Użytkownicy serwisów z ogłoszeniami padają ofiarą oszustów, którzy znaleźli genialnie prosty sposób na wyłudzanie danych kart płatniczych. DGP poznał raport dla jednej z instytucji, który szczegółowo opisuje schemat na OLX.

Paulina z Warszawy parę miesięcy temu wystawiła na sprzedaż na serwisie OLX używany zegarek. Przedmiot bardzo szybko znalazł potencjalnego kupca, kobietę. Ta podesłała Paulinie link przekierowujący na witrynę łudząco podobną do normalnych stron OLX-a. Nietypowy był jednak fakt, że znajdowała się tam prośba o wprowadzenie danych karty płatniczej – numeru, kodu CVV, daty ważności, a także… stanu konta.
Paulina w pierwszej chwili się zawahała: zdziwiło ją, dlaczego miałaby podawać takie dane. W końcu jednak uznała, że być może OLX potrzebuje ich jako formy weryfikacji. – Robiłam w jednej chwili za dużo rzeczy. Pracowałam, miałam zajęcia zdalne i jak głupia kliknęłam w ten link, podając wszystkie informacje, o które mnie prosili. Po prostu chciałam sprzedać zegarek. Cieszyłam się, że znalazł się ktokolwiek chętny – opowiada dziewczyna.
Właścicielka zegarka później otrzymała jeszcze SMS ze swojego banku, ale nawet do niego nie zajrzała; pomyślała tylko, że w ten sposób OLX autoryzuje dostęp do karty. Niestety, była to informacja, że transakcja „sprzedaży” doszła do skutku: z konta Pauliny zniknęły pieniądze. Na szczęście miała tam 300 zł. – Nie wiem, dlaczego nic mnie nie tknęło. Z perspektywy czasu to straszna głupota – mówi dzisiaj.
Takich osób jak Paulina mogą być tysiące, jeśli nie dziesiątki tysięcy. I to nie tylko w Polsce, ale w całym regionie Europy Środkowej. Padają ofiarą oszustów, którzy od końca 2020 r. wyłudzają dane kart płatniczych od użytkowników serwisów jak OLX (ale też wielu innych, w tym Allegro).
DGP udało się dotrzeć do raportu na ten temat przygotowanego przez członków zespołu ds. cyberbezpieczeństwa jednego z banków. Dokument koncentruje się na oszustwach za pośrednictwem serwisu OLX.
Za schematem stoi zorganizowana grupa przestępcza ukraińsko-rosyjska
Schemat jest bajecznie prosty: oszuści udają klientów zainteresowanych ofertami sprzedaży. Najczęściej zagadują swoje ofiary (zwane „mamutami”) za pomocą komunikatora internetowego WhatsApp – wystarczy, że oferent poda swój numer telefonu komórkowego. Pozwala im to dłużej działać bezkarnie: oszukując niejako poza OLX, minimalizują ryzyko, że serwis ich namierzy i np. zawiesi konto.
Po krótkiej wymianie zdań dotyczących przedmiotu (najczęściej w jakim jest stanie itd.) oszust sugeruje wykorzystanie usługi „przesyłka OLX”. To usługa wprowadzona jakiś czas temu, której celem jest uproszczenie transakcji zawieranych między użytkownikami. Tutaj służy to jednak uwiarygodnieniu następnego kroku, w którym ofiara otrzyma link do strony wykorzystującej elementy graficzne serwisu OLX (w tym logotyp) z prośbą o wpisanie danych karty płatniczej, pod pozorem chęci uiszczenia płatności (chociaż pieniądze w takich sytuacjach przelewa się raczej na konto, nie na kartę).
Dzięki tym informacjom przestępcy są w stanie przejść do właściwej części swojego schematu, czyli wyłudzenia pieniędzy. Informacje o karcie wykorzystują np. podczas zakupów przez internet, np. w marketach z elektroniką. Zakupiony sprzęt następnie zwracają, ale pieniądze przelewają już na inne konto. Kolejnym sposobem czyszczenia konta ofiary są specjalne transakcje karta – karta, a także przelewy na konto słupa lub wypłaty za pomocą usługi BLIK w bankomacie (w przypadku tych dwóch ostatnich – jeśli oszustom udało się jednocześnie wydobyć z ofiary inne dane autoryzacyjne).
Paulina Rezmer z OLX mówi DGP, że największa fala wyłudzeń w ramach tego schematu miała miejsce na początku roku. Teraz sytuacja jest mniej poważna, m.in. dzięki prowadzonej przez serwis od kilku miesięcy wzmożonej komunikacji o zjawisku. – Wysłaliśmy 10 mln e-maili, 2,5 mln powiadomień w aplikacji, wyświetliliśmy ponad 50 mln razy ostrzeżenia przypominające o tym, jak poprawnie korzystać z przesyłek OLX oraz żeby nie klikać w linki od nieznajomych – mówi Rezmer. OLX regularnie doprowadza też do zamykania witryn podszywających się pod serwis (tam, gdzie użytkownicy są proszeni o wpisanie numerów kart).
Użytkownikom nie pozostaje nic innego jak ostrożność, bowiem utraconych w ten sposób pieniędzy nie sposób odzyskać. Jeśli jednak mleko już się wylało, to sprawę bezzwłocznie należy zgłosić na policję. Paulina została zaproszona do złożenia zeznań na komisariacie przy ul. Zakroczymskiej w Warszawie i chociaż funkcjonariusz nie owijał w bawełnę (stwierdził, że szanse na rozwiązanie sprawy są małe i że otrzymują setki podobnych zgłoszeń), to z nieoficjalnych źródeł wiemy, że nie trafiają w próżnię – policja dokonywała już w tej sprawie zatrzymań. Na oficjalne pytania do Komendy Głównej Policji nie udało nam się jednak uzyskać odpowiedzi do momentu zamknięcia tego wydania.
Ze wspomnianego już raportu, do którego dotarł DGP, wynika, że istotnym ogniwem jest Facebook, którego komunikator internetowy wykorzystywany jest przez oszustów. Firma zdaje się przeczesywać WhatsApp pod kątem podejrzanej działalności, ale – jak sugerują autorzy raportu – przestępcy znaleźli sposób, aby mylić algorytmy. Facebook nie chciał jednak podzielić się z DGP szczegółami dotyczącymi skuteczności swoich starań. „Podejmujemy działania zapobiegające nadużyciom i utrzymujemy ograniczenia dotyczące sposobu, w jaki można korzystać z WhatsApp” – brzmiała odpowiedź od firmy. Nieoficjalnie rozmówcy DGP przyznają, że koncern robi niewiele, by poradzić sobie z przestępcami zza wschodniej granicy.
Szeroko zakrojone działania edukacyjne w zakresie bezpieczeństwa internetowego (w końcu to nie jest pierwszy oszukańczy schemat w sieci) zadeklarowało również Allegro.
Pomimo tego użytkownicy – jak Paulina – wciąż dają się nabierać. I to mimo że oszuści najczęściej komunikują się za pomocą charakterystycznej polszczyzny rodem z tłumaczeń maszynowych. Dla przykładu: na portalu YouTube można obejrzeć zapis takiej rozmowy z „przedstawicielem” pomocy technicznej OLX, który był podpisany jako „Agent wsparcia #19”. Na pytanie, po co dane karty płatniczej, padła odpowiedź, że jest to potrzebne do weryfikacji przez „służbę bezpieczeństwa” (są to wyraźne przykłady fatalnego tłumaczenia maszynowego).
– Niby od lat edukujemy, żeby nie klikali w linki od nieznajomych. Ale co tu się dziwić, że od ludzi dalej można wyłudzić numer karty, skoro niedawno kobieta przelała kilkaset tysięcy złotych oszustowi, co podawał się za Clinta Eastwooda – wzrusza ramionami pragnący zachować anonimowość ekspert od cyberbezpieczeństwa.
Ofiarą schematu przestępczego jest osoba sprzedająca przez internet