Oszustwa na OLX. Jak nie paść ich ofiarą?

W tekście „Dostałeś takie SMS-y? Nie klikaj w linki!” opisywaliśmy metody kradzieży na kilka nowych metod — służbę celną, dopłatę do paczki, czy pieniądze z tarczy antykryzysowej. Nowym sposobem jest wyciąganie danych logowania do bankowości online od osób sprzedających w serwisie OLX.

W zasadzie nie mówimy tu o skomplikowanym mechanizmie. Oszust zadaje nam na początku kilka zupełnie niewzbudzających podejrzeń pytań (np. dotyczących produktu). Rozmowa kończy się akceptacją warunków, a oszust prosi nas np. o udostępnienie wysyłki OLX. I właśnie tutaj musi nam się zapalić czerwona lampka.

Jeśli oszust zwęszy okazję, to pojawiają się prośby o podanie maila i numeru telefonu sprzedającego, które — podobno — są potrzebne do finalizacji płatności. Jeśli podamy te dane, oszust wysyła nam link do podrobionej strony z płatnościami — niewprawione oko nie wyłapie różnicy. Adres strony jest jednak często bardzo podejrzany. Podobnie, jak maile, z których przychodzi do nas podrobiony dowód przelewu.

Uśpić mają nas zapewnienia o bezpiecznej transakcji i podany adres kupującego. Na samym dole znajdziemy przycisk, np. „zdobądź fundusze”, który przeniesie nas do strony, gdzie musimy wpisać dane karty płatniczej. A to przecież nie my kupujemy przedmiot! Oszust dostaje od nas na tacy m.in. kod bezpieczeństwa karty, czy PESEL. Dzięki temu może nam całkowicie wyczyścić konto.
Oszuści często próbują też wyłudzić nasze dane przez SMS-y. Ustawiają OLX, jako nazwę nadawcy, więc telefon automatycznie wrzuci je do poprzednich konwersacji. Portal nie wysyła już zresztą SMS-ów z powiadomieniami na temat przesyłek. Naszą czujność powinna też uruchomić… łamana polszczyzna w SMS-ach i wiadomościach na OLX. Często są to bowiem treści żywcem wyjęte z translatora. Jeśli kupujący odsyła nas na Whatsapp, to na pewno próbuje wyłudzić nasze dane. Podejrzenie wzbudza też numer kierunkowy telefonu, bo jest to prawie zawsze numer zagraniczny. Na portalu grou-ib znajdziemy raport, w którym wyczytamy, że na Telegramie można znaleźć boty sprawiające, że atak staje się dla oszusta miłym spacerkiem. Wystarczy wkleić botowi dane, które wyłudził od ofiary i otrzymuje w zamian linki i materiały niezbędne do dokończenia kradzieży.

Przed takim atakiem nie uchroni nas żadne oprogramowanie. Musimy po prostu myśleć.

• nigdy nie podawajmy danych do karty płatniczej
• proponujmy sprawdzone metody przelewania środków -np. blik, czy payU
• nie podawajmy danych logowania i kodów SMS, do których dostęp powinniśmy mieć przecież tylko my
• sprawdzajmy adres witryny – jeśli ma np. skrót olx-zamowienie.so, to znaczy, że jest fałszywa

Przedstawiciele OLX zabrali już głos w sprawie i od dawna próbują walczyć z problemem. Wysyłano więc maile i powiadomienia w aplikacji z dokładnym opisem działania oszustów, firma jest w stałym kontakcie z policją, CERT (Computer Emergency Response Team), usuwane są też konta oszustów. W skali miesiąca liczone w setkach.

OLX udostępnił też specjalną wtyczkę pozwalającą na sprawdzenie linku, który do nas przyszedł — na stronie https://pomoc.olx.pl/hc/pl wystarczy wkleić link w odpowiednie pole i zobaczyć, na jaki kolor zostanie podświetlony.

Panu Mateuszowi udało się uniknąć oszustwa. W zasadzie dzięki temu, że nie ma podpiętej pod konto karty płatniczej. Schemat był dokładnie taki sam, jak w podanym wyżej przykładzie.

— Podobno jest sporo ataków z Rosji i z Wielkiej Brytanii i do mnie na OLX i Whatsappie odezwał się właśnie numer z Wielkiej Brytanii. Gdy napisałem, że mam konto, ale nie mam do niego podpiętej karty, to konwersacja się urwała. Moją uwagę zwróciła też pisownia, bo pojawiały się jakieś dziwne zwroty. Z kolei mój kolega sprzedawał sprzęt elektroniczny za dość duże pieniądze, chyba w okolicy 5 tys. zł. Ucieszył się, że poszedł przelew, ale pieniądze do niego ostatecznie nie doszły. Kupujący, z którym pisał, przestał się odzywać, a na dodatek z konta zniknęły 3 tys. zł. Zgłosił to na policję, ale powiedzieli mu, że nie ścigają takich spraw, bo podał swoje dane dobrowolnie.

Często podobnie tłumaczą się banki – jeśli klient dobrowolnie podał swoje dane, to autoryzacji również dokonał samodzielnie. Ale olsztyńska policja przyjmuje jednak inne stanowisko.

— W każdym tego typu przypadku przyjmujemy zawiadomienie o możliwości popełnienia przestępstwa. W tym przypadku polegającego na oszustwie, który jest zagrożone karą do 12 lat pozbawienia wolności. Bez względu na wartość mienia, czy kwotę na jaką zostaliśmy oszukani — zapewnia Rafał Prokopczyk z Komendy Miejskiej Policji w Olsztynie. — Nie ma tygodnia, w którym nie informujemy na bieżąco o tego typu oszustach. W tym przypadku mówimy o internecie, ale dalej popularne są SMS-y z koniecznością dopłaty do energii elektrycznej albo paczki. Mowa o 20 groszach, więc płacimy, a to przecież fałszywe informacje. Trzeba stosować profilaktykę i nie klikać w linki. Jeśli jednak tak się stanie, to należy do nas przyjść bez zbędnej zwłoki — podkreśla.

PJ