Phishing, inaczej wyłudzenie danych lub pieniędzy, to coraz częściej występujący problem w zakupach online. Wewnętrzne czaty w aplikacjach sprzedażowych stosują wbudowane zabezpieczenia ostrzegające przed wysyłką danych lub pieniędzy nieznajomym. Jednak oszuści coraz częściej omijają zabezpieczenia i, wykorzystując numer telefonu podany w ogłoszeniu na portalu OLX, kontaktują się bezpośrednio z ofiarą w celu wyłudzenia informacji, w tym tych dotyczących karty debetowej.
Jak przebiega atak phishingowy na OLX?
Platformy ogłoszeń lokalnych tj. OLX to doskonałe miejsce, aby okazyjnie i po sąsiedzku kupić lub sprzedać ciekawe oraz użyteczne przedmioty z drugiej ręki. Problem zaczyna się w sytuacji, gdy kupujący nie jest w stanie odebrać wystawianego przedmiotu osobiście i prosi o wysyłkę. Ten schemat jest częstym scenariuszem ataków phishingowych, które mają na celu wyłudzenie danych karty płatniczej osoby wystawiającej ogłoszenie. Jak przebiega taki atak – zapoznaj się z poniższym przykładem podzielonym na etapy. Każdy z nich jest kluczowy do ewentualnego sukcesu lub porażki oszusta.
Ważne! Poniższy schemat działania oszustów został przez nas odnotowany na 3 różnych ogłoszeniach. Za pomocą WhatsAppa otrzymaliśmy 3 propozycje dla każdego z nich. Proceder jest więc szeroki i może również dotyczyć Ciebie – bez względu na cenę sprzedawanego przedmiotu!
Tworzenie ogłoszenia w serwisie OLX z podaniem numeru kontaktowego
W pierwszym kroku wystawiamy przedmiot na sprzedaż w serwisie ogłoszeń lokalnych. W danych kontaktowych podajemy numer telefonu – to popularna forma szybkiego kontaktu kupującego ze sprzedającym. To podstawowa informacja, z której korzysta oszust.
Wiadomość phishingowa z ofertą kupna wystawionego przedmiotu w aplikacji Whatsapp
Z uwagi na fakt, że WhatsApp korzysta z bazy na podstawie numerów telefonów – skontaktowanie się z potencjalną ofiarą nie jest dużym wyzwaniem. W krótkim czasie za pośrednictwem aplikacji otrzymujemy ofertę kupna wystawionego na OLX przedmiotu. Oszust informuje, że zapłacił już za przedmiot i kuriera (co jest oczywiście kłamstwem). Kluczowa jest tutaj informacja, że za pomocą przesłanego przez niego linka sprzedający może „pobrać środki za wystawiony przedmiot” lub „dokonać realizacji płatności”. To najczęściej stosowana sztuczka, która ma na celu wyłudzenie danych od sprzedającego.
Phishingowy link podszywający się pod domenę OLX
Oszust przesyła link, który ma być potwierdzeniem zapłaty za przedmiot i wysyłkę. Klikając w link, zostajemy przeniesieni do phishingowej strony podszywającej się pod serwis OLX. W górnej części strony znajdują się przekopiowane informacje wraz ze zdjęciem wystawionego przez nas przedmiotu. W dolnej części znajduje się formularz z miejscem na wpisanie danych karty płatniczej, w tym: imienia i nazwiska, numeru karty, dacie ważności i kodzie CVV/CVC. W większości przypadków te dane wystarczą, aby oszust dokonał płatności internetowej i wyczyścił konto bankowe ofiary ze zgromadzonych środków.
Atak phishingowy na OLX – jak ochronić się przed wyłudzeniem środków?
Wystawiając przedmiot na platformie ogłoszeń lokalnych tj. OLX zastosuj się do kilku poniższych wskazówek:
- Kontaktuj się z kupującym za pośrednictwem czatu w aplikacji OLX – wbudowane algorytmy ostrzegą Cię przed potencjalnie niebezpiecznymi sytuacjami, takimi jak niebezpieczne linki, podawanie wrażliwych informacji czy próba oszustwa.
- Nie klikaj w linki przesyłane za pośrednictwem SMS/ WhatsApp/ Messenger – jeżeli otrzymujesz ofertę kupna bezpośrednio poza portalem z ogłoszeniami – zachowaj czujność, zwłaszcza, gdy kupujący wysyła link lub prosi o wysyłkę towaru. Zwróć uwagę na pochodzenie numeru (prefix), składnię zdań w wiadomościach kupującego oraz domenę wysłanego linku, np. dla serwisu OLX jedyne właściwe subdomeny to marketplace.olx.pl, delivery.olx.pl i przesylki.olx.pl. Jeżeli masz choć najmniejsze wątpliwości, nie klikaj w link i skontaktuj się z pomocą techniczną portalu pod oficjalnym numerem kontaktowym. W dokumentacji OLX możesz także sprawdzić, czy link pochodzi z serwisu.
- Nie podawaj danych autoryzacyjnych konta bankowego – jako strona sprzedająca, nigdy nie podawaj danych autoryzacyjnych konta bankowego (login i hasło), ani danych z karty płatniczej (imienia i nazwiska, numeru karty, daty ważności i kodu CVV/CVC). W przypadku chęci dokonania przelewu środków przez stronę kupującą powyższe dane są całkowicie zbędne. Dodatkowo oszust posiadający powyższe informacje może bez problemu włamać się na Twoje konto bankowe lub dokonać przelewu środków z karty płatniczej.
Warto pamiętać, że skuteczny phishing to atak, który wzbudza emocje i wykazje słabości użytkownika. Takie argumenty jak „szybsza wysyłka”, „szybkie pobranie środków”, „szybki przelew” bardzo często działają na wyobraźnię sprzedającego. Zachowując czujność i dystans do propozycji wysyłanych przez WhatsAppa zwiększasz swoje bezpieczeństwo.
Czy antywirus zabezpiecza przed phishingiem?
Dodatkową formą zabezpieczenia może być również antywirus z modułem antyphishingowym. Niezależnie, czy korzystasz z portali z ogłoszeniami na smartfonie, czy komputerze – oszuści mogą wybrać inne rozwiązania, mające na celu uwiarygodnić atak. Jedną z najczęściej stosowanych metod jest kierowanie użytkowników do sfałszowanych stron internetowych, podobnych do serwisu bankowego. Antywirus ostrzeże Cię w sytuacji wykrycia niebezpiecznej i podejrzanej witryny oraz zwiększy ochronę przed próbami wykradzenia danych poufnych, w tym danych dostępowych do e-bankowości.
Pamiętaj, że metody socjotechniczne to w dużej mierze główne powody powodzenia ataków ze strony cyberprzestępców. Najsłabszym ogniwem jest człowiek, który wprowadzony w błąd dobrowolnie podaje dane, np. login i hasło do elektronicznej bankowości. Przekazanie takich informacji, zwłaszcza biznesowych, może spowodować niepowetowane straty i stworzyć dodatkowy problem. Jeżeli chcesz zminimalizować ryzyko, to warto rozważyć scenariusz zakładający inwestycję w program antywirusowy:
Sprawdź także: