wróć do publikacji

UWAGA oszust

Pozorna zwyczajność transakcji

Jak cyberprzestępcy wykorzystują nasze codzienne nawyki przeciwko nam

Sprzedaż używanego przedmiotu przez OLX, Allegro Lokalnie, Marketplace albo podobny portal ogłoszeniowy wydaje się czynnością prostą: ktoś pisze, że chce kupić, ustala odbiór, "płaci", a sprzedający wydaje rzecz. Przestępcy wykorzystują właśnie tę pozorną codzienność.

W ostatnich latach utrwalił się niebezpieczny schemat oszustwa, w którym osoba podająca się za kupującego przekonuje sprzedającego, że „zamówiła dostawę” lub „opłaciła transakcję”, a sprzedawca musi jedynie „potwierdzić sprzedaż” albo „odebrać pieniądze” przez przesłany link.

W rzeczywistości ofiara trafia na fałszywą stronę podszywającą się pod znane portale, operatorów płatności lub instytucje bankowe. Celem nie jest zakup przedmiotu, lecz przejęcie danych logowania, danych karty, kodów SMS i dostępu do aplikacji mobilnej. Często skutkuje to zaciągnięciem kredytów na dane ofiary lub wyczyszczeniem rachunku.

Analiza przypadku

Sprzedaż rowerka za 499 zł, strata kilkudziesięciu tysięcy złotych

Opisany mechanizm idealnie obrazuje sprawa sprzedającego, który wystawił na portalu OLX rowerek dziecięcy za 499 zł. Rzekoma kupująca skontaktowała się poza platformą (przez aplikację WhatsApp) i od początku budowała poczucie bezpieczeństwa: „nie trzeba się martwić”, „nie pierwszy raz kupuję”, „zapłaciłam z góry”.

Sprzedający, osoba z wyższym wykształceniem, został sprytnie skierowany do wiadomości e-mail rzekomo potwierdzającej sprzedaż. Po kliknięciu „potwierdź sprzedaż” trafił na fałszywą stronę imitującą bankowość. Gdy transakcja rzekomo nie mogła zostać ukończona, zadzwonił fałszywy pracownik banku, który presją czasu i „operacjami technicznymi” skłonił ofiarę do autoryzacji wypłat. To klasyczne połączenie phishingu, socjotechniki i spoofingu telefonii.

Studium przypadku - Socjotechnika w praktyce

Jak działa oszustwo krok po kroku? Sprawca nie musi „łamać” systemów zabezpieczeń banku. Wystarczy, że umiejętnie zmanipuluje człowieka, aby ten sam przekazał kluczowe informacje.

  • 1. Kontakt poza platformą Oszust pisze najczęściej przez WhatsApp lub SMS. Pyta, czy oferta jest aktualna. Nie negocjuje ceny, nie pyta o stan techniczny przedmiotu - to celowy zabieg mający uśpić czujność.
  • 2. Zapewnienie o płatności i dostawie Pojawia się informacja: „opłaciłam już towar i transport, kurier wszystko odbierze”. Legalna transakcja na portalach ogłoszeniowych nigdy nie wymaga wchodzenia w linki przesyłane bezpośrednio przez kupującego w celu odbioru pieniędzy.
  • 3. Wyłudzenie adresu e-mail lub telefonu Sprawca prosi o dane „do finalizacji zamówienia”. Następnie ofiara otrzymuje wiadomość e-mail lub SMS łudząco podobną do oficjalnych powiadomień. Diabeł tkwi w szczegółach - domena nadawcy w pasku adresu zawsze różni się od prawdziwej domeny portalu.
  • 4. Fałszywa strona „potwierdzenia sprzedaży” Użytkownik widzi profesjonalnie zaprojektowaną stronę z logotypami platformy, kwotą transakcji oraz przyciskiem typu „odbierz środki” lub „potwierdź sprzedaż”.
  • 5. Przekierowanie do fałszywego banku Kliknięcie przenosi ofiarę na podrobioną bramkę płatności lub panel logowania banku. Wpisane tam loginy, hasła, numery PIN czy dane kart płatniczych natychmiast trafiają bezpośrednio w ręce przestępców.
  • 6. Telefon od „pracownika banku” (Spoofing) Jeśli ofiara zaczyna nabierać podejrzeń, oszuści dzwonią. Dzięki technologii spoofingu, na ekranie telefonu ofiary wyświetla się prawdziwy numer infolinii jej banku. Rozmówca operuje technicznym językiem, uspokaja i podaje się za specjalistę ds. bezpieczeństwa.
  • 7. Autoryzacje, przelewy i kredyty Przestępcy, mając dostęp do konto, zmieniają limity, dodają karty do cyfrowych portfeli i zlecają przelewy. Ofiara, będąc pod ciągłą presją telefoniczną, zatwierdza operacje w swojej aplikacji, sądząc, że bierze udział w „procedurze blokowania ataku”.

Co robi bank po zgłoszeniu transakcji?

Banki w pierwszej kolejności analizują, czy transakcja została formalnie autoryzowana oraz czy klient dopuścił się tzw. rażącego niedbalstwa w rozumieniu ustawy o usługach płatniczych. Bardzo często bank warunkowo zwraca środki w terminie ustawowym, by po dokładniejszej analizie wezwać klienta do ich zwrotu, argumentując, że to sam klient podał hasła i autoryzował operacje.

Stanowisko banku nie zawsze jest prawidłowe

W sporze prawnym z instytucją finansową należy poddać szczegółowej analizie szereg czynników technicznych i behawioralnych:

  • Czy systemy antyfraudowe banku prawidłowo wykryły nietypowe operacje, wyraźnie odbiegające od dotychczasowego profilu klienta?
  • Czy doszło do serii błyskawicznych operacji (np. natychmiastowa zmiana limitów, dodanie nowego zaufanego urządzenia i wypłata środków)?
  • Czy komunikaty autoryzacyjne wysyłane przez bank były w pełni jasne, zrozumiałe i jednoznacznie opisywały cel operacji?
  • Czy zachowanie klienta, działającego pod wpływem niezwykle zaawansowanej manipulacji psychologicznej i spoofingu, rzeczywiście wyczerpuje znamiona rażącego niedbalstwa, czy było jedynie zwykłym błędem wywołanym wyrafinowanym przestępstwem?

Aspekt psychologiczny

Ofiary nie dają się oszukać z powodu lekkomyślności. Przestępcy działają według precyzyjnych scenariuszy socjotechnicznych. Wykorzystują pośpiech, sztuczną presję czasu, autorytet instytucji bankowej, język techniczny oraz strach przed zablokowaniem oszczędności. W takim stanie emocjonalnym człowiek naturalnie przechodzi w tryb stresowy, co uniemożliwia chłodną analizę ryzyka.

Co zrobić natychmiast po oszustwie?

  • Przerwij rozmowę ze sprawcą i nie klikaj w żadne kolejne linki.
  • Zadzwoń samodzielnie do banku, wybierając oficjalny numer ze strony banku lub z tyłu karty płatniczej.
  • Zablokuj całkowicie dostęp do bankowości elektronicznej, aplikacji mobilnej oraz zastrzeż karty.
  • Zgłoś nieautoryzowane transakcje u konsultanta banku (zreklamuj operacje).
  • Złóż zawiadomienie o podejrzeniu popełnienia przestępstwa na najbliższym komisariacie Policji lub w Prokuraturze.
  • Zabezpiecz dowody: wykonaj zrzuty ekranu rozmów, zapisz maile, linki, numery telefonów oraz historię połączeń. Nie kasuj aplikacji ani historii przeglądarki.

Zasady Bezpieczeństwa

Najważniejsza zasada:

Sprzedający nigdy nie odbiera pieniędzy poprzez linki przesłane przez kupującego. Do przyjęcia płatności na konto nie jest potrzebne logowanie się gdziekolwiek bądź podawanie danych karty.

Sygnałami alarmowymi są zwroty typu:

„zapłaciłam, proszę tylko zaakceptować” „kurier wszystko załatwi” „proszę podać e-mail do wysyłki linku” „to tylko przelew techniczny”

Podejrzewasz oszustwo?

Nie czekaj na dalszy rozwój sytuacji. Poinformowanie odpowiednich służb i ostrzeżenie innych to podstawa bezpieczeństwa.

Zgłoś incydent do bazy

Potrzebujesz pomocy prawnej?

Jeśli mają Państwo jakiekolwiek pytania i potrzebują porady prawnej, prosimy o kontakt z nami w celu umówienia wizyty.

Skontaktuj się z nami