Jak padłam ofiarą oszustwa Internetowego - ku przestrodze

Dawno nie było posta osobistego. Takiego niekoniecznie poradnikowego, podróżniczego czy kuchennego.

Mam nadzieję, że dzisiejszy wpis da wam do myślenia i może kogoś z was uchroni przed moimi błędami.

Padłam ofiarą oszustwa.

Parę miesięcy temu. 

 

Czemu piszę dopiero teraz?

Nawet teraz gdy piszę te słowa czuję się rozgoryczona, a najgorsze, że pomimo iż to mnie oszukano i racjonalnie wiem, że ktoś dokonał przestępstwa na mnie, nadal czuję się temu winna. Czułam wstyd, bo przecież tyle razy czytałam o różnych formach oszustw w sieci czy metodach "na wnuka" myśląc dumnie, że mnie to nie dotyczy, nie jestem przecież jak inni - nawina i łatwowierna.

Ba, pisałam dla was posta w tym temacie - Oszustwo na Allegro - jak oddzyskać pieniądze?

Jak ja miałabym się dać zrobić złodziejowi?

 

Dzisiaj wiem, że takie myślenie jest błędne i jest mi też wstyd za moją pychę.

Dlatego podejście do tego posta zajęło mi dużo czasu (3 miesiące). Gdy to piszę, mimo, że mam już zarys wpisu i tak czuję się niezręcznie.

Mogłabym to przemilczeć, ale ten post ma przypomnieć, że każda osoba, nawet ta cyfrowo ogarnięta, z w wyuczony sposób podejrzliwa, może stać się ofiarą oszustwa. Szerzenie świadomości jest konieczne, bo oszuści szybko wynajdują nowe techniki i sposoby.

Oszustwo

oszu•stwo - «świadome wprowadzenie kogoś w błąd lub wykorzystanie czyjegoś błędu dla własnej korzyści»

Oszustwo to trochę oklepany temat, jednocześnie mocno mocno nacechowany victim-blamingiem w dzisiejszym społeczeństwie. Słyszymy o oszustwach w wiadomościach, gazetach lub czasopismach oraz w Internecie. Jako ofiary oszustw kojarzą nam się osoby starsze, średnio ogarnięte, albo wprost głupie. W głowie mamy - przecież nikt inteligentny nie klika w clickbaitowe zawirusowane linki na fejsbuku, ani nie poda danych do logowania banku przez telefon. 

Myślę, że nie jestem odosobniona, wyznając, że nigdy nie spodziewałam się, że padnę ofiarą oszustwa. 

W mojej głowie były zawsze dwie myśli:

1. Nie ma opcji by mi się coś takiego przydarzyło.

2. Oszuści celują w osoby starsze, które w strachu wpadają w panikę i podejmują pochopne decyzje, zwłaszcza przekonane, że stracą wszystkie swoje oszczędności.

Jak bardzo naiwne to myślenie pokazuje mój przykład.

Moja historia 

Był słoneczny majowy dzień, a dokładnie wtorek 11 maja. Nadal w nastroju po świeżo zakończonym moim długim weekendzie majowym. 

Tego dnia miałam poranne urwanie głowy w pracy, więc 5 nieodebranych telefonów zupełnie zignorowałam. Zwróciłam uwagę, że telefon wyświetlił mi kontakt na mój bank, ale co może chcieć ode mnie bank? Pewnie wcisnąć mi kredyt, albo dzwonią z nową super ofertą ubezpieczenia, którą odmówię. 

Wyszłam z biura w połowie dnia, ok. lunch'u i wracałam do domu słonecznym wczesnym popołudniem, by dalej kontynuować zdalnie. Szłam tak w niczym nie zmąconym nastroju i tuż po przekroczeniu progu mieszkania, telefon zadzwonił po raz 6 również wyświetlając się jako mój bank. Mając dobry humor uznałam, że przesłucham co tym razem biedny pracownik call center chce mi sprzedać ;)

Ciepły męski głos przywitał mnie moim imieniem i nazwiskiem, przedstawił się swoim stanowiskiem i imieniem i nazwiskiem, oraz poinformował, że rozmowa jest nagrywana. Dzwoni w sprawie ostatnich kilku transakcji, które zostały wykonane z mojego konta i są oznaczone jako podejrzane przez system bankowy.


Następnie poinformował mnie, że z mojego konta była próba wykonania 3 płatności z urządzenia zalogowanego w Suwałkach. Ponieważ nie jest to moja normalna lokalizacja, dlatego automatyczny algorytm wykrywania podejrzanych działań na koncie zdecydował się je zablokować.

I słusznie nigdy nie byłam w Suwałkach. Serce mi podskoczyło do gardła.

- Czy mogę potwierdzić, że są to transakcje świadomie wykonane przeze mnie z nowej lokalizacji?

- Nie, nie są to moje transakcje, jestem w swoim miejscu zamieszkania.

Oszust niestety trafił też tym, że jakiś czas temu, kiedy aplikacja fitessowa, której już dawno nie mam zainstalowanej chciała automatycznie przedłużyć subskrypcje algorytmy wychwyciły dziwną transakcję prawidłowo, więc widziałam, że takie algorytmy działają, ale wtedy ograniczyło się to do wyświetlenia komunikatu w panelu użytkownika oraz przesłanym powiadomieniu Google play. 

 

W takim razie jak zapewnił mnie "pracownik", musimy przejść ze mną standardową procedurę weryfikacji rozmówcy, celem zablokowania konta, ponieważ prawdopodobnie ma do niego dostęp osoba trzecia. 

Kolejne kroki były podobne do typowego działania infolinii obsługi klienta, z którą już przeszłości zdarzało mi się rozmawiać. Miałam  przedstawić się pełnym imieniem i nazwiskiem, podać datę urodzenia, aktualną kwotę na koncie bankowym, czy posiadam limit kredytowy oraz pytanie, które było inne, ale nie wzbudziło moich podejrzeń czyli podać aktualny adres zamieszkania.

Zostałam poinformowana o typowych wektorach ataku - czyli np. moje urządzenia były udostępniane osobom trzecim, czy w ostatnim czasie pobierałam media z nieznanych źródeł. Poinformował mnie również, że na stronie logowania pojawiają się komunikaty z ostrzeżeniami przed właśnie wyciekiem danych bankowych.

Byłam zestresowana, wręcz w głowie mówiłam mu Szybciej!

Wydawało mi się, że całą procedura jest całkowicie normalna, a pracownik-oszust chce mi pomóc. Niestety padłam ofiarą jednego z obecnie najpopularniejszych modeli wyłudzania pieniędzy. 

Oszust poinformował mnie, że w ramach procedury bezpieczeństwa otwiera nowe konto, powtórzył moje dane osobowe, imię nazwisko adres, numer telefonu. Podał mi również nowy nr konta, który w tym momencie przyjdzie do mnie na telefon również w formie sms. 

I tak się stało, dostałam SMS w formacie często wysyłanym przez mój bank. W związku z powyższym teraz mogę bezpiecznie przetransferować pieniądze na nowe konto. 

Tutaj zapaliła mi się czerwona lampka, nie dość mocno. 
Zadałam pytanie:

Skąd mam wiedzieć, że to jest bezpieczne rozwiązanie? Czy może się Pan jeszcze raz przedstawić?

Oczywiście - powtórzył imię i nazwisko wraz ze stanowiskiem, które w tym momencie wygooglałam i faktycznie osoba o takim imieniu i nazwisku znajduje się w google jako pracownik banku.

- Ponadto - ciągnął dalej oszust - na pani ekranie właśnie w tej chwili wyświetla się nasz numer telefonu tj. infolinii obsługi klienta. Proszę wejść na stronę www czy w google i porównać numery.

Rzeczywiście miał rację nie tylko podpis numeru Nazwa Banku, ale i numery się zgadzały. 

Poprosił mnie, bym w tej chwili zabezpieczyła kwotę na nowym koncie przelewem Express Elixir, gdyż po zablokowaniu mojego obecnego konta, co nastąpi za chwilę, stracę możliwość robienia płatności poza płatnością w placówce bankowej, a procedura odblokowywania zajmuje do 2 tygodni. 

Moja czerwona lampka została przygaszona przez jego spokojny głos i wszystkie elementy, które miały się łączyć w logiczną całość.

Chociaż logiczne nie były, a ja z głupoty i zaskoczenia przelałam na nowe konto aktualny stan konta. 

Mogłam odpowiedzieć, że ok przeżyję to jakoś, okey pójdę do placówki bankowej i sobie wypłacę. Ale jest pandemia i by mi się nie chciało, za wszystko płacę w Internecie, prawie nie używam innych płatności niż karta, Blik i przelew. Do sklepu stacjonarnego idę tylko jeśli dostawa zakupów czegoś zapomni, słowem, nie miałabym motywacji w ogóle iść do tego banku, chociaż powinnam.

 

To było wszystko. Pieniądze miał więc zapewne w ciągu godziny tego samego dnia u siebie.   

Pamiętam, że po tym jak się rozłączył ciężko oddychałam. Musiałam się uspokoić.

Sprawdziłam jeszcze raz bankowość internetową i wtedy do mnie dotarło, że przelałam pieniądze na obcy nr konta, to bez sensu, jaka jestem głupia! Żaden nowy numer nie pojawił się na moim koncie.

Uspokój się, na mailu powinnaś mieć umowę o nowe konto i może nowe dane do logowania.

Nic. Poczekam do 5 minut... Nic

Napisałam do chłopaka. Nie trać czasu, zadzwoń do banku. Może mogą to odwrócić.

Przerażona zadzwoniłam na infolinię banku (tylko czy to ma sens, przecież numer i podpis się zgadzał. 

Odezwał się kobiecy głos. Opowiedziałam co się wydarzyło. Głos mi się trząsł z emocji. 

Potwierdziły się najczarniejsze obawy - oszuści potrafią tak zmienić ustawienia wyświetlania, że wyświetla się nazwa + numer, ale nie jest to numer z jakiego dzwonią. Zapewniła mnie, że oszuści są sprytni, a ich metody coraz bardziej wyrafinowane. Nie pocieszyło mnie to. Jak mogłam być tak głupia. 

Szczęście w nieszczęściu

Na szczęście w nieszczęściu zrobiłam ty tylko z kontem codziennego użytku, na którym staram się nie mieć kwot większych. Choć kwota jaką straciłam do dzisiaj mnie boli, a sprawa nie została rozwiązana przez policję, chociaż też nie jest zamknięta.

Moje szczęście to też fakt, że posiadam konto oszczędnościowe w innym banku, na które mogę tylko wpłacać i nie robię z niego żadnych transakcji. Tam trzymam moje nieduże, ale jednak oszczędności życia.

Wstyd

To uczucie, które towarzyszyło mi przez parę tygodni. O sprawie powiedziałam chłopakowi, rodzinie i najbliższym 3 przyjaciółkom. Ciepły męski głos śnił mi się parę razy. Praca była moją formą oderwania myśli od tego co się stało. Miałam też poczucie, że muszę wziąć nadgodziny by to co straciłam odpracować. Emocjonalnie reagowałam na każdy telefon z nieznanego numeru licząc, że to policja może z dobrymi informacjami.

Po rozpaczy, przyszło złorzeczenie. Jak mogą istnieć ludzie, którzy używając socjotechnik, żerują na innych, ich sposobem na życie jest okradanie. Życzyłam by temu gn*jowi o ciepłym głosie stało się dokładnie to samo w życiu. 

Nie pomoże, ale myśl, że może tak się stanie była moim natręctwem.

Psioczenie na cyfryzację i umowy ekspresowe, umowy przez Internet, wszystko przez Interent (i pandemię, która jeszcze bardziej to ułatwiła).

Niby by mieć telefon na kartę trzeba pokazać dowód, by założyć sobie konto w banku trzeba pokazać dowód, co z tego jeśli nowe konto bankowe można otworzyć na ulicy czy na skradzione dane. 

Uświadomienie sobie, że nie jestem sama było mi potrzebne. Oraz dalej, że trzeba wreszcie to spisać gdzieś i opublikować, aby kogoś przestrzec. Myśl ta we mnie się zbierała, ale ostatecznie dopiero inny post na facebooku:

KU PRZESTRODZE!!!

Dużo czytania, ale uczcie się na moim błędzie.

Dzwoni telefon. Na wyświetlaczu "ING Bank Śląski". Odbieram. Standardowo słyszę komunikat o nagrywanych rozmowach.

- Dzień dobry ING Bank Śląski, nazywam się Igor Budziński, czy rozmawiam z Panią Joanną Włodarczyk?

Potwierdzam.

- Dzwonię z Działu Bezpieczeństwa ING. Czy dokonywała Pani przed chwilą przelewu w bankowości elektronicznej na kwotę 600 zł?

Zaprzeczam.

- Transakcja została zablokowana, ponieważ system wykrył oszustwo. Jednak mamy podstawy sądzić, że Pani dane zostały skradzione. Widzę również w systemie wnioski o przyznanie trzech kredytów na Pani rachunku osobistym. Czy składała Pani dziś takie dyspozycje?

Tym razem zaprzeczam bardzo stanowczo i zaczynam się denerwować.

- W takim razie blokujemy te operacje. Proszę o chwilę cierpliwości, muszę się skontaktować z Działem Księgowości.

Po kilku minutach otrzymuję informację, że Dział Księgowości wstrzymał wnioski kredytowe i równocześnie przekazano zgłoszenie na Policję. Powtarza mi swoje imię i nazwisko prosząc bym je zanotowała, ponieważ dziś bądź jutro będzie się ze mną kontaktowała Policja.

- Pani Joanno, najprawdopodobniej nastąpiło włamanie na Pani urządzenie, z którego się Pani loguje do banku. Zostało zainfekowane i skradziono Pani dane - również logowania. Połączę Panią z Działem Technicznym i tam zostanie Pani poinstruowana przez naszego specjalistę.

Po chwili zgłasza się miły Pan, przedstawia z imienia i nazwiska, podaje stanowisko i zadaje mi precyzyjne pytania dot. powyższych transakcji, upewniając się, że ich w żaden sposób nie autoryzowałam. Następnie sugeruje mi zdalne przeskanowanie telefonu programem Any Desk, by zabezpieczyć dane.
Program można pobrać ze sklepu Play. W tym momencie zaczynam mieć wątpliwości. Informuję tego technicznego eksperta, że mam obawy co do instalowania zewnętrznych aplikacji, że proszę o zablokowanie wszystkich
kont i udam się do oddziału banku. W odpowiedzi informuje, że jak najbardziej jest to możliwe, ale oddziały nie mają narzędzi do
zabezpieczania urządzeń z których korzystam, a osobisty kontakt z Działem Bezpieczeństwa jest możliwy na ulicy Sokołowskiej w Katowicach. Czerwona kontrolka w mojej głowie świeci się coraz mocniej. Informuję, że nie mam pewności z kim rozmawiam. Pan oczywiście rozumie moje obawy, więc poleca bym weszła na stronę ING i sprawdziła w dolnym prawym rogu numer kontaktowy do
Banku i porównała z tym, który mi się wyświetla. Potwierdzam zgodność.
Zignorowałam swoje przeczucia, zainstalowałam aplikację Any Desk. Pan specjalista krok po kroku przeprowadził mnie przez wszystkie etapy, a następnie
poprosił o cierpliwość gdyż program bankowy skanuje mój telefon by usunąć wirusa. Trwało to kilka minut. W tym czasie, wciąż będąc na linii dostałam sms z banku informujący o zmianie mojego limitu blik.
I to był ten moment. Już nie światełko, a syrena w mojej głowie zawyła "jesteś idiotką!!!". Wiem,
o wiele za późno, zrobili mnie jak dziecko.
Zapytałam Pana czy mogę do niego oddzwonić. Powiedział, że jeszcze nie
zakończyły się wszystkie procesy, ale jeżeli będę się czuła spokojniejsza, to oczywiście, że mogę.

Rozłączyłam się i wybrałam numer do banku. Połączyłam z Działem Blokowania Kart i po natychmiastowym zablokowaniu operacji internetowych i kont otrzymałam informacje, że zostało założone dziś drugie konto, na które
przelano wszystkie moje środki (również z konta Oszczędnościowego) i wysłano
wniosek o duplikaty kart. Limit na bliku zwiększono na maksymalny 10 000 zł.

Pracownik banku (tym razem rzeczywisty) poinformował mnie, że miałam wyjątkowe szczęście, ponieważ złodzieje podczas połączenia mieli dużo czasu by wyczyścić mi konta, a jednak im to się nie udało. W trakcie rozmowy z prawdziwym bankiem miałam dwie próby połączenia z numeru banku i była
próba wypłaty blikiem, ale konto już było zablokowane, więc w ostatniej chwili udało się zapobiec kradzieży.
Podobno złodzieje dzwonią również podając się za Biuro Informacji Kredytowej a nawet Policję. Informują, że podejrzewana jest próba wyłudzania kredytu i za chwilę będzie dzwonił ktoś z banku.

Należę do osób nieufnych, nie otwieram żadnych podejrzanych linków, stron, e-maili, a mimo to niemal padłam ofiarą oszustów. Na swoje wytłumaczenie mam jedynie fakt, że to doskonale przygotowani technicznie profesjonaliści stosujący bardzo złożone socjotechniki.

Nie dajcie się nabrać tym sqrwysynom! 

Jakie sposoby mają oszuści?

Chcę by ten post był edukacyjny, więc dla tych co o oszustwach mało czytają mam szybkie podsumowanie. Istnieje kilka typów oszustw, które trzeba znać:

• -Windykacje nie istniejących spraw – bardzo powszechny rodzaj oszustwa, który z pewnością istnieje od wielu lat, ale również dotkną moją babcię osobiście. Oszuści są często zarejestrowaną firmą windykacyjną, której dane można znaleźć w Internecie. Skupują dokumenty dotyczące mandatów i po latach próbują ściągnąć za nie opłatę, a czasem po prostu mają informację, że mieliśmy coś kiedyś na raty.
  
  W pismach (niepoleconych) wzywają do zapłaty, jest to zawiadomienie ostateczne przedsądowne, a kwota zwykle na tyle niska, że wydaje się logiczne, że bardziej się opłaca ją zapłacić od 100-500zł. Jeśli zapłacimy raz, to na 99% po czasie pojawią się kolejne.
  
  Szczególnie nękają, gdy "właściciel" danej windykacji  zmarł, a nieświadoma osoba zadzwoni dowiedzieć się czego dotyczy sprawa. I nagle okazuje się, że jest to np. zaległa jazda pociągiem sprzed 10 lat. Możliwe, że zmarły nigdy żadnym pociągiem nie jechał, ale... no właśnie masowo wysyłane pisma z windykacją mają zastraszyć i wyłudzić opłatę.
  
  
• Fałszywa administracja publiczna -  kolejny powszechny sposób, głównie nastawiony na świeżych przedsiębiorców, ale nie tylko. Zazwyczaj oszuści podają się za urząd lub inną administrację publiczną. Do ofiary przychodzi pismo o konieczności uiszczenia dodatkowej opłaty - może to być pismo wyglądające jak urzędowe, z pieczątką czy nazwą podobnie brzmiącą do istniejącego urzędu. Np po założeniu działalności, aby zostać umieszczonym np. w Narodowym Rejestrze Przedsiębiorców należy dokonać wpłaty 100 zł na adres, klauzula prawna jak w innych pismach urzędowych i wiele osób zapłaci.
  
  W innej formie pojawiają się informacje o dodatkowych kosztach urzędowych np. przez telefon, e-mail (z fałszywym linkiem) czy SMS-a, coś w stylu „Uiść zaległy podatek, kliknij tutaj aby przejść do szybkich płatności ”, a następnie grożą podjęciem kroków prawnych, jeśli nie zapłacisz.
  
  
• Fałszywe transakcje bankowe – oszustwo, którego doświadczyłam na własnej skórze, polegające na tym, że oszuści udają, że dzwonią z Twojego banku (podszywanie się pod numeru banku), mówiąc, że na Twoim koncie znajdują się tajemnicze oczekujące płatności, które nie zostały dokonane przez Ciebie i należy je zabezpieczyć.
  
  
• Oszustwo na Blika - oszust wyłudza kod blik, którym natychmiastowo może wypłacić kwotę w bankomacie
  
  
• Fałszywy dostawca Internetu – oszuści zadzwonią, mówiąc, że są od Twojego dostawcy Internetu (prawdopodobnie nie określą, którego z nich, ponieważ nie znają) i że odetną Ci Internet, jeśli nie podasz im swoich danych.
  
  
• Spamerskie wiadomości - zawierają zainfekowane linki, które mogą instalować oprogramowanie śledzące i tym samym pozyskiwać dostęp do twojego urządzenia w tym danych bankowych