotnie wchodziłem na profil oszusta, by sprawdzić, czy to jednak nie jest prawdziwa osoba, generalnie było to bardzo nieprzyjemne pół godziny.
I nagle jest, powiadomienie. Niestety nie o przelewie. Ten miał być natychmiastowy, ale taki nie był, bo w ogóle "nie był". Oszust zamiast tego wysłał mi wiadomość, żebym poczekał 5 minut, a on wpłaci pieniądze i zamówi kuriera, znów budując w ten sposób obraz osoby naprawdę zainteresowanej kupnem biurka. Kolejne powiadomienie i dostaję zrzut ekranu z potwierdzeniem przelewu. Z daleka widzę logo Banku Pekao, a że od razu dostałem kolejną wiadomość, to nie przyglądałem się dokumentowi. "Wszystko gotowe, kurier zamówiony, opłatę zrobiłem przez InPost. Proszę sprawdzić zamówienie" - napisał oszust. I wysłał link pod adres będący losowym ciągiem cyfr i liter. Kolejna wiadomość: "Zapłaciłem pieniądze InPost. W zamówieniu jest przycisk "Dalej". Proszę wybrać swój bank i zarejestrować konto, aby pobrać płatność i potwierdzić wysyłkę".
W zasadzie już byłem pewien, że to oszustwo. Mój palec jednak zawisł nad linkiem, gotów go wcisnąć, by zobaczyć, co się pod nim kryje. W głowie krążyły myśli: A jeśli to prawdziwa osoba i oskarżę ją bezpodstawnie o oszustwo? Stracę szansę na sprzedanie biurka! A jeśli to po prostu link do płatności za pobraniem? To wszystko było zbyt piękne, by było prawdziwe, a jednak mój palec przez 2-3 minuty nabierał ciężaru, zbliżając się coraz bardziej do podejrzanego linku. Ale nie, w tym momencie się zatrzymałem. I pomyślałem, że czas przyjrzeć się potwierdzeniu przelewu...
... które już całkowicie rozwiało moje wątpliwości co do intencji piszącej ze mną osoby (jeśli nie było to jakiś chatbot AI). Jestem jednak w stanie sobie wyobrazić, że ten bądź co bądź nieudolnie sfabrykowany zrzut ekranu, byłby w stanie kogoś oszukać. Ba! Sam dałem się nabrać, tylko dlatego, że przed moimi oczami pojawiło się logo prawdziwego banku.
Gdyby oszuści bardziej się postarali, być może pozostałbym teraz bez wypłaty. Do tego momentu szło im naprawdę przyzwoicie. Dokument potwierdzał przelew na konto InPostu, zgadzała się kwota, data, była numer referencyjny operacji, a nawet drobnym druczkiem informacja o tym, że potwierdzenie wygenerowano elektronicznie, więc nie wymaga ono stempla, ani podpisu. Zgadzają się też dane kontaktowe do Pekao. Oszuści popełnili jednak kilka błędów. Sekcja dotycząca nadawcy została opisana jako "Rachunek winien", a odbiorcy - "Rachunek ma". Najzabawniejszy był jednak wiersz "data waluty", cokolwiek to znaczy. Najpewniej chodziło datę przewalutowania.
Aktualizacja: Wielu czytelników w mniej lub bardziej życzliwy sposób zwróciło mi uwagę, że elementy potwierdzenia przelewu, które wzbudziły moje podejrzenia, są jak najbardziej prawidłowe. I rzeczywiście, choć w mojej opinii zupełnie nieintuicyjne dla przeciętnego Kowalskiego, to "rachunek ma", "rachunek winien" oraz "data waluty" to prawidłowe określenia obecne na potwierdzeniach przelewu. Co tym bardziej jednak podkreśla determinację oszustów.
W tym momencie powiedziałem: STOP i napisałem oszustom, że mogli się bardziej postarać. Kontakt się urwał. Profil oszusta zgłosiłem Facebookowi, który oczywiście nic z tym nie zrobił i uznał, że wszystko jest w porządku. Tak zakończyła się ta historia, o krok o tragedii. Mimo tego, że już raz skradziono mi tożsamość, zaciągnięto na mnie kredyty i zaciągnięto kredyty na kogoś innego, podszywając się pode mnie, w emocjach byłem gotów zaufać oszustom.
Styczność z oszustami to nowa norma. Musimy się nauczyć z tym żyć
Jako że nie tylko ja dostałem taką wiadomość, to wysłałem pytania do CERT-NASK, czy jest to jakieś nowe oszustwo lub, czy zauważono wzmożenie w oszustwach internetowych. Otrzymaliśmy odpowiedź, że instytucja nie zaobserwowała obecnie wyraźnego wzrostu liczby tego typu kampanii. "W ostatnim czasie szczególnie dużo jest prób podszywania się pod Ministerstwo Finansów, co wiążemy z trwającym okresem rozliczeń PIT. Liczba kampanii związanych z platformami sprzedażowymi nie odbiega od poziomu, który obserwujemy na co dzień" - odpisał NASK.
Instytucja zapewnia, że aktywnie monitoruje aktywność oszustów i na bieżąco dodaje wykorzystywane przez nich domeny do Listy Ostrzeżeń. W samym 2024 roku takich domen dodano 92 tysiące. "To skutecznie utrudnia przestępcom ich proceder, warto też zgłaszać do nas wszelkie otrzymane od oszustów linki - jest to realny sposób na uchronienie innych osób" - informuje NASK.
Spytałem też o to, czym grozi podane numeru konta oszustom: "Samo podanie numeru konta w rozmowie nie jest groźne, co najwyżej ułatwi oszustom personalizację materiałów, którymi próbują nas przekonać o swojej wiarygodności - czy to sfałszowaną fakturą, czy fałszywą stroną naszego banku. Należy szczególnie uważać na to, gdzie podajemy nasze dane logowania do bankowości elektronicznej, poczty e-mail, kont w social mediach czy też numer, datę ważności i CVV karty płatniczej - dlatego tak ważna jest weryfikacja adresu strony, na którą wchodzimy, by coś opłacić lub się uwierzytelnić" - odpowiedziała instytucja.
W dzisiejszych czasach jesteśmy ciągle narażeni na styczność z różnego rodzaju oszustwami - nie unikniemy tego, ale możemy nie dać się oszukać. Zawsze warto weryfikować adres strony, na którą wchodzimy z otrzymanego od kogoś linku - czy zgadza się z adresem prawdziwej platformy handlowej lub firmy kurierskiej? Warto też zapoznawać się z materiałami edukacyjnymi i dzielić tą wiedzą z rodziną i znajomymi
- podsumował NASK.
