Używasz OLX, Vinted lub Allegro? Plaga sprytnych oszustw, coraz więcej Polaków pada ich ofiarą
Kiedyś to kupujący był bardziej zagrożony podczas korzystania z serwisów ogłoszeniowych, zwłaszcza tych umożliwiających kupno i sprzedaż towarów używanych. Mógł zapłacić za towar i przesyłkę, a w paczce, zamiast nowego iPhone’a, znaleźć cegłę. Obecnie przestępcy skupiają się na sprzedawcach, których potrafią oszukać na bardziej lub mniej kreatywne sposoby. Oszustwo na kupującego to prawdziwa plaga, która zbiera żniwo wśród sprzedawców na OLX, Vinted czy Allegro Lokalnie.
Oszustwo na kupującego. Spis treści
Nie dajcie się oszukać – jest wiele sygnałów wskazujących na to, że mamy do czynienia z oszustem, a nie wiarygodnym nabywcą. Pokażemy wam, jak takie przestępstwo przebiega, jak wygląda komunikacja i manipulowanie ofiarami oraz na co zwracać szczególną uwagę. Podpowiemy wam też, czego absolutnie nie robić… oraz co zrobić, gdy jednak daliśmy się zmanipulować przestępcom.
Jak się okazuje, jest to naprawdę opłacalny biznes: CERT Orange Polska podaje, że dziennie oszust potrafi zarobić 40 tysięcy złotych, wysyłając fałszywe oferty kupna do sprzedających na OLX.
Oszustwo na kupującego: jak to wygląda?
Przed tym oszustwem przestrzega Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego. Chodzi o fałszywe wiadomości SMS podszywające się pod OLX, których celem jest okradanie użytkowników metodą „na kupującego”.
Pierwsze zidentyfikowane kampanie, wykorzystujące metodę „na kupującego”, wykryto już w 2020 roku. Cały proces jest tak dobrze przygotowany przez zorganizowane grupy przestępcze, że zainteresowane podmioty (np. OLX, Vinted czy Allegro Lokalnie) nie są w stanie go zwalczyć. Tak wygląda schemat tego oszustwa:
Scam zaczyna się praktycznie od razu po pojawieniu się nowej oferty na portalu. Do sprzedawcy zgłasza się potencjalnie zainteresowana zakupem osoba, która deklaruje chęć zakupu i oferuje formę zapłaty, w ramach której sprzedający będzie miał możliwość odbioru środków za przedmiot.
Kontakt odbywa się najczęściej poprzez komunikator WhatsApp, zdarzają się jednak również inne próby nawiązania konwersacji z ofiarą. Najczęściej przestępcy chcą ją skłonić do skorzystania z „zamówionego” kuriera albo kliknięcia linku z potwierdzeniem sprzedaży, sprawdzeniem przelewu itp.
Aby wyłudzić dane, przestępcy przesyłają link do fałszywej strony i instrukcję dalszego postępowania, aby odebrać środki. Alternatywnie link ma umożliwić dostęp do potwierdzenia rzekomego przelania środków lub potwierdzenia swoich danych lub zamówienia. Użytkownik, który udostępnił wymagane informacje serwisowi OLX jako sprzedawca, nie musi w praktyce nic podawać rzekomemu kupującemu.
Dlatego rozmowy, których celem jest wyłudzenie danych, odbywają się poza oficjalnymi kanałami. Przestępcy tłumaczą to koniecznością rzekomego wypełniania formularza zakupu lub niezbędnym procesem weryfikacji, aby odebrać środki.
Jeśli ofiara wejdzie na fałszywą stronę, może napotkać wygenerowany formularz do wpisania swoich danych (w tym danych karty płatniczej) lub spreparowanej strony logowania do banku. W obu przypadkach przestępcy pozbawią nas pieniędzy, wykorzystując wyłudzone dane finansowe do nieautoryzowanych zakupów, przelewu na rachunek słupa lub innej ofiary, giełdę kryptowalutową, zakłady bukmacherskie, wypłaty BLIK i inne.
Najpopularniejsze oszustwa wykorzystujące tę metodę na OLX
Mekką oszustów wykorzystujących metodę „na kupującego” stał się OLX. Na blogu tegoż serwisu szczegółowo przybliżono rodzaje przestępstw, z którymi mogą spotkać się użytkownicy. Wymieniono różne formy tego oszustwa:
Oszustwo „nigeryjskie”
W tzw. oszustwem nigeryjskim oszuści piszą łamaną polszczyzną i proszą o wysyłkę za granicę (np. Wielka Brytania, USA, Niemcy). Starają się również przenieść kontakt poza OLX (proszą o e-mail lub numer telefonu), a następnie proponują zapłatę za przedmiot opiewającą na jeszcze wyższą kwotę niż ta zaproponowana przez Ciebie w ogłoszeniu.
Następnie przesyłają sfałszowane potwierdzenie przelewu i czekają na towar. Jeśli sprzedawca wyśle cokolwiek, zanim pieniądze faktycznie znajdą się na jego koncie, sam jest sobie winien – w tym oszustwie pozostanie i bez towaru, i bez pieniędzy.
Fałszywe potwierdzenia przelewów
Przestępcy nie muszą wcale pozować na cudzoziemców, aby przesyłać fałszywe potwierdzenia przelewów. Mogą twierdzić, że zależy im na natychmiastowej przesyłce i dostarczają kupującemu rzekomy dokument z potwierdzeniem przelewu. Chodzi oczywiście o to, by wyłudzić przedmioty za darmo – nigdy nie należy wysyłać żadnych towarów, zanim pieniądze nie zostaną zaksięgowane na koncie bankowym.
Podrobione etykiety przesyłek
To oszustwo, przed którym przestrzega zarówno OLX, jak i InPost. Mogą się na nie nabrać osoby, które są mniej świadome działania mechanizmów pobraniowych i tego, jak działają Paczkomaty. O oszustwie świadczy to, że kupujący prosi o przesyłkę pobraniową, jednocześnie oferując przygotowanie i opłacenie specjalnej etykiety InPost. Będzie przekonywał o darmowej paczce, rzekomo podpisanej umowie z InPostem lub korzystniejsze warunki.
Przestępcy generują fałszywe etykiety i podsyłają je sprzedającym, którzy umieszczają towar w skrytce Paczkomatu, ale nigdy nie otrzymają za niego pieniędzy. Zresztą InPost jest nagminnie wykorzystywany przez przestępców – tutaj częsta jest fałszywa komunikacja SMS-owa z informacjami o obowiązkowej dezynfekcji paczki, konieczności dopłaty, rzekomo nieprawidłowym adresie czy konieczności pobrania aplikacji, która pozwoli uzyskać kod odbioru paczki.
Jak się przed tym zabezpieczyć? Albo korzystać wyłącznie z rozwiązań wysyłkowych oferowanych przez platformy sprzedażowe (np. Przesyłki OLX do Paczkomatu), albo zorganizować wysyłkę do kupującego na własną rękę. I nie zgadzać się na inne rozwiązania.
Phishing
Równie popularnym wśród oszustów na OLX są oszustwa wykorzystujące phishing, czyli podszywanie się pod firmy, instytucje itp. w celu wyłudzenia danych i pieniędzy.
W tym celu oszuści stosują najróżniejsze metody, które mają na celu skłonienie ofiary do podania danych kontaktowych, przeniesienia rozmowy poza oficjalny kanał platformy sprzedażowej i kliknięcia stworzonego przez nich linku. Warto zauważyć, że często będą to osoby posługujące się łamaną polszczyzną.
OLX zwraca uwagę, że w tej metodzie oszustwa przestępcy przede wszystkim chcą skierować rozmowę poza serwis OLX, np. poprzez WhatsApp albo inne komunikatory, SMS lub e-mail. Chodzi o to, aby konwersacja (i manipulacja) przebiegała poza oficjalnym czatem. Prośba o adres e-mail lub numer telefonu pojawi się już w pierwszych wiadomościach.
W dalszej kolejności w wiadomości pojawi się link, który może dotyczyć potwierdzenia sprzedaży, przelewu pieniędzy, nadania paczki itp. Oczywiście zakup nie nastąpi oficjalnym kanałem, np. w przypadku OLX transakcji nie zobaczycie w zakładce Twoje konto → Twoje przesyłki → Sprzedajesz. Będzie to najpewniej formularz, w którym ofiara ma wypełnić swoje dane (czasem włącznie ze wskazaniem salda konta i danymi karty płatniczej).
Rzekomo jest to potrzebne do otrzymania pieniędzy. Czasem do wiadomości dołączony jest nawet plik z instrukcją. OLX wprost ostrzega użytkowników:
OLX nie generuje linków do opłacenia zakupu przez Przesyłki OLX. Ignoruj więc linki do rzekomych środków na OLX, które otrzymasz np. poza naszym serwisem – to na pewno oszustwo.
OLX – Centrum Pomocy
W innym wariancie tego oszustwa mogą też pojawić się rzekome problemy techniczne, które telefonicznie pomoże rozwiązać podstawiony konsultant. Podstawiony pracownik serwisu informuje, że rozmowa jest nagrywana, po czym potwierdza, że otrzymany przed chwilą SMS-em lub na Whatsappie link jest bezpieczny i zachęcają do podania tam danych karty bankowej lub loginu oraz hasła do banku.
Mogą też powołać się na rzekomą potrzebę weryfikacji konta bankowego poprzez przelew sporej kwoty (wielokrotnie większej niż wartość przedmiotu wystawionego na OLX) BLIK-iem. Jednocześnie zapewniają, że przelana kwota zostanie niedługo zwrócona na konto. W jeszcze innym wariancie oszuści przedstawiają się jako pracownicy banku i informują, że ktoś właśnie bierze na dane Użytkownika pożyczkę.
Pojawia się też nieśmiertelny tekst, że kurier przyjedzie, zapakuje i odbierze przesyłkę – wszystko na własny koszt zorganizuje kupujący. Tutaj oszuści celują w produkty, które nie zmieszczą się do paczkomatu. Przestępcy mogą wspaniałomyślnie zaproponować, że wysyłkę zorganizuje na swój koszt kurierem. Ewentualnie pojawi się wiadomość o tym, że paczka wymaga dopłaty lub trzeba kliknąć link, aby uzupełnić niepoprawny adres dostawy.
Rozmawiałam z osobą, która niemal dała się nabrać na to oszustwo:
Nie wiedziałam wcześniej o takiej formie oszustwa, a propozycja przysłania kuriera po paczkę wydawała się sensowna. Kliknęłam w przysłany link i pojawiła się strona InPost z formularzem, za pomocą którego miałam potwierdzić transakcję.
W zasadzie wpisałam już wszystkie dane i podałam numer karty, ale przed zatwierdzeniem formularza jeszcze raz rzuciłam okiem na adres strony. Wtedy zorientowałam się, że to oszustwo. Adres przypominał ten, z którego korzysta InPost, ale dodatkowo pojawił się fragment platnosc.info. Gdybym używała telefonu, pewnie nie zorientowałabym się na czas, ale na komputerze był on [adres] widoczny w całości. I tak naprawdę tylko to mnie uratowało.
Użytkowniczka serwisu OLX, rozmowa prywatna
Wzrost fałszywych domen
Przed oszustwem ostrzegają zarówno banki (np. Santander, Bank Spółdzielczy), jak i serwisy sprzedażowe i policja. Z kolei Orange zauważył, że w ostatnim czasie systemy bezpieczeństwa wyłapały znacznie więcej nowych domen, powiązanych z oszustwem „na kupującego”. Tak wyglądają adresy najpopularniejszych platform sprzedażowych:
- allegrolokalnie.pl
- olx.pl
- vinted.com
Przestępcy używają też witryn, udających InPost, DHL czy DPD, fałszują też strony logowania polskich banków. W zasadzie są w stanie sfałszować każdą stronę.
Co je wyróżnia? Czasem fałszywe adresy przypominają linki z serwisów skracających długie adresy, mogą zawierać jakieś zbędne ciągi znaków albo podmienione litery (np. 0LX czy Inp0st – zero zamiast litery „o”).
W tym momencie powinniście zdawać sobie sprawę z czegoś, co nazwano URL Fraud. To szeroki termin obejmujący różne metody wprowadzania użytkowników w błąd za pomocą adresów internetowych. W ich zakres wchodzi m.in.:
- IDN Spoofing – używanie znaków z różnych alfabetów w nazwach domen;
- Homograf Attack – wykorzystanie znaków, które wyglądają podobnie lub identycznie, do tworzenia fałszywych adresów URL;
- Typo Squatting – rejestracja domen, które są błędnie wpisywanymi adresami URL popularnych stron internetowych;
- Domain Name Hijacking – przejęcie kontroli nad istniejącą, zarejestrowaną domeną internetową;
- URL Poisoning – przekierowaniu użytkownika z prawidłowego adresu URL na fałszywą stronę internetową.
Zazwyczaj link prowadzący do fałszywej strony będzie zawierać nazwę serwisu sprzedażowego lub firmy kurierskiej, ale oczywiście nie będzie to poprawna domena, np. olx.pl.platnosc.info, olx-dostawa.cc, olx.dellivers.info, olx.pl.oferta.kim lub olx.pl.wysylka.site zamiast olx.pl.
Przypadki oszukanych sprzedawców
Policja daje liczne przykłady oszukanych sprzedawców w portalach społecznościowych. Sytuacja z początku 2023 roku: mieszkaniec powiatu krośnieńskiego na jednym z portali wystawił na sprzedaż telewizor.
Jeszcze w tym samym dniu poprzez komunikator odezwała się do niego kobieta, która oznajmiła, że jest zainteresowana kupnem telewizora i prześle mu za niego pieniądze na konto. Poprosiła go również o przesłanie adresu email. Ten, nic nie podejrzewając, wysłał go, po czym otrzymał wiadomość zwrotną wraz z linkiem, w który wszedł.
Został przekierowany na stronę z bankami, wybrał swój, a następnie wpisał wszystkie dane z karty, o które był proszony. Był przeświadczony, że tak wygląda procedura sprzedaży. Co więcej, gdy w pewnym momencie wystąpił błąd, wpisał dane z innej karty. Dopiero na następny dzień przekonał się, że padł ofiarą oszustwa. Sprawca wziął na niego pożyczkę w kwocie 5 tysięcy złotych, które niezwłocznie wypłacił, a także pobrał z drugiego konta 600 złotych.
O skuteczności tej metody oszustwa przekonała się też mieszkanka Działdowa. Kobieta wystawiła na sprzedaż w internecie fotelik samochodowy. Odezwał się do niej kupujący, który podesłał link do potwierdzenia rzekomej płatności za zakupiony fotelik. Sprzedająca kliknęła link i zamiast wpływu środków na konto, straciła blisko 9 tysięcy złotych.
Co powinno wzbudzić czujność sprzedających?
Przede wszystkim szybkość reakcji – kontakt pojawia się niemal od razu po wystawieniu oferty (przestępcy automatycznie skanują serwisy, rejestrując nowe oferty sprzedaż). Po drugie usilne próby przeniesienia rozmowy poza oficjalnych czat serwisu, najczęściej na WhatsApp.
Po trzecie wywieranie presji i nakłanianie do kliknięcia podesłanego linku (do weryfikacji, potwierdzenia odebrania pieniędzy, nadania opłaconej przesyłki itp.), a następnie otrzymywanie ponaglających pytań dotyczących wykonanych czynności bądź odbioru pieniędzy.
Dlatego warto przestrzegać kilku zasad:
1) Sprzedaż prowadź wyłącznie za pośrednictwem interfejsu serwisu sprzedażowego danego serwisu.
Nie daj się namówić na inną formę kontaktu ani rzekomą pomoc w zrealizowaniu transakcji. Nie podawaj adresu e-mail ani numeru telefonu.
2) Przyjmuj płatności wyłącznie za pośrednictwem metod, proponowanych przez serwis, z którego korzystasz.
3) Wysyłaj towar dopiero, gdy masz pieniądze zaksięgowane na koncie.
Nie zwracaj uwagi na potwierdzenia przesyłane przez kupujących ani linki, które rzekomo mają umożliwić odebranie od kupującego pieniędzy za wystawiony towar. Najlepiej rozliczaj się bezpośrednio przez dany portal i unikaj bezpośrednich transakcji.
4) Miej ograniczone zaufanie do potencjalnych kontrahentów.
Nie zgadzaj się na opłacenie wysyłki poza serwisem ani niekonwencjonalne formy wysyłki. Załóż, że jakakolwiek próba namówienia cię do kliknięcia linku spoza serwisu to próba oszustwa i wyłudzenia danych.
5) Jeśli kupujący proponuje zorganizowanie i pokrycie kosztów dostawy – to na pewno oszustwo.
6) Nie podawaj danych karty.
Są one wymagane tylko wtedy, gdy ty za coś płacisz, a nie coś komuś sprzedajesz (zwłaszcza kod CVV do karty).
7) Zawsze czytaj SMS-y wysyłane przez bank – zwróć uwagę na to, co autoryzujesz.
8) Za każdym razem dokładnie sprawdzaj adres strony.
Oszuści mogą podrobić każdą stronę, zarówno serwisu sprzedażowego, banku, jak i firmy kurierskiej. Czasem to widać na pierwszy rzut oka (błędy gramatyczne, kiepskie tłumaczenie), ale czasami podróbki są naprawdę nie do rozróżnienia. Jednak przestępcy nie podrobią adresu. Pamiętaj – domenę czytamy od tyłu. Jeśli adres nie kończy się na .pl, czy .com, to na pewno oszustwo.
Jeśli padniesz ofiarą oszustów, trzeba działać szybko. Przede wszystkim natychmiast skontaktuj się z bankiem i wyprzedź ewentualne działania przestępców związane z ogołoceniem twojego konta. Zastrzeż kartę, zmień hasło do bankowości internetowej. Jeśli doszło do kradzieży, zgłoś sprawę na policję. Nie kasuj żadnych SMS-ów lub wiadomości, które zostały wykorzystane do popełnienia przestępstwa.
Źródło: Urząd Komisji Nadzoru Finansowego, Policja, blog Orange (2), Scam – Podstawione strony i wszelkie inne oszustwa, OLX, InPost. Zdjęcie otwierające: Jolanta Szczepaniak / Android.com.pl
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.