Ostatnio strasznie wzrosła liczba oszustw związanych z bankowością elektroniczną i mediami społecznościowymi. Realni "wnuczkowie" przenoszą się do sieci, gdzie mają prawie nieograniczone możliwości... Ponieważ tak się złożyło, że parę osób z mojego otoczenia padło ofiarą różnych przekrętów, to uznałam, że warto się takimi przypadkami podzielić.
1. przejęcie konta na fb i messengera, a w rezultacie wysłanie do znajomych prośby o przelew blikiem. Zdarzyło się mojemu bratu, na szczęście szybko się połapał, ale konta nie odzyskał. Dostałam prośbę z jego konta i nie zorientowałam się, że to nie on, na szczęście nie używam blika...
2. mój przypadek - telefon z angielskiego numeru (mam tam rodzinę, dlatego odebrałam), pani usiłowała mi wmówić, że mam gdzieś jakieś konto z kilkoma złotymi i że grozi mi strata tych pieniędzy, jeśli... Wiedziałam, że nic takiego nie mam, więc nie wiem, co jeśli, bo się rozłączyłam.
3. przypadek mojej siostry - dwukrotnie miała informację, że ktoś próbował zapłacić używając numeru jej karty kredytowej, na szczęście w obu przypadkach bez powodzenia. Co ciekawe, transakcje były w funtach... Musiała zablokować tę kartę z obawy, że za którymś razem im się uda.
Do tego oczywiście sporo historii pojawia się w sieci, nawet dzisiaj: https://businessinsider.com.pl/twoje-pieniadze/fala-oszustw-na-pracownika-banku-kobieta-stracila-100-tys-zl/65hr4s5
Ogółem trzymanie pieniędzy w materacu zaczyna wyglądać coraz bardziej atrakcyjnie...
Mieliście jakieś podobne doświadczenia?
Na szczęście nie miałem. Unikam niestandardowym operacji w sieci, kupuję głównie przez Allegro, ewentualnie sprawdzone sklepy. Na konto nie loguję się z aplikacji w telefonie, nie płacę blikiem ani smartfonem. Nie gadam z ludźmi oferującymi mi coś przez telefon. Nie mam konta na FB, które warto byłoby przejąć, ani Messengera.
Też korzystam z tych udogodnień w wydawaniu pieniędzy w ograniczonym zakresie (w sklepach płatności kartą, a w necie najczęściej przelewem, który muszę potwierdzić hasłem otrzymanym smsowo) i na razie jeszcze nikt mnie nie chciał naciągnąć.
No właśnie ja też nie korzystam z blików czy karty w telefonie, ale przy tym, ci się ostatnio dzieje, trudno się zabezpieczyć. Do tego mam świadomość, że pomimo ostrożności musiałam w wielu sytuacjach podawać np. PESEL. Niby oficjalnych, ale kto wie, jak wygląda to dalej? Takie informacje jak te o możliwości podszycia się pod prawdziwy numer banku czy urzędu wpędzają w paranoję 😅
Niestety tak się dzieje od dawna. Dlatego zwyczajnie trzeba być ostrożnym.
Zabezpieczanie przed tym jest niezwykle trudne bo: ludziom/klientom przeszkadzają zabezpieczenia w codziennym funkcjonowaniu, zabezpieczenia muszą się konczyć tam gdzie zaczyna się prywatność, ludzie kupują najbardziej niestworzone historie i nie chcą słuchać głosu rozsądku.
Dużo więcej nie mogę napisać bo zajmuję się tym zawodowo.
Twtter is a day by day war
Bardzo "popularne" zrobiło się przejmowanie kont na platformach sprzedażowych: zalando, ebay-kleinanzeigen.de, willhaben.at, u nas spotkałem już na allegro lokalnie. Ktoś podszywa się pod kogoś i albo kupuje albo sprzedaje w imieniu niczego nie świadomego użytkownika. Platformy o tym ostrzegają, a ludzie i tak dają się złapać na "okazję".
Jeśli macie konto na OLX i czasami sprzedajecie jakieś używane drobiazgi - np. książka, ubranie, coś taniego, niegabarytowego - nie zdziwcie się, że w kilka sekund po opublikowaniu ogłoszenia pojawi się ktoś poważnie zainteresowany. Tak, jakby specjalnie czekał na ten przedmiot. On czeka na Was! Tym bardziej jeśli jest to weekend / wieczór i nie działają banki. Ów "kupiec" zaproponuje opłaconą przesyłkę przez inpost, wyśle do niej link, a potem scenariusze są różne: albo będzie to trojan, albo idealnie podrobiona strona Waszego banku. W euforii, że ktoś chce kupić Wasz przedmiot (często to Wasze dziecko prosiło o taką sprzedaż) działacie w pośpiechu i impulsywnie, bez zastanowienia. A za chwilę jest już za późno - hacker przejmuje Wasze konto bankowe i klops. Nic się nie da zrobić. Obecnie jest to nagminny proceder.
Trzymanie "w skarpecie" - przy nadchodzącej fali włamań, kradzieży (spowodowanych kryzysem, zubożeniem itp.) - nie polecam.
Uważam, że bankowość elektroniczna w renomowanych bankach jest dość dobrze zabezpieczona - warto włączyć kilkustopniowe zabezpieczenia, powiadomienia: aplikacja lub kod sms, odcisk palca w smartfonie, skomplikowane hasła. Musiałaby nastąpić kulminacja kilku zdarzeń, przejęcie haseł, kradzież smartfona, złamanie kodu do logowania...
Większe prawdopodobieństwo jest dla włamania do domu, kradzieży samochodu niż włam do zabezpieczonego e-banku.
a i jeszcze jedno: idealnie podrobione maile z imieniem i nazwiskiem bliskiej Wam osoby, często adres mailowy też bardzo podobny do znanego Wam (może się różnić tylko jedną literką). Wiecie, że osoba ta właśnie przebywa na wyjeździe, np za granicą, więc teoretycznie może być z nią utrudniony kontakt. I nagle dostajecie od niej wiadomość z prośbą o przelew, bo coś tam, bo np. miała wypadek, albo ma kłopoty z prawem, albo zdarzyło się coś nagłego. Znam osoby które dały się na to złapać. Np. polecenie przysłane od szefa, przebywającego w delegacji: proszę zrobić pilny przelew dla kontrahenta... Wszystko bardzo wiarygodne, tak jakby ktoś wiedział o tym wyjeździe, znał Wasze zwyczaje i zachowania.
Kolega Nieprzypadek ładnie wszystko wyłuszczył. Trzymanie pieniędzy w bankach, przy założeniu pewnych niezbędnych zasad „higieny”, jest bezpieczniejsze niż w materacu. Pomijając już kradzież (może akurat materaca nie wyniosą), zdarzają się jeszcze pożary czy powodzie. Głupio, straciwszy dom, stracić dodatkowo wszystkie posiadane pieniądze. Pomijam kwestie wygody.
Osobiście polecam zainstalować sobie aplikację Cyberalerty dystrybuowaną przez portal niebezpiecznik.pl - jeden z czołowych portali zajmujących się cyberbezpieczeństwem (sam portal też oczywiście polecam, ale niektóre artykuły dla laika będą średnio zrozumiałe). Alerty w aplikacji pisane są prostym językiem, zawierają opis problemu (np. „uwaga na sms-y od pge” z wyjaśnieniem na czym polega problem i jak się zabezpieczyć).
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
nie płacę blikiem
Mogę tylko dodać, że płatności Blikiem albo paypalem sa dużo bezpieczniejsze niż płatności przelewem bądź kartą kredytową. Popularne sklepy internetowe w tym allegro i olx wprowadziły Blik. Ebay akceptuje paypal. Jeśli wypłacam z bankomatu: tylko i wyłącznie Blik. Dlaczego? Bo jest to kolejny, dodatkowy stopień zabezpieczeń. Można ustawić limit dla transakcji Blik i nie trzeba podawać obcym serwisom dość wrażliwych danych jak numer konta, numer karty z datą ważności i kodem CVV. Wyobraźmy sobie wyciek takich danych z jakiegoś sklepu (nawet jeśli numery kart są na jakimś etapie animizowane), to przy Blik podajecie tylko i wyłącznie 1-razowy kod, który po minucie znika, nie da się go powiązać z osobą/kontem. Również przy wypłacie z bankomatu (gdzie znane są przypadki nakładek do skanowania kart) jest to bardzo bezpieczna metoda.
I przy okazji jeszcze jedna metoda oszustwa: skanowanie karty kredytowej co się często zdarza w różnych egzotycznych krajach (np w hotelach, w sklepach). To być może oczywista oczywistość, ale nie można spuszczać karty z oczu, gdy pracownik chce pójść z nią na zaplecze, bo tam podobno jest terminal. A może jest tam jeszcze drugi specjalny terminal?
A przy wynajmie samochodów: być może nie jest to typowe oszustwo, ale bardzo częsta praktyka mająca charakter wyłudzenia. Podpisując kontrakt trzeba - jako gwarancję - podać kartę. Mało kto czyta kontrakt, drobnym drukiem, w dziwnym obcym języku. A sprytny konsultant dołoży kilka ubezpieczeń (czasem całkiem zbędnych, jakiś upgrade - niby bezpłatny, a jak się potem okazuje - nie do końca itd.) dokona preautoryzacji karty i dopiero po zwrocie pojazdu dowiadujecie się ile kasy faktycznie zeszło. Reklamacja? Bezzasadna: przecież na kontrakcie było zaznaczone w jakimś check-boxie, że się zgodziliście.
Mogę tylko dodać, że płatności Blikiem albo paypalem sa dużo bezpieczniejsze niż płatności przelewem bądź kartą kredytową.
I tak, i nie.
Karta kredytowa ma coś takiego jak procedura „chargeback”. Pozwala ona zareklamować oszukańczą transakcję (uwaga - reklamujecie to w banku który wystawił kartę, ale nie jest to reklamacja do banku tylko do organizacji kartowej - np. Visy! Niektóre banki tego nie lubią, próbują z tego zrobić reklamację bankową, którą potem odrzucą. Trzeba wyraźnie zaznaczyć że to chodzi o chargeback i nie dać się zniechęcić i namówić na inny rodzaj. W razie gdyby rozmowa zbaczała w jakieś dziwne rejony najlepiej powtarzać jak mantrę „proszę o formularz chargeback”).
Chargeback rozpatrywany jest na bazie międzynarodowych przepisów do płatności kartą, a zwykła reklamacja na bazie krajowych przepisów i regulaminów banku.
Chargeback na ogół działa. Prywatnie sam nie korzystałem, ale np. swego czasu w firemce w której pracowałem reklamowaliśmy z chargebacku transakcje ze służbowej karty wykonane w Chinach na kilkadziesiąt tysięcy, znam też parę przypadków udanego chargebacku wśród znajomych.
Wady - to trwa a procedura bywa dosyć skomplikowana. Teoretycznie do miesiąca, w praktyce może dłużej.
Przelewów i płatności blikiem nie można chargebackować! Jeśli więc przelejemy blikiem kasę do fejkowego sklepu internetowego i kupimy telewizor w okazyjnej cenie za parę tysi, a sklep zgarnie kasę od takich naiwnych jak my i się zwinie, to w przypadku bliku czy przelewu straciliśmy kasę i już. W przypadku chargebacku może uda nam się tę kasę odzyskać (jak udowodnimy że nie dostaliśmy produktu - na ogół powinno wystarczyć zgłoszenie na policję i stosowne protokoły).
Swoją drogą do płatności kartowych w necie polecam kartę „internetową”, przedpłaconą. Taką kartą (w sensie numeru) nie da się zapłacić w terminalu, a ustawione limity zabezpieczą przed dużą stratą.
Przy okazji, fajnie żeby karta miała 3DSecure. I tu uwaga - 3DSecure nie jest wymogiem bezwzględnym. Są akceptanci którzy nie respektują tego. Ale w takim przypadku chargeback jest dużo łatwiejszy (w praktyce prawie z automatu) jeśli karta miała włączony 3DSecure a transakcja była bez.
Bezpieczna jest też płatność za pomocą Google Pay lub Apple Pay. Przede wszystkich, karta dodana do G/APay generuje tzw. wirtualny numer karty i płacimy tym numerem. Dopiero na etapie procesowania w banku ten wirtualny numer zostaje skojarzony z prawdziwym numerem waszej karty. Nawet jeśli zapłacimy w jakimś podejrzanym miejscu, to przechwycony numer na niewiele się zda. Dodatkowo w razie czego wystarczy zablokować kartę wirtualną, nie musimy blokować prawdziwej. Wystarczy usunąć kartę z G/APay i wygenerować nową, dostaniemy nowy numer wirtualny.
Przy okazji - warto mieć apkę banku i powiadomienia o transakcjach. Wtedy od razu wiecie że ktoś używa waszej karty i blokujecie ją od razu (na ogół w apce jest taka możliwość.)
Ostatnia sprawa - ludzie się boją (już coraz mniej) kart zbliżeniowych „bo ktoś mnie w autobusie zeskanuje”. O ile w bardziej egzotycznych krajach być może takie zagrożenie istnieje, to w Polsce czy krajach europejskich nie. Nie z powodów technicznych, ale organizacyjnych. Ale to szerszy temat.
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
@irycki Chargeback jest fajny, ale jak zaznaczyłeś: to droga przez mękę, a w niektórych przypadkach wręcz niemożliwa do realizacji. Nie wiem czy ktoś kupując np. bilet lotniczy i płacąc kartą jest w stanie sprawdzić jakiś regulamin czy dana transakcja będzie podlegała pod chargeback (bo tych regulaminów nie wywiesza się publicznie). A potem się okazuje, że linia zbankrutowała i akurat wspomniana procedura takiego przypadku nie obejmuje. Często płacimy za usługę a nie za towar. I o ile nie otrzymanie towaru można jakoś udowodnić, to z usługą bywa gorzej (np. usługą turystyczną).
Płacąc za towary na platformach takich jak ebay czy allegro mamy dodatkową ochronę ze strony tej platformy na wypadek nie otrzymania towaru. Ponadto aby jakiś sprzedawca uzyskał możliwość pobierania płatności Blikiem - też jest odpowiednio weryfikowany przez banki.
Jak słusznie zauważyłeś warto odczarować płatności zbliżeniowe kartą albo (a nawet przede wszystkim) telefonem. Płacąc zbliżeniowo telefonem dokonujemy autoryzacji na własnym, zabezpieczonym urządzeniu (warto korzystać z jego dobrodziejstw: odcisku palca, zdjęcia twarzy itp). Przy transakcji zbliżeniowej nie skanujemy karty na nieznanym czytniku, nie wbijamy PINu na nieznanej klawiaturze - a przy obecnych możliwościach technicznych zrobienie skanu karty i skopiowanie PINu to dla fachowców bułka z masłem.
I tak i nie. Chargeback nie zadziała gdy podacie złodziejom dane karty i potwierdzicie transakcję w apce mobilnej. Bo to oznacza tyle, że nie zwracacie uwagi na to co bank wyświetla przy potwierdzeniu transakcji. Chargeback działa gdy transakcja wywali się w prawilnym sklepie, który ma podpisaną umowę z organizacją kartową.
To co można proponować i powtarzać:
1. Zwracajcie uwagę na to co potwierdzacie.
2. Gdy sprzedajecie lub kupujecie na portalach sprzedażowych, nie wdawajcie się w zbędne dyskusje o innym sposobie płatności.
3. Nie ma sklepów, które okazyjnie sprzedają coś za 10-20-30% ceny, zawsze możecie sprawdzić w Internecie czy sklep istnieje i jakie ma opinie. Warto zajrzeć do polityki bezpieczeństwa, wyszukiwarki KRS, wyszukiwarki CEIDG, popatrzeć na adres URL.
4. Gdy znajomy chce od Was pożyczyć pieniądze i komunikuje się via Internet, zadzwońcie do niego.
5. Nie rozmawiajcie z ludźmi, którzy przez telefon namawiają Was do inwestycji. Nawet jeśli to jest prawilny doradca z banku, powiedzcie mu, że dziękujecie za informację, zastanowicie się i pójdziecie do oddziału.
6. Niestety różne firmy nie stosują rozsądnych zasad bezpieczeństwa. Miałem taki przypadek z jedną z firm ochroniarskich, gdzie zadzwonił do mnie człowiek, który upierał się abym przez telefon potwierdził mu, że zgadzam się na podwyżkę opłat. Najgłupsze w tym wszystkim jest to, że po napisaniu reklamacji do tej firmy dowiedziałem się, że to jest ich pracownik (dzwonił z prywatnego numeru), że żadnej podwyżki nie ma i że mnie przepraszają, żeby za dwa miesiące mieć podobny telefon od innej osoby. Obie osoby usłyszały ode mnie to samo - proszę, tak jak zwykle, przysłać dokumenty papierowe. Przy drugim kontakcie też nie dostałem zmiany cennika w wersji papierowej. Drugą firmą, która jest niepoważna, jest firma, z którą miała do czynienia @yvonne - wysyłanie maili z linkami w smsie to najgorsza praktyka jaka może mieć a firma para-bankowa, która to uprawia jest średnio poważna. To jest prosta droga do wyłudzenia danych od osoby, która ma dostać pieniądze.
7. Nie instalujcie żadnych aplikacji na swoich telefonach czy komputerach na polecenie osoby trzeciej, przez telefon.
No i wydawałoby się, że nie trzeba pisać o historiach rodem ze scenariuszy filmowych, ale trzeba. Nie ma bogatych amerykańskich inżynierów, pułkowników, lekarzy, dobrych przyjaciółek itd. itp., których wzruszyła Wasza historia i chcą się zaprzyjaźnić. Scenariusz jest prosty - ludzie się zaprzyjaźniają, przywiązują, często zakochują ale jeszcze częściej zaczynają żyć życiem tej drugiej osoby, której w pewnym momencie trzeba pomóc. Tutaj historie są najdziwniejsze, od pieniędzy na rozwód, poprzez pieniądze na leczenie do... łapówki na zwolnienie statku z dokumentami zatrzymanego przez straż graniczną w Somalii.
Nie ma takich historii w rzeczywistości.
Twtter is a day by day war
Dlaczego z chargeback'iem już nie jest tak łatwo? Bo oczywiście znaleźli się cwaniacy, którzy zaczęli to na masową skalę wykorzystywać. Coś kupili, zapłacili kartą, skonsumowali a następnie zgłosili do banku reklamację, że nie otrzymali towaru lub usługi, przedstawiali lipne dowody i bank bez zbędnego sprawdzenia odbierał sprzedawcy kasę (po prostu ściągał ją z konta) i zwracał cwaniakowi. Sam miałem taki przypadek. Musieliśmy pisać odwołanie, bank się wypiął, sprawa trafiła do sądu i dopiero po długim czasie udało się odzyskać pieniądze za prawidłowo zrealizowaną transakcję (wyrok + komornik).
Do listy Pawła dodałbym jeszcze jeden punkt:
8. Jeśli dostaniecie telefon „od banku” albo „z policji” o tym, że na konto nastąpiło włamanie (ew. ma nastąpić wlamanie) i dla zmylenia bandytów względnie dla zabezpieczenia środków należy przelać wszystko na podane przez „bank” albo „policję” konto - NIE RÓBCIE TEGO!!! Nie ma takich procedur, ani banki ani policja w ten sposób nie działa. Niestety, ileś osób się na to nabrało. Te oszustwa są dosyć dobrze przygotowane, legenda brzmi przekonująco, ale to fejk. W niektórych przypadkach rzekoma „policja” grozi nawet odpowiedzialnością karną za niewykonanie jej poleceń - nie dajcie się nabrać! (zresztą nawet gdyby to była prawdziwa policja, to ona też nie ma prawa takich rzeczy żądać).
W niektórych przypadkach „policja” sugeruje żeby oddzwonić na komendę czy do banku i sprawdzić, po czym się rozłącza - myk polega na tym, że tak naprawdę się nie rozłącza, jesteśmy cały czas polaczeni, niektórzy nie potrafią tego zauważyć, i nie rozłączając się sami wystukują numer. Wtedy tak naprawdę nigdzie nie dzwonią, są cały czas na lini, „odbiera” inny przestępca i potwierdza legendę. Przed oddzwonieniem należy się upewnić, że rozmowa się skończyła, wciskając czerwoną słuchawkę. A jak ktoś ma wątpliwości, to użyć innego telefonu. Albo zrestartować swój.
To przestępstwo nie jest związane tylko z bankowością elektroniczną, tak byli okradani ludzie mający tradycyjne konta, szli do banku i wyciągali gotówkę albo zlecali przelew.
Uwaga na marginesie ale istotna: podrobienie nadawcy SMS-a jest banalnie proste. Podrobienie numeru połączenia przychodzącego jest trudniejsze, ale możliwe. Więc jako nadawcy takich SMS-ów czy telefonów mogą wyświetlać się prawdziwe numery banku, policji, etc... Dlatego NIE MOŻNA ufać połączeniu przychodzącemu tylko dlatego że „wyświetla się mój bank”. W razie wątpliwości należy samemu zadzwonić do banku (jak ktoś ma wątpliwości, to może na wszelki wypadek z innego telefonu).
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
Drugą firmą, która jest niepoważna, jest firma, z którą miała do czynienia @yvonne - wysyłanie maili z linkami w smsie to najgorsza praktyka jaka może mieć a firma para-bankowa, która to uprawia jest średnio poważna. To jest prosta droga do wyłudzenia danych od osoby, która ma dostać pieniądze.
Bardzo mnie to zaskoczyło, dlatego do Ciebie napisałam.
Jest dla mnie całkiem niezrozumiała i niezbyt mądra taka procedura Revoluta, kiedy tyle się mówi i ostrzega, żeby nie klikać w żadne linki.
Szczerze mówiąc gdyby nie zaintrygowała mnie kwota (dokładnie 58 zł, czyli tyle, ile zbierałam za wieniec), to bym od razu tego smsa usunęła.
Jednakże ta kwota dała mi do myślenia.
Nie zmienia to faktu, że w link nie kliknęłam 🙂
Bardzo mnie to zaskoczyło, dlatego do Ciebie napisałam.
Bardzo dobrze zrobiłaś.
Jest dla mnie całkiem niezrozumiała i niezbyt mądra taka procedura Revoluta, kiedy tyle się mówi i ostrzega, żeby nie klikać w żadne linki.
Też uważam, że proces jest zły. Przelew na telefon to chyba był całkiem niezły pomysł ale wyłącznie gdy wszyscy uczestnicy procesu są zarejestrowani w PSP (to firma odpowiedzialna za te ciekawe sposoby rozliczeń typu BLIK). Natomiast dopisanie do tego ludzi, którzy się nie bawią w udostępnianie numeru telefonu do przelewów, jest słabym pomysłem i chyba niezbyt popularnym (choć mogę się mylić bo statystyk nie znam).
Twtter is a day by day war
Miałam to z IPhone'm z MediaExpert... Tzn. jedno z tych kilku 😉
A ze mną Musk chciał się podzielić bitcoinami, sekundę po tym jak go zaczęłam obserwować na Twiterze. Miałam mu przelać tylko ułamek jednego, żeby potwierdzić, że chcę. Poczułam się wybrańcem losu 🙂
Fiuuu, pierwsza liga 😉
Mi chcieli odpalić forsę tylko jacyś zwycięzcy loterii z UK.